L'urgence d'agir pour éviter la sortie de route : Piloter la commande publique au service de la souveraineté économique - Rapport

D. CHANGER DE LOGICIEL : GARANTIR LA SOUVERAINETÉ NUMÉRIQUE EUROPÉENNE DANS LE CADRE DE LA COMMANDE PUBLIQUE

1. Protéger les données publiques dans le cadre des marchés face aux prédations étrangères

a) La montée en puissance du droit extraterritorial étranger menace la souveraineté de la France et les intérêts de l'Union européenne

(1) Une grande partie des données européennes sont exposées à des législations extraterritoriales étrangères

Comme le confirme le contexte géopolitique actuel, jamais plus qu'aujourd'hui l'enjeu de préservation de notre souveraineté numérique n'aura été aussi vif.

L'assujettissement d'un grand nombre d'opérateurs économiques à des législations extraterritoriales étrangères doit de toute urgence inciter les États européens à mettre en oeuvre des mesures de protection non seulement des données personnelles de leurs ressortissants, mais aussi et surtout de leurs données publiques.

« Du fait de l'explosion du numérique, les données ont tendance à se promener à droite et à gauche. Il est extrêmement grave que nous ayons du mal à protéger les données qui sont au coeur de nos entreprises et concernent leurs techniques et leurs innovations. Au niveau européen, l'accès aux données est pratiquement garanti à tous, alors qu'il faudrait les protéger »^407(*). Aussi lucide soit le constat posé en ces termes devant la commission d'enquête par l'ancien Haut responsable chargé de l'intelligence économique auprès du Premier ministre, M. Alain Juillet, force est de constater que la situation actuelle est extrêmement préoccupante.

De fait, comme l'illustre le recours à Microsoft Azure pour l'hébergement de la plateforme des données de santé (PDS) évoqué dans le présent rapport, les acteurs publics français font preuve, envers les technologies américaines, d'une véritable « adhérence », pour reprendre l'expression utilisée par le député Philippe Latombe (Les Démocrates - Vendée), rapporteur de la mission d'information de l'Assemblée nationale sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne »^408(*).

Or, les fournisseurs de services de communications électroniques domiciliés aux États-Unis ou dont certaines opérations sont sous-traitées à des fournisseurs de tels services domiciliés aux États-Unis entrent dans le champ d'application de législations étrangères de portée extraterritoriale telles que le Foreign Intelligence Surveillance Act (Fisa), qui permet aux autorités américaines de recueillir des renseignements concernant les personnes ne disposant pas de la nationalité américaine ou ne résidant pas aux États-Unis, ou le Clarifying Lawful Overseas Use of Data (Cloud) Act, aux termes duquel le gouvernement américain peut notamment accéder aux données de communications stockées par une entité privée située en dehors des États-Unis mais assujettie à la loi américaine, et ce sans en demander l'autorisation ni même en informer les propriétaires de ces données.

Les États-Unis ne sont toutefois pas le seul pays à avoir mis en place des législations extraterritoriales applicables aux données électroniques. C'est également le cas de la Chine, avec la loi de 2021 sur la sécurité des données, ou encore de l'Inde, avec la loi de 2023 sur la protection des données personnelles numériques.

M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), l'a ainsi clairement exposé devant la commission d'enquête : contre les législations extraterritoriales, il n'existe ni contre-mesures techniques ni contre-mesures contractuelles efficaces. Dans le premier cas, ni le chiffrement, ni la localisation, ni l'anonymisation des données « ne rendent (...) impossible la captation des données en vertu du droit applicable »^410(*). Dans le second cas, « un prestataire américain - ou chinois d'ailleurs - qui promettrait de ne jamais communiquer vos données à une autorité de son pays - qu'il s'agisse d'un juge ou d'un service de renseignement - vous promettrait en fait d'aller en prison à votre place ».

L'audition de Microsoft France a permis de le confirmer. Invité à garantir que les données des citoyens français hébergées par Microsoft France ne seront jamais transmises à des autorités étrangères sans l'accord des autorités françaises, M. Anton Carniaux, directeur des affaires publiques et juridiques, a été contraint de le reconnaître en ces termes : « Non, je ne peux pas le garantir »^411(*), nonobstant les procédures internes mises en place pour contester les demandes imprécises auprès des autorités ou informer les clients concernés.

Interrogé, par ailleurs, sur le bien-fondé des informations obtenues par la commission d'enquête selon lesquelles Microsoft aurait communiqué la clé de cryptage de la messagerie Outlook à la National Security Agency (NSA) dans le cadre du programme de surveillance électronique Prism, M. Pierre Lagarde, directeur technique du secteur public de Microsoft France, a répondu : « Je ne dispose pas de cette information et ne peux donc vous répondre »^412(*).

L'entreprise a ensuite indiqué à la commission d'enquête ne pas participer à un quelconque « programme national de sécurité volontaire plus large visant à collecter des données clients », au-delà de demandes « ciblant des comptes ou identifiants spécifiques » ^413(*).

En tout état de cause, il convient de souligner que ces informations, tout comme les « rapports de transparence » que Microsoft publie deux fois par an et qui présentent des statistiques sur les demandes de transmission de données qui lui sont adressées par des autorités étrangères, résultent d'une démarche purement déclarative et n'offrent donc pas d'autre garantie que la confiance en la bonne foi de l'entreprise, qui indique qu'entre 2023 et 2024 aucune entreprise européenne n'a été concernée par une demande des autorités américaines au titre du Cloud Act^414(*).

(2) Cette exposition induit des risques considérables trop souvent méconnus ou sous-estimés

Il apparaît néanmoins qu'une part non négligeable des personnalités entendues par la commission d'enquête sous-estime largement les risques que l'exposition des données détenues par les structures publiques ou privées qu'elles dirigent à ces législations extraterritoriales fait courir non seulement à ces entités, mais aussi et surtout à la France et à l'Union européenne dans leur ensemble. Ainsi, en 2019, lors de la création de la plateforme des données de santé, l'administration estimait encore, à tort, que le Cloud Act ne visait que les citoyens américains et que les utilisateurs non américains des solutions Microsoft ne pouvaient donc « pas être pris pour cible »^415(*) par cette loi.

De fait, comme le souligne Hexatrust, association professionnelle des acteurs français et européens de la cybersécurité et du cloud de confiance, « pour l'Europe, cette situation crée des risques stratégiques, entre perte de contrôle possible sur les données sensibles de l'État, risque d'utilisation des données à des fins de renseignement économique, dépendance accrue vis-à-vis d'acteurs étrangers et vulnérabilité face aux changements de politique étrangère, comme le montre le contexte actuel »^416(*).

Dans un monde complexe où la donnée est devenue le nouvel actif stratégique par excellence, d'autres usages détournés de ces informations peuvent même être envisagés, par exemple dans le cadre de la concurrence économique internationale.

M. Alain Juillet rappelle ainsi que « les lois américaines permettent aux services américains de récupérer toutes les données que nous transmettons aux États-Unis et d'en faire ce qu'ils veulent. Ils peuvent donc, par exemple, les communiquer aux concurrents américains de nos entreprises » - et d'ajouter : « Je connais des entreprises françaises qui ne travaillent qu'avec Microsoft. Si vous leur dites qu'en recourant exclusivement aux services de Microsoft, toutes leurs données peuvent être transmises à la concurrence, elles vous répondent que vous êtes paranoïaques, jusqu'à ce qu'elles finissent par perdre une affaire... »^417(*).

Au-delà même de ces enjeux fondamentaux doit être pris en compte le risque d'accoutumance, voire de dépendance, à des solutions étrangères, qui fragilise gravement la souveraineté numérique européenne.

De fait, les tensions géopolitiques actuelles font légitimement craindre le recours par des puissances étrangères à tous les leviers de pression dont elles peuvent disposer à l'encontre de la France et de l'Union européenne. Dans un tel scénario, la fermeture de l'accès des Européens à ces solutions serait de nature à susciter des difficultés substantielles pour le fonctionnement des administrations publiques et la vie économique du continent.

Ainsi, à la question de savoir si le système français de défense serait en capacité de fonctionner à plein régime s'il advenait que les États-Unis et les grands fournisseurs américains de services numériques coupent toute forme de lien avec la France, le commissaire général hors classe M. Olivier Marcotte, directeur central du service du commissariat des armées, a répondu prudemment : « Pour ce qui me concerne, les données étatiques, c'est-à-dire celles qui sont sous notre contrôle, sont hébergées chez nous. En revanche, je ne peux pas m'engager pour les fournisseurs du ministère »^418(*).

De même s'agissant de l'ingénieur général hors classe de l'armement M. Guilhem Reboul, directeur des opérations, du maintien en condition opérationnelle et du numérique à la direction générale de l'armement (DGA) : « Il est difficile à la DGA de s'engager au nom du chef d'état-major des armées, mais nous fournissons des systèmes de liaison de données et de transfert d'informations qui sont suffisamment sécurisés - en fonction de leur niveau de classification - pour permettre aux armées d'accomplir leurs missions quoi qu'il arrive »^419(*). Il n'a toutefois garanti que la capacité de la France à « agir seul[e] dans le cadre de la dissuasion, contre tout le monde »^420(*).

Par ailleurs, les médias se sont fait l'écho de la suspension de la boîte mail du procureur de la Cour pénale internationale (CPI). Toutefois, M. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a contesté cette affirmation, sans fournir de preuve à l'appui de cette position^421(*).

Il convient d'ailleurs de noter qu'au-delà de celles qui peuvent être obtenues par la contrainte par des gouvernements étrangers, d'autres types de données tout aussi précieuses sont transmises chaque jour à des acteurs étrangers auxquels les acheteurs publics recourent et utilisées contre les intérêts nationaux et européens.

À titre d'exemple, en pointant du doigt la dépendance technique des acheteurs publics français à l'égard des grands acteurs étrangers en matière de suites bureautiques, Hexatrust témoigne d'un phénomène particulièrement inquiétant : « L'achat de licences peut inclure des fonctionnalités d'intelligence artificielle hébergées sur des clouds étrangers, permettant l'utilisation des données publiques pour l'entraînement de modèles d'intelligence artificielle étrangers, créant ainsi une nouvelle forme de dépendance technologique alors que des acteurs français et européens existent et permettent de localiser la donnée et l'usage sans crainte de fuites ou utilisations extraterritoriales pouvant porter préjudice à la compétitivité du tissu économique français et européen »^422(*).

Aussi, par le biais d'un mécanisme auto-entretenu, l'adhérence française et européenne envers les solutions étrangères s'aggrave-t-elle progressivement, ce qui réduit continuellement notre capacité à donner corps au sursaut que la situation actuelle impose et à bâtir des alternatives crédibles.

Certains États européens semblent toutefois commencer à prendre conscience des risques auxquels cette situation les expose. Le gouvernement danois a, par exemple, annoncé récemment sa volonté de remplacer progressivement les offres Windows et Office 365 de Microsoft par Linux et LibreOffice.

b) Une forte dépendance aux offres étrangères s'exprime en matière de suites bureautiques et d'informatique en nuage, à rebours des doctrines officielles

(1) Des données publiques sensibles ne sauraient être hébergées par le biais d'une offre de cloud commerciale exposée à des règlementations extraterritoriales étrangères

Dès 2016, le législateur a affirmé le principe selon lequel l'État, les collectivités territoriales, les autres personnes de droit public et les personnes de droit privé chargées d'une mission de service public devaient veiller à « préserver la maîtrise, la pérennité et l'indépendance de leurs systèmes d'information » et encourager l'utilisation des logiciels libres et des formats ouverts lors du développement, de l'achat ou de l'utilisation de tout ou partie de ces systèmes d'information^423(*).

Par la suite, une circulaire de juillet 2021 du Premier ministre^424(*), actualisée en mai 2023^425(*), a conditionné le recours par les services de l'État à l'informatique en nuage (« cloud computing ») pour l'hébergement de tout produit numérique nouveau ou faisant l'objet d'une évolution substantielle au respect des prescriptions de la doctrine « cloud au centre ».

Cette dernière impose, s'agissant de l'hébergement de données d'une sensibilité particulière au travers d'une offre de cloud commerciale, le respect par celle-ci de la qualification SecNumCloud et son immunité à l'égard de toute réglementation extracommunautaire.

Par ailleurs, la circulaire du 5 juillet 2021 invitait les membres du Gouvernement à « promouvoir la diversité des technologies, des fournisseurs et des infrastructures retenues », en leur demandant de veiller à ce que les offres technologies retenues par leurs services et par les opérateurs placés sous leur tutelle « n'entravent pas l'autonomie de l'État dans ses choix numériques à venir ».

Le directeur interministériel du numérique a alors précisé, dans une note du 15 septembre 2021 adressée aux secrétaires généraux des ministères, que le respect de la doctrine « cloud au centre » faisait obstacle à l'utilisation de l'offre Office 365 de Microsoft par les services de l'État : « Les solutions collaboratives, bureautiques et de messagerie proposées aux agents publics relèvent des systèmes manipulant des données sensibles. Ainsi, la migration de ces solutions vers l'offre Office 365 de Microsoft n'est pas conforme à la doctrine cloud au centre ».

Les ministères envisageant d'externaliser la construction et le fonctionnement de leurs suites collaboratives hors de leurs systèmes d'information étaient dès lors invités :

- à se rapprocher de la Dinum pour évaluer l'opportunité de construire et d'opérer une offre de service « bureautique collaborative et messagerie » sur le cloud interne de l'État ou sur le cloud commercial de confiance, mutualisée entre les ministères qui rejoindraient l'initiative ;

- ou à privilégier un scénario dans lequel le consortium « Bleu » réalise son ambition de construction d'une offre labellisée SecNumCloud conforme à la doctrine « cloud au centre », avec une suite Office 365 bénéficiant d'un transfert de compétences et des responsabilités technique et juridique à son profit, et donc à prendre contact avec la direction de ce consortium ;

- ou à envisager de recourir aux produits interministériels « Sac à dos numérique de l'agent public » (Snap) ;

- ou, en l'absence d'urgence, à différer leurs projets de remplacement de leurs outils existants dans l'attente d'une amélioration de l'offre disponible sur le marché.

En outre, d'après le ministère de l'éducation nationale^435(*), la Commission nationale de l'informatique et des libertés (Cnil) aurait recommandé aux établissements d'enseignement supérieur, par un courrier du 27 mai 2021, de ne recourir, en l'absence de mesures supplémentaires susceptibles d'assurer un niveau de protection adéquat, qu'à des suites collaboratives proposées par des prestataires exclusivement soumis au droit européen, hébergeant les données au sein de l'Union européenne et ne les transférant pas vers les États-Unis.

S'inscrivant dans la même logique, le Gouvernement indiquait en novembre 2022 que le ministère de l'éducation nationale avait informé, en octobre 2021, les recteurs de région académique et d'académie de la doctrine « cloud au centre », de la position de la Dinum et de l'avis de la Cnil sur ce sujet et leur avoir « demandé d'arrêter tout déploiement ou extension de cette solution [l'offre Office 365 de Microsoft] ainsi que de celle de Google, qui seraient contraires au RGPD »^436(*).

S'il soulignait à cette occasion que la charge d'assurer l'équipement et le fonctionnement des établissements scolaires, et notamment l'acquisition et la maintenance des matériels informatiques et des logiciels prévus pour leur mise en service, incombait aux collectivités territoriales auxquelles ces établissements sont rattachés^437(*), il n'est pas admissible de s'en remettre à elles pour « fournir des solutions d'environnement numérique de travail (ENT) aux établissements qui offrent des fonctionnalités de communication et de collaboration respectant les principes du RGPD et de souveraineté numérique, permettant ainsi de se passer des offres collaboratives états-uniennes non immunes au droit extraterritorial »^438(*) tout en recourant auxdites offres américaines pour l'équipement des services centraux et déconcentrés du ministère.

Il convient à ce propos de rappeler que le code dispose que, dans le cadre du service public du numérique éducatif, « la détermination du choix des ressources utilisées tient compte de l'offre de logiciels libres et de documents au format ouvert, si elle existe »^439(*) et que « les logiciels libres sont utilisés en priorité » par le service public de l'enseignement supérieur^440(*).

Plus récemment, le Parlement a donné une valeur législative aux prescriptions de la doctrine « cloud au centre » relative aux conditions de recours à des offres de cloud commerciales au travers de l'article 31 de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, dite loi Sren.

Comme le souligne l'Agence du numérique en santé (ANS), dont aucun des systèmes informatiques stratégiques n'est hébergé par des prestataires de services de cloud soumis à des obligations extraterritoriales, « dans l'attente du décret d'application à venir, les acteurs concernés par un tel risque devront se préparer à potentiellement migrer les systèmes d'information traitant des données dites « sensibles » vers des hébergeurs « cloud de confiance » en anticipant les évolutions applicatives, les contraintes opérationnelles et les coûts qu'un tel changement d'hébergeur pourrait induire »^442(*).

S'agissant plus spécifiquement du cas de l'éducation nationale, le secrétaire général du ministère a rappelé aux recteurs et secrétaires généraux de région académique et d'académie que l'institution scolaire devait « nécessairement observer la plus grande neutralité vis-à-vis des suites collaboratives commerciales pour ne pas habituer les élèves et biaiser leurs choix futurs d'outils, à titre personnel comme professionnel », « les former aux méthodes de collaboration numérique de façon indépendante d'une suite collaborative commerciale donnée » et « leur faire acquérir une aisance dans l'utilisation de tout type d'outil numérique »^443(*).

Il leur était par conséquent indiqué que « conformément à la priorité donnée à la protection des données à caractère personnel des élèves et des personnels et à la volonté de la France de privilégier des solutions souveraines, le ministère continue de proscrire tout déploiement de suites collaboratives en ligne d'éditeurs états-uniens ou non européens dans les écoles et les établissements publics »^444(*).

(2) En dépit des proclamations officielles, une dépendance persistante et dangereuse envers les offres numériques étrangères : l'exemple de l'éducation nationale

Bien que les risques en la matière soient très clairement identifiés par l'ensemble des personnalités et organismes entendus par la commission d'enquête, cette dernière a constaté à regret un décalage persistant entre les discours publics et les actes concrets.

Une multitude d'exemples de recours par des organismes publics français à des offres numériques étrangères, à contresens des prescriptions officielles, ont en effet été évoqués au cours des travaux de la commission d'enquête, à commencer par la récente conclusion par le ministère de l'éducation nationale et de la jeunesse d'un accord-cadre pour le renouvellement de ses licences Microsoft en mars dernier pour un montant estimé à 75 millions d'euros HT sur quatre ans.

Au-delà même des interrogations que soulève le recours par les services de l'État à des offres assujetties aux lois extraterritoriales américaines et l'exposition de nos données publiques au risque de transfert à des autorités étrangères, il apparaît que ce marché a été passé en méconnaissance des règles applicables visant à assurer sa conformité à la doctrine « cloud au centre ».

De fait, comme le précise cette dernière, « le contrôle de la doctrine « cloud au centre » est désormais intégré à la procédure de contrôle de conception des grands projets informatiques de l'État issue de l'article 3 du décret n° 2019-1088 du 25 octobre 2019, au-delà du seuil de neuf millions d'euros. Sous ce seuil, ce contrôle relève des ministères ».

De tels projets doivent en effet être soumis pour avis conforme à la direction interministérielle du numérique (Dinum), ce qui n'a pas été le cas du renouvellement des licences Microsoft du ministère de l'éducation nationale.

Mme Stéphanie Schaer, directrice interministérielle du numérique, a en effet déclaré devant la commission d'enquête que « la Dinum n'a pas été saisie en amont [de ce projet] au titre de sa mission de sécurisation des projets informatiques »^456(*).

Pour sa part, Mme Guylaine Bourdais-Naimi, RMA des ministères de l'éducation nationale, de l'enseignement supérieur et de la recherche, d'une part, et des sports, de la jeunesse et de la vie associative, considère que le marché portant sur des solutions Microsoft « fournit un cadre d'achat permettant à ses bénéficiaires d'approvisionner des technologies Microsoft pour réaliser des projets mettant en oeuvre des systèmes d'information ».

Selon cette logique, le marché global, en lui-même, « n'entre pas dans la catégorie des « projets mettant en oeuvre un système d'information et par conséquent n'est pas concerné par l'article 3 » : « Chacun des bénéficiaires est ainsi placé en responsabilité vis-à-vis des différents cadres applicables et notamment l'article 3 Dinum. À titre d'illustration, le montant annuel commandé par la direction du numérique pour l'éducation (DNE) pour le ministère de l'éducation s'élève à 2,2 millions d'euros, ce qui place ces achats sous le seuil de l'article 3 »^457(*).

Y voyant manifestement un manquement, le ministre de l'action publique, de la fonction publique et de la simplification, la ministre chargée des comptes publics et la ministre déléguée chargée de l'intelligence artificielle et du numérique ont adressé aux membres du Gouvernement, le 22 avril 2025, un courrier commun.

Celui-ci rappelle qu'en application de la doctrine « cloud au centre » et de l'article 31 de la loi Sren, « les ministères doivent impérativement s'assurer que les hébergements et que les applications utilisées pour le traitement des données sensibles au titre de cette loi, et en particulier les solutions collaboratives, bureautiques et de messagerie ainsi que les solutions d'intelligence artificielle, sont conformes à ces exigences de protection contre tout accès non autorisé par des autorités publiques d'États tiers » et les invite à recourir, s'agissant du cloud, à des offres commerciales disposant de la qualification SecNumCloud ou à des solutions interministérielles sécurisées - le cloud PI du ministère de l'intérieur et le cloud Nubo du ministère des finances - et, pour ce qui concerne les suites bureautiques, aux outils collaboratifs et sécurisés proposés par la Dinum et baptisés « La Suite numérique ».

Pour s'assurer de la mise en oeuvre de ces instructions, les ministres informaient par la même occasion leurs collègues qu'à compter du 31 mai 2025, chaque contrôleur budgétaire et comptable ministériel (CBCM) refusera tout achat qui, conformément à l'article 3 du décret n° 2019-1088, aurait dû faire l'objet d'un avis préalable de la Dinum sans que cette procédure ait été respectée - sauf dérogation pour les projets déjà en cours.

La commission d'enquête s'étonne vivement que des membres du Gouvernement soient contraints de rappeler à leurs collègues et aux administrations placées sous leur autorité qu'il existe des règles applicables en la matière et que leur respect s'impose à tous, sans exception, et y voit une illustration supplémentaire du pilotage défaillant de la politique numérique de l'État.

Quoi qu'il en soit, cette nouvelle illustration de l'ampleur de la dépendance française aux solutions numériques étrangères est d'autant moins compréhensible que le ministère de l'éducation nationale a prohibé dès 2021 tout déploiement ou extension par ses services de l'offre Office 365 de Microsoft.

Des motifs financiers sont ainsi souvent mis en avant pour justifier le recours à Microsoft plutôt qu'à ses concurrents européens, comme l'a fait devant la commission d'enquête M. Frédéric Pomiès, sous-directeur du socle numérique à la DNE : « La suite collaborative proposée par Microsoft Office 365 permet de travailler en ligne, donc à plusieurs en même temps. Des entreprises françaises et européennes proposent des produits concurrents, c'est pourquoi le marché dont nous parlons a fait l'objet d'un sourcing où quatre entreprises ont été interrogées, en plus de Microsoft : Wimi, GoFAST, Jamespot et Interstis. Je ne peux pas vous communiquer publiquement les chiffres, mais je vous assure que les coûts bruts de ces solutions étaient très largement supérieurs à ceux de Microsoft, sans compter le coût de la transition et de la transformation des usages. Enfin, choisir un acteur de ce type ne nous libérerait pas du système d'exploitation Windows, qui est la base logicielle sur tous les postes de travail, et nous parlons d'environ un million de personnes à équiper »^458(*).

Ces prétextes sont d'ailleurs quasi systématiquement associés à la remise en question de la capacité des acteurs français et européens à assurer un niveau de performance comparable à celui des géants américains : « Il faut également souligner que ces acteurs sont des challengers, la question se pose du rattrapage du niveau fonctionnel, du niveau d'intégration - par rapport aux grandes sociétés en place que sont Microsoft ou Google, qui sont des defenders »^459(*).

À en croire Mme Bourdais-Naimi, quatre éditeurs de solutions souveraines (Wimi, Gofast, Jamespot et Interstis) auraient été consultés en amont du sourçage^460(*). Pourtant, selon elle, les solutions Microsoft s'avéraient plus compétitives à plusieurs égards :

- les solutions souveraines sont plus chères de 200 % à 1 300 % que les solutions Microsoft ;

- bien que les solutions souveraines puissent permettre la substitution de la suite bureautique Microsoft Office, mais la « situation de quasi-monopole du système d'exploitation Microsoft Windows déployé sur les 800 000 postes de travail du périmètre ne semble pas pouvoir être remise en question à court ou moyen terme » ;

- la conduite du changement d'une migration des usages vers ces suites souveraines, la formation et la reprise de tous les modèles de documents bureautiques « constituent un coût très important qu'il convient d'ajouter au coût des solutions en elles-mêmes, déjà très supérieur » ;

- si les solutions souveraines proposent différentes briques (messagerie, suite bureautique, drive, chat, etc.), elles offrent « une interopérabilité insuffisante avec le reste des écosystèmes collaboratifs en lien avec les fonctions qu'elles ne couvrent pas ou qui seraient déjà couvertes par d'autres outils déjà déployés » ;

- enfin, les solutions souveraines seraient « encore insuffisamment développées pour répondre [aux] besoins [des ministères concernés] au niveau de l'ensemble des services attendus »^461(*).

Ces éléments sont contestés par un des éditeurs de solutions souveraines mentionnés, qui a indiqué au président de la commission d'enquête n'avoir « aucunement été consulté » avant l'attribution du marché à Microsoft et, à ce titre, n'avoir « aucunement proposé quelque montant que ce soit »^462(*).

Pour mémoire, comme le rappelle France Digitale, association de start-ups et d'investisseurs visant à faire émerger des champions français et européens de l'innovation à l'échelle mondiale, 71 % du marché français du cloud sont concentrés par AWS, Google Cloud et Microsoft Azure^463(*).

De manière générale, cette dépendance à Microsoft a un coût, qui se fait par exemple sentir à chaque mise à jour de son système d'exploitation. Ainsi, selon des informations parues dans la presse, le passage de Windows 10, qui ne sera plus maintenu à compter du 14 octobre 2025, à Windows 11 devrait contraindre la police nationale à remplacer un quart de ses ordinateurs, ce qui devrait entraîner une dépense supplémentaire de 15 millions d'euros.

À une autre échelle, lors du conseil de surveillance du 16 juin 2025, le centre hospitalier Basse Vilaine de Nivillac (soins médicaux et de réadaptation, maison de retraite et établissement d'hébergement pour personnes âgées dépendantes [EHPAD] pour un total de 92 lits) a pour sa part été contraint de voter le remplacement progressif de tous les postes informatiques, pourtant en parfait état de marche. Alors qu'il doit faire face, comme tous les établissements de santé, à de très fortes tensions budgétaires, il a dû débuter par une première dépense de 10 000 euros pour dix postes.

La gendarmerie nationale, qui a adopté le système d'exploitation open source Linux depuis 2009, ne sera quant à elle pas affectée.

(3) Des centrales d'achat se bornant à un rôle d'intermédiation entre l'offre et la demande de solutions étrangères

Compte tenu de leur importance pour une grande partie des acheteurs publics, et notamment des collectivités territoriales, les centrales d'achat ont évidemment un rôle crucial à jouer pour garantir la souveraineté numérique de la France.

Elles constituent de fait un instrument particulièrement utile pour les collectivités territoriales. Près de 62 % des élus locaux ayant répondu à la consultation menée par la commission d'enquête ont indiqué que leur collectivité avait recours aux services de ces structures, tandis que quasiment 80 % d'entre eux affirment qu'elles leur permettent de réaliser des économies ou d'autres gains.

Leur performance en termes d'économies d'échelle repose sur trois leviers principaux :

- la standardisation, qui permet de limiter le nombre de modèles produits par suppression, autant que faire se peut, du sur mesure et des surcoûts qu'il induit ;

- la massification, qui permet de rentabiliser plus rapidement les outils de production et de diminuer les coûts de fabrication ;

- et la programmation, qui permet d'éviter les à-coups de production, sources de surcoûts.

De plus, comme le souligne l'Association des maires de France et des présidents d'intercommunalité (AMF), « les centrales d'achat permettent aux acheteurs publics d'éviter une lourde mise en concurrence » et « sont également gages de sécurité juridique, car les procédures de passation sont suivies de manière stricte »^464(*).

L'avis de l'Assemblée des départements de France (ADF) ne diffère pas de celui des maires à ce sujet : « Les départements sont globalement satisfaits du recours aux centrales d'achat. Dans leurs politiques achats, ces centrales représentent un outil important, notamment pour satisfaire leurs achats internes, car pour un certain nombre de familles d'achats, les centrales proposent des prix, des délais et des prestations intéressantes »^465(*).

Ce modèle présente toutefois les inconvénients de ses avantages. L'Association des acheteurs publics (AAP) et le Conseil national des achats (CNA) ont ainsi identifié plusieurs limites :

- l'acheteur n'a pas le choix de son fournisseur, le catalogue des centrales d'achat étant limité ;

- l'acheteur dispose de peu de marges de manoeuvre sur les garanties d'exécution ;

- l'acheteur perd en autonomie dans la définition des cahiers des charges et de la hiérarchisation des critères de sélection ;

- la massification limite l'accès aux marchés publics des TPE et PME ;

- et les tarifs pratiqués ne sont pas toujours compétitifs.

Une mission de l'IGF, que le président et le rapporteur de la commission d'enquête ont rencontrée et dont les travaux sont en cours depuis novembre 2024, doit très prochainement apporter des éléments d'analyse comparatifs sur la performance économique des différentes centrales d'achat. Elle n'avait pas encore remis son rapport à la date d'achèvement des travaux de la commission d'enquête.

Quoi qu'il en soit, la commission d'enquête n'entend pas remettre en cause l'intérêt présenté par la mutualisation des achats, qui n'est pas contestable. Des initiatives locales émergent d'ailleurs régulièrement pour donner naissance à des centrales d'achat territoriales.

En tout état de cause, du fait de sa position dominante vis-à-vis des autres centrales d'achat, l'action de l'Ugap a nécessairement des implications majeures en termes de souveraineté, notamment numérique.

Celle-ci propose par exemple à ses clients une bibliothèque multi-éditeurs, dont la commercialisation et l'animation sont assurées par l'entreprise SCC France et qui permet l'acquisition par les acheteurs publics de logiciels - de cybersécurité, de dématérialisation, de gestion de la ville, de lutte contre la fraude, de santé ou encore de gestion de flotte automobile -, de mises à jour, de supports d'installation et de documentation, de maintenance-support et de prestations associées sans développement spécifique - installation, paramétrage, formation, etc.

M. Gaël Menu, directeur général de SCC France, a rappelé l'importance de marché pour le développement des PME françaises : « Nos PME françaises n'ont qu'un accès limité aux grandes marketplaces internationales. Leur développement, comme leur promotion, repose donc largement sur des dispositifs tels que l'Ugap, plutôt que sur les contrats passés avec les plateformes des grands hyperscalers »^478(*).

Pour autant, comme l'a admis M. Menu, la bibliothèque multi-éditeurs de l'Ugap n'intègre pas de fonctionnalité permettant à l'acheteur d'identifier les éditeurs garantissant l'immunité de leur offre vis-à-vis du droit extraterritorial étranger.

En parallèle, l'Ugap a passé des marchés spécifiquement dédiés à deux grands éditeurs de logiciels, Microsoft et Oracle, qui ont représenté respectivement environ 230 millions et 100 millions d'euros de ventes en 2024. Au premier trimestre de 2025, sept des dix prestations de services les plus vendues par l'Ugap concernaient des produits Microsoft.

Enfin, un autre marché, passé sous la forme d'un accord-cadre dont le titulaire est le groupement composé des entreprises Crayon et SMLB, porte sur des prestations d'hébergement en cloud.

Lorsqu'un client demande à l'Ugap un devis pour des prestations d'hébergement en cloud, il lui est demandé s'il souhaite que le fournisseur ne soit pas soumis à une législation extra-européenne. S'il répond par l'affirmative, une liste de fournisseurs non assujettis au droit extraterritorial étranger lui est alors proposée. Pour M. Jossa, la situation se résume en ces termes : « En somme, il revient à l'utilisateur final d'assumer la responsabilité de ses choix, tant l'organisation des marchés publics se révèle complexe dans le domaine du numérique »^486(*).

Pourtant, au détriment, précisément, de cette obligation de conseil, l'Ugap semble engagée dans une démarche de simple mise en relation de l'offre et de la demande : « Si, un jour, l'État décide d'interdire Microsoft, l'Ugap cessera de lui vendre des logiciels de cette marque. En tant que centrale d'achat, l'Ugap n'a pas un rôle prescripteur. Elle se contente de répondre aux demandes des clients utilisateurs des solutions. Si elle ne proposait plus de produits Microsoft, d'autres centrales prendraient le relais. De fait, des marchés Microsoft sont passés par le Resah, la Canut ou UniHA »^487(*).

Interrogé par la commission d'enquête sur d'éventuelles actions d'information ou de sensibilisation des acheteurs publics aux risques pesant sur les données qu'ils confient à des fournisseurs de cloud extra-européens, M. Jossa a reconnu ne pas être « suffisamment au fait de la manière dont [ses] commerciaux interviennent sur ce sujet »^488(*) pour répondre.

S'il admet que l'Ugap doit réaliser des progrès en la matière - « De toute évidence, un travail reste à mener, de notre part, sur ce sujet. Jusqu'ici, nous nous sommes surtout concentrés sur la satisfaction des besoins de nos clients, quels qu'ils soient, dans le respect du code de la commande publique, dont l'application n'est pas toujours aisée »^489(*) -, il est particulièrement inquiétant de constater qu'un acteur aussi important de l'achat public peine autant à prendre conscience des enjeux vitaux qui sont attachés à la protection des données publiques françaises.

De manière générale, il a indiqué que 1 % seulement des références proposées par l'Ugap à ses clients étaient labellisées « Made in France », ce qui, malgré des progrès récents, s'avère encore tout à fait insuffisant : « Au-delà du numérique, l'Ugap a décidé, malgré de nombreux avertissements juridiques, d'afficher dans son catalogue des labels « Made in France », de sorte que celui-ci ne propose pas moins de 10 000 références fabriquées en France, contre 2 000 à peine voici quelques années encore - certes, sur un total de plus d'un million ». Ce constat rejoint celui formulé par la délégation aux entreprises du Sénat dans son récent rapport sur le « Fabriqué en France »^490(*).

c) Agir pour défendre notre souveraineté numérique par la commande publique : une nécessité impérieuse

(1) Contrairement aux idées reçues, la France dispose d'acteurs d'envergure dans le domaine de l'hébergement en nuage

Comme dans le cas de la plateforme des données de santé (PDS), l'absence supposée d'acteurs français ou européens capables de rivaliser avec les champions étrangers, et notamment américains, en matière d'hébergement en cloud est souvent mise en avant pour justifier le recours à des solutions étrangères, dans le cadre d'une logique d'autodénigrement systématique.

Ainsi Mme Anne Perrot, inspectrice générale des finances et correspondante du Conseil d'analyse économique (CAE), a-t-elle par exemple déclaré devant la commission d'enquête : « Concernant la souveraineté numérique, le problème principal est l'absence d'entreprise européenne de taille mondiale dans ce secteur, malgré les talents disponibles en Europe »^491(*).

À l'instar d'Hexatrust et de France Digitale, le député Philippe Latombe a très clairement affirmé que la France disposait d'entreprises susceptibles de répondre aux besoins des administrations publiques : « Avons-nous des solutions pour héberger ces données ? Oui. Parmi toutes les entreprises françaises qui peuvent le faire, je citerai OVH, Scaleway et NumSpot depuis quelques jours, ou encore Outscale ou Cloud Temple »^492(*).

La société OVHcloud, dont la commission d'enquête a rencontré le président, M. Octave Klaba, emploie ainsi 3 000 personnes, réalise un chiffre d'affaires annuel de l'ordre d'un milliard d'euros et investit chaque année 350 millions d'euros, avec une cible de 600 millions d'euros à l'horizon de 2030.

Cet écosystème extrêmement dynamique représente une opportunité unique pour la France et l'Union européenne et doit être mis à contribution pour assurer la protection des données publiques européennes, ce qui favoriserait la poursuite de son développement et contribuerait à son indispensable amplification.

M. Guillaume Poupard, directeur général adjoint de Docaposte et ancien directeur général de l'Anssi, l'a affirmé devant la commission d'enquête : « Aujourd'hui, il est certain que des acteurs français sont prêts ! Leur catalogue de services est certes moins complet que celui des Gafam, mais, lorsque l'on achète une voiture, on n'achète pas l'ensemble du catalogue de la marque. Aujourd'hui, les clouders français proposent les services dont nous avons besoin »^493(*).

(2) Assurer la protection des données détenues par les services de l'État contre le droit extraterritorial étranger

Il importe aujourd'hui d'accélérer la migration des données publiques particulièrement sensibles vers des hébergeurs non soumis à des législations extraterritoriales étrangères, conformément à l'article 31 de la loi Sren.

Le décret d'application de ce dernier doit désormais être publié le plus rapidement possible et respecter la volonté du législateur afin de garantir la protection effective des données les plus sensibles, manifestement traitées de façon encore trop négligente par certaines administrations publiques.

En outre, la commission d'enquête partage entièrement la remarque formulée par M. Poupard quant au champ des données qualifiées de « sensibles » : « Le périmètre des données sensibles ne doit pas pour autant être trop réduit. Ainsi, les données issues de l'éducation, voire de la santé, ne sont pas formellement reconnues comme sensibles aujourd'hui »^494(*).

Certaines personnes auditionnées, comme M. Thomas Balladur, PDG d'Interstis, ont même estimé qu'il fallait « inverser la logique : considérer par défaut que toute donnée produite par une administration publique est sensible, à l'exception de celles explicitement déclassifiées »^495(*). De cette façon, il serait clair que « ces données doivent échapper au droit américain »^496(*).

Il est donc urgent de considérer l'ensemble des données publiques comme sensibles à afin de mieux assurer leur protection.

Pour ce faire, la commission d'enquête croit d'abord nécessaire d'amener l'ensemble des acheteurs publics, et notamment les collectivités territoriales, à exploiter les marges de manoeuvre juridiques dont ils disposent pour favoriser des fournisseurs de services de cloud européens.

En effet, il est possible d'introduire dans les cahiers des charges des procédures de mise en concurrence des clauses techniques ou organisationnelles visant à garantir l'immunité des données des marchés concernés contre les législations extraterritoriales étrangères, dans le respect des règles du droit de l'Union européenne et de l'Organisation mondiale du commerce (OMC).

Du député Philippe Latombe à M. Guillaume Poupard, en passant par OVHcloud, tous les acteurs interrogés sur ce point par la commission d'enquête se sont dits favorables à l'insertion de clauses de souveraineté dans les cahiers des charges des marchés publics comportant des prestations d'hébergement de données en cloud.

Dans un tel cas, cette intégration devrait constituer une obligation, au même titre que l'inclusion prochaine dans tous les marchés d'au moins une clause environnementale.

Une fois cette première étape franchie, il sera nécessaire de faire en sorte que les solutions choisies pour l'hébergement des données publiques garantissent obligatoirement leur protection contre le droit extraterritorial étranger.

Il est évident qu'en l'état actuel des choses, la mise en oeuvre de l'obligation de recourir, pour l'hébergement de ces données, à des offres disposant de la qualification SecNumCloud serait susceptible de susciter des difficultés.

En premier lieu, ces offres sont, logiquement, encore très limitées, ainsi que l'a rappelé M. Hugo Ruggieri, directeur juridique et délégué à la protection des données de Doctrine : « Il y a un panel d'offres très limité d'hébergements SecNumCloud : seuls quelques acteurs sont certifiés, et pas pour toutes leurs offres. OVH, par exemple, propose un type d'offre très particulier avec moins de fonctionnalités que ses autres offres »^498(*).

M. Guillaume Poupard, qui ne s'est pas déclaré défavorable à la protection de l'ensemble des données publiques par le biais d'offres disposant de la qualification SecNumCloud, appelle toutefois à avancer progressivement dans cette voie : « Faut-il que toutes les données publiques imaginables soient hébergées sur du cloud qualifié SecNumCloud ? On pourrait le souhaiter, mais cela pourrait s'avérer contre-productif et faire peur à nos partenaires. Il convient donc, par pragmatisme, de procéder par étapes, en commençant par les données sensibles. Pour autant, la définition de celles-ci ne va pas de soi, et ce travail impose d'accepter que certaines données soient moins sensibles - je le dis non par gaieté de coeur, mais par souci de pragmatisme »^499(*).

Soucieuse de faire preuve de réalisme, la commission d'enquête a pleinement conscience de l'impossibilité matérielle de réaliser une telle ambition à brève échéance. Elle juge cependant indispensable la fixation d'un tel horizon à atteindre au cours des prochaines décennies, non seulement pour protéger les données publiques des Français, mais aussi pour stimuler l'innovation et le développement de l'écosystème national du cloud.

Elle propose néanmoins dans l'intervalle une démarche ambitieuse et progressive, conduisant à revoir le contenu et le niveau d'exigence de la doctrine « cloud au centre ».

Il conviendrait en effet, pour toutes les données publiques, conformément aux recommandations n° 23 et 24, de garantir leur immunité aux législations extraterritoriales. Dans l'attente du développement suffisant de l'écosystème SecNumCloud, et pour les données publiques les moins sensibles, cette immunité devrait être garantie contractuellement, par une clause dédiée dans le cadre des marchés publics.

Il est néanmoins crucial de garantir le respect immédiat de l'obligation de recours à une offre qualifiée SecNumCloud pour l'hébergement de données d'une sensibilité particulière, en application de la réglementation actuellement en vigueur.

En tout état de cause, la commission d'enquête appelle les administrations concernées à retenir de préférence, à cet effet, des solutions reposant sur des technologies intégralement souveraines plutôt que des offres hybrides, associant un opérateur européen et une technologie étrangère, dont la résilience en cas de coupure de ce lien technologique ne semble, selon plusieurs experts entendus par la commission d'enquête, pas garantie.

En dehors du cas de l'hébergement en cloud, sur lequel se sont concentrés les travaux de la commission d'enquête, plusieurs de ses interlocuteurs ont mis en lumière les risques liés à l'exploitation des données collectées par les cabinets de conseil étrangers dans le cadre des missions qui leur sont confiées par les entités publiques françaises.

M. Alain Juillet, notamment, a insisté sur cette question déterminante : « Chaque fois qu'un rapport est réalisé par un cabinet de conseil, une copie de celui-ci est envoyée au siège. Si le cabinet est américain, le rapport part donc aux États-Unis. On vous répondra - si l'on daigne vous répondre - que le rapport est alors anonymisé. Toutefois, imaginons qu'une étude sur les centrales nucléaires de Cadarache, de Tricastin ou de Flamanville soit réalisée par un cabinet américain. Le rapport sera envoyé aux États-Unis et ne mentionnera qu'une centrale nucléaire, sans plus de précision. Pour autant, là-bas, personne ne s'y trompera ; ils sauront ce qui se passe chez nous »^500(*).

Compte tenu de l'ampleur - déjà révélée par des rapports parlementaires, notamment - du recours par l'État et d'autres organismes publics aux services de ces cabinets et à la sensibilité des données auxquelles ces derniers peuvent avoir accès à cette occasion, il paraît souhaitable de prévoir l'insertion systématique, dans les cahiers des charges des marchés incluant des prestations de conseil, d'une clause interdisant le transfert vers un pays tiers des livrables produits dans le cadre de ces prestations et d'une clause de non-soumission aux lois extraterritoriales étrangères.

Enfin, pour remédier à l'éparpillement des acteurs de la politique numérique de l'État, il conviendrait de réaffirmer le rôle de pilote du Premier ministre en la matière, à travers la Dinum, cette dernière devant d'ailleurs être la seule structure habilitée à définir la réglementation applicable en la matière et avoir autorité sur les directions du numérique des différents ministères.

Dans le même temps, il convient de rappeler une fois pour toutes aux services de l'État que le respect des prescriptions de la doctrine « cloud au centre » revêt un caractère obligatoire, et non facultatif.

(3) Faire de l'Ugap un outil de souveraineté

S'agissant de l'Ugap, son PDG, M. Edward Jossa, s'est engagé devant la commission d'enquête à mieux conseiller à l'avenir les acheteurs publics au sujet de l'exposition de leurs données à des législations extraterritoriales étrangères : « (...) Je comptais vous faire part de suggestions à l'issue de cette audition. Dans le cadre du marché multi-éditeurs, nous devrions donner à nos clients plus d'informations sur les éditeurs de logiciels et leurs conditions d'hébergement. Il y a encore du travail à faire et, lors de vos auditions, celle-ci comme les précédentes, nous avons appris des choses sur lesquelles il nous faut maintenant réfléchir »^501(*).

Il appartiendra au Parlement de s'assurer, au cours des mois et des années à venir, que ces engagements sont tenus. Il n'est pas concevable, en effet, qu'une structure disposant d'un tel poids au sein de l'écosystème de la commande publique n'exerce pas avec zèle son rôle de conseil en la matière, compte tenu de l'ampleur des risques encourus en matière de souveraineté numérique.

Il serait judicieux, pour garantir la mise en oeuvre de mesures concrètes en ce sens, d'assurer un véritable pilotage politique de l'Ugap, qui fait cruellement défaut aujourd'hui.

À cet égard, dans un souci de cohérence, il conviendrait d'en confier la tutelle au seul ministre de l'économie, des finances et de la souveraineté industrielle et numérique, qui l'assure aujourd'hui conjointement avec le ministre chargé de l'éducation nationale.

Dans la même logique, la commission d'enquête préconise d'inclure un député et un sénateur au sein du conseil d'administration de l'Ugap, qui comprend actuellement six représentants de l'État, trois personnalités qualifiées au titre des collectivités locales, trois personnalités choisies en raison de leur compétence dans le domaine d'activité de l'Ugap et six représentants des salariés^502(*).

En tout état de cause, les recommandations formulées par la commission d'enquête et portant sur le recours à des offres qualifiées SecNumCloud pour l'hébergement des données publiques stockées en cloud, l'élargissement du périmètre des données considérées comme particulièrement sensibles et l'insertion d'une clause de non-soumission à des lois extraterritoriales étrangères dans tous les marchés publics comportant des prestations d'hébergement de données en cloud ont vocation à s'appliquer à l'Ugap et aux autres centrales d'achat.

Il est par ailleurs urgent qu'au travers de la DAE et avec l'appui de la Dinum, l'État fixe à l'Ugap des lignes directrices visant à favoriser le recours à des solutions véritablement souveraines en matière de logiciels et d'hébergement en cloud afin que l'établissement contribue à la structuration de ces filières en France et en Europe et à la souveraineté de notre économie en général.

2. Offrir à nos start-ups des perspectives de développement grâce à la commande publique pour nous affranchir des solutions étrangères

a) L'accès des start-ups à la commande publique : le parcours du combattant

(1) Les start-ups peinent à remporter des marchés publics en France

La commande publique constitue un levier essentiel de croissance pour les entreprises de manière générale, et plus particulièrement pour les start-ups.

L'association France Digitale, qui oeuvre à favoriser l'émergence de champions européens du numérique, résume en ces termes les enjeux que représente l'achat public pour ces acteurs de l'innovation : « La commande publique joue un rôle particulier en ce qu'elle permet à une entreprise - davantage qu'aucune subvention - de générer du chiffre d'affaires et d'estimer ses potentialités de croissance. Une entreprise innovante doit en effet d'abord investir avant d'atteindre le cap de la rentabilité, le chiffre d'affaires permettant donc de s'orienter vers un parcours économique plus classique, ouvrant l'accès au crédit bancaire »^503(*). Au surplus, « une deuxième dimension de l'acte de la commande publique tient à son caractère structurant, qui engage les deux cocontractants sur le long terme, qu'il s'agisse de l'acheteur public ou du fournisseur ».

Pourtant, et malgré une progression de 18 % entre 2021 et 2022, seul 1 % du montant total de la commande publique, soit 1,75 milliard d'euros, a été consacré à des achats auprès des start-ups en 2022 selon l'Observatoire des relations entre start-ups et grands comptes. Cette proportion est inférieure de plus de 50 % à la médiane de la part des achats des grands groupes effectués auprès des start-ups, qui s'établissait à 2,4 % en 2022.

Les start-ups captaient une part très légèrement supérieure des achats des ministères cette même année - 1,31 %, soit 296 millions d'euros.

Évolution des achats effectués auprès des start-ups

(en milliards d'euros)

Total de la commande publique Achats des ministères

Source : Rapport de l'Observatoire des relations entre start-ups et grands comptes, édition 2023

Du reste, 43 % des 335 start-ups de secteurs très divers ayant répondu à un sondage mené par l'Observatoire ont déclaré ne pas réaliser de chiffre d'affaires auprès du secteur public, tandis que 31 % d'entre elles indiquaient que ce dernier représentait moins de 20 % de leur chiffre d'affaires.

Réponses des start-ups interrogées au sondage de l'Observatoire
des relations entre start-ups et grands comptes

Source : Rapport de l'Observatoire des relations entre start-ups et grands comptes, édition 2023

Comme le souligne Hexatrust, association professionnelle des acteurs français et européens de la cybersécurité et du cloud de confiance, en dressant un constat similaire s'agissant de l'accès de la filière française de la cybersécurité aux marchés publics, « cette situation est d'autant plus paradoxale que les entreprises françaises démontrent une excellence technologique reconnue internationalement »^508(*).

(2) Les causes de ce phénomène sont multiples et résident notamment dans les principes du droit européen et les carences des acheteurs publics

Un grand nombre de freins limitant l'accès des start-ups à la commande publique ont été identifiés par la commission d'enquête.

À en croire ces entreprises elles-mêmes, les principales causes de cette problématique résideraient dans la longueur des cycles de vente, les difficultés à entrer en contact avec les acheteurs publics et l'inadaptation de la structure des appels d'offres au modèle des start-ups.

Les principaux freins rencontrés par les start-ups
pour accéder à la commande publique

Source : France Digitale et EY, Baromètre sur la performance économique et sociale des start-ups et fonds de capital-risque français, édition 2023.

France Digitale retient en particulier deux facteurs systémiques :

- l'encadrement des règles de passation des marchés par le droit européen, qui limite les initiatives nationales visant à favoriser l'accès des start-ups à la commande publique au nom du principe d'égalité de traitement des candidats et de l'interdiction du favoritisme ;

- et les difficultés d'intégration de la commande publique dans une réflexion stratégique et politique globale.

Sur ce dernier plan, l'association dénonce l'incohérence des politiques publiques menées au cours des dernières années en la matière : « Il est peu fructueux de faire émerger de nouvelles filières et de nouveaux acteurs économiques par des financements publics si, in fine, rien n'est fait pour permettre à l'État d'acquérir ou d'utiliser les innovations produites en France »^509(*). Elle rappelle également qu'« aujourd'hui, certaines start-ups se retrouvent en concurrence avec des administrations publiques, qui préfèrent internaliser une solution ».

Un certain nombre de causes secondaires de difficultés d'accès aux marchés publics ont également été identifiées :

- un manque de dialogue oral entre start-ups et acheteurs publics et le caractère limitant de la procédure écrite, qui ne permet pas toujours aux acheteurs de comprendre la plus-value d'une brique innovante dans son marché et d'adapter en conséquence son appel d'offres ;

- la tendance des acheteurs publics à privilégier les grands groupes en reconduisant par réflexe le même cahier des charges que pour les appels d'offres précédents, imposant aux start-ups des critères inadaptés tels que des exigences de capacités financières ne correspondant pas à leur modèle économique, de références dont elles disposent rarement, de nombreux documents difficiles à fournir ou de critères secondaires pénalisant les petites entreprises ;

- l'absence de prise en compte des variantes dans les appels d'offres, ce qui exclut de nombreuses start-ups ;

- les délais induits par la lenteur des procédures d'examen des offres, tandis que les délais de soumission sont souvent trop courts pour des start-ups ;

- le manque de données relatives aux marchés passés, qui empêche les start-ups de comprendre les critères de qualité d'une offre aux yeux d'un acheteur public ;

- la centralisation excessive des décisions au niveau ministériel, qui limite la mise en place de projets pilotes dans les directions métiers ou locales ;

- des délais de paiement trop longs, qui pénalisent les start-ups, dont la trésorerie est globalement fragile ;

- la multitude de documents et d'informations à fournir à chaque appel d'offres, qui décourage les candidatures de start-ups ;

- et l'inadéquation entre l'achat public et l'innovation.

C'est sur ce dernier point qu'a insisté tout particulièrement M. Pierre Pelouzet, Médiateur des entreprises : « Quand les grands acheteurs veulent réaliser un achat, ils définissent un besoin, lancent un appel d'offres et retiennent l'offre présentant le meilleur rapport qualité-prix. Or, par définition, les start-ups ne répondent pas à un besoin existant, mais proposent une nouveauté. Elles ont donc du mal à se positionner sur des besoins existants et à être compétitives et, dans le même temps, à trouver des portes d'entrée pour leurs innovations »^510(*).

Par ailleurs, « les grands comptes et les start-ups n'ont pas la même notion du temps. Le même délai de réalisation d'un achat est perçu comme normal par les grands acheteurs publics et privés et comme infiniment long par les start-ups, qui craignent que leur innovation ne s'essouffle ou que leurs financements ne s'épuisent »^511(*).

S'y ajoute un troisième facteur de dissonance : la recherche de sécurité juridique de la part des acheteurs publics, qui ne favorise pas le choix - risqué par nature - de prestataires de très petite taille. Ainsi, pour France Digitale, « l'objectif principal d'une procédure de commande publique est de limiter les risques. La priorité d'un acheteur public est donc de s'assurer que le marché soit inattaquable et parfaitement conforme. Il adopte une approche avant tout juridique, ce qui ne l'incite pas à se tourner vers des start-ups qui, de fait, ne peuvent apporter autant de garanties financières qu'un grand groupe et ont moins d'années d'exercice et des effectifs plus réduits. L'entreprise d'une taille plus importante et ayant déjà une expérience des marchés publics sera donc toujours favorisée »^512(*).

Ces éléments permettent d'expliquer le recours par un certain nombre d'acheteurs publics aux offres de grands fournisseurs étrangers, notamment dans le domaine du numérique.

Un choix qui, selon Hexatrust, amorcerait un cercle vicieux : « Le recours à des acteurs extra-européens doit également être analysé sous l'angle économique : celui-ci fait fuir de la valeur ajoutée hors du territoire national, un processus amplifié par les stratégies d'optimisation fiscale agressives des grands acteurs étrangers. Avec pour conséquence un affaiblissement de l'écosystème numérique français, notamment via la perte de compétences et d'expertise locales »^513(*).

b) La clé de la souveraineté numérique : piloter stratégiquement le développement de l'innovation par le biais de la commande publique

(1) Des dispositifs spécifiques facilitent les achats publics innovants

Pourtant, les acheteurs publics disposent de plusieurs outils pour soutenir l'innovation et favoriser le développement de nos start-ups, à commencer par le partenariat d'innovation.

Présentation schématique de l'exécution d'un partenariat d'innovation
conclu avec trois partenaires

Source : Direction des affaires juridiques des ministères économiques et financiers.

Par ailleurs, le dispositif dit « achats innovants », lancé à titre expérimental en 2018^528(*) et pérennisé en 2021^529(*), permet aux acheteurs publics de passer un marché sans publicité ni mise en concurrence préalables portant sur des travaux, fournitures ou services innovants et répondant à un besoin dont la valeur estimée est inférieure à 100 000 euros HT^530(*).

Un dispositif similaire a été créé en 2024 pour les marchés de défense ou de sécurité (MDS), à ceci près que la valeur estimée du marché concerné doit être inférieure à 300 000 euros HT^531(*).

Dans les deux cas, la même possibilité est accordée aux acheteurs publics pour les lots dont le montant est inférieur à 80 000 euros HT pour des fournitures ou des services innovants ou à 100 000 euros HT pour des travaux innovants et dont le montant cumulé n'excède pas 20 % de la valeur totale estimée de tous les lots.

Le code de la commande publique impose à l'acheteur de veiller, lorsqu'il fait usage de cette faculté, à choisir une offre pertinente, à faire une bonne utilisation des deniers publics et à ne pas contracter systématiquement avec un même opérateur économique lorsqu'il existe une pluralité d'offres susceptibles de répondre au besoin.

(2) Des instruments qui n'ont pas encore trouvé leur public et doivent être assouplis et renforcés

De l'aveu de plusieurs des acheteurs entendus par la commission d'enquête, le recours à ces dispositifs est encore largement insuffisant.

Ainsi, pour M. Alain Bénard, président de l'Association des acheteurs publics (AAP), « la difficulté, pour les très nombreux acheteurs publics locaux, réside dans l'identification des besoins susceptibles d'être satisfaits par un marché d'innovation, besoins qui diffèrent selon que l'on est une commune de 60 000 habitants, ou une communauté d'agglomération de 350 000 habitants comprenant 42 communes. (...) Les acheteurs éprouvent des difficultés à lancer ces marchés d'innovation, faute d'être en mesure d'identifier leurs besoins qui correspondent à ces marchés »^532(*).

De même, « le partenariat d'innovation est très peu utilisé », d'après M. Jean-Marc Peyrical, président de l'Association pour l'achat dans les services publics (Apasp), qui partage, sur cette question, le pessimisme de son confrère : « L'innovation fait un peu peur aux acheteurs publics d'aujourd'hui, car ils sont peu familiers de ce milieu. On en revient à l'importance des rencontres entre acheteurs et entreprises. Les entreprises ont plein d'idées, mais la priorité des acheteurs est d'acheter vite et de manière efficace. Je crains que l'innovation passe après les préoccupations sociales et environnementales »^533(*).

M^e Laurent Bidault, avocat spécialisé en matière de protection des données personnelles, porte un regard analogue sur la situation. Selon lui, « ce type de contrat [le partenariat d'innovation] est sous-utilisé, car les acheteurs l'imaginent réservé aux grands projets et craignent de manquer d'expertise face au partenaire privé. Ce n'est pourtant pas plus compliqué qu'un dialogue compétitif ou un marché d'acquisition d'un logiciel. Comme pour des opérations de construction complexes, l'acheteur peut s'entourer d'experts. Ce raisonnement, admis dans les marchés de construction, pourrait parfaitement s'appliquer aux marchés numériques. Une piste à suivre serait donc de mieux faire connaitre le partenariat d'innovation »^534(*).

Le dispositif « achats innovants » pâtit des mêmes réticences : seuls 26 % des acheteurs interrogés par l'Observatoire économique de la commande publique (OECP) en 2020 ont déclaré avoir l'intention d'y recourir prochainement, alors que 72 % d'entre eux déclaraient le connaître^535(*).

France Digitale, qui juge elle aussi insuffisant le recours à ce dispositif, identifie quatre raisons principales à ce phénomène :

- le montant de 100 000 euros HT est souvent insuffisant pour permettre de générer des innovations de rupture, par exemple dans les domaines de l'industrie, du quantique ou de la biotech ;

- la difficile appréhension de la notion d'innovation, dont la définition est très large et peu claire ;

- le manque de formation des acheteurs à l'achat innovant ;

- et les risques d'annulation du marché, voire de condamnation pour favoritisme.

S'agissant du premier point, l'Assemblée nationale a récemment adopté, dans le cadre de l'examen du projet de loi de simplification de la vie économique, un amendement du Gouvernement visant à donner une valeur législative au dispositif « achats innovants » et à relever le montant en deçà duquel celui-ci peut être utilisé au niveau du seuil européen de procédure formalisée applicable aux marchés de fournitures et de services passés par les pouvoirs adjudicateurs centraux, soit 143 000 euros HT^536(*) - un montant qui doit d'ailleurs être révisé au 1^er janvier 2026 -, à compter du 1er juillet 2025.

Au surplus, les députés ont adopté un amendement gouvernemental insérant dans le code de la commande publique un article L. 2113-17, lequel permet aux acheteurs publics, lorsqu'ils passent un marché alloti portant sur des travaux, des fournitures ou des services innovants et répondant à un besoin dont la valeur estimée est inférieure au même seuil de 143 000 euros HT, de réserver 15 % du montant total des lots de ces marchés à des jeunes entreprises innovantes (JEI)^537(*). Ce taux a ensuite été porté à 30 % en séance publique^538(*).

En revanche, un article inséré par le Sénat à l'initiative de plusieurs de ses groupes politiques et intégrant dans le champ des achats innovants les travaux, fournitures et services « qui tiennent compte de leurs incidences énergétiques et environnementales et qui recourent en priorité à des matériaux issus de la seconde main, du réemploi, de la réutilisation et du recyclage »^539(*) a été supprimé par l'Assemblée nationale, au motif que cette définition de l'innovation n'était pas compatible avec les dispositions de la directive 2014/24/UE sur la passation des marchés publics.

Il apparaît aujourd'hui nécessaire de renforcer ces dispositifs et de massifier leur utilisation. Ils peuvent en effet constituer un levier extrêmement efficace pour faire émerger tout un écosystème et libérer nos services publics et nos entreprises de leurs dépendances, notamment à l'égard des offres américaines dans le domaine du numérique.

Devant la délégation de la commission d'enquête qui s'est rendue à Lille le 5 mai 2025, M. Octave Klaba, président du conseil d'administration d'OVHcloud, a d'ailleurs mis en lumière ce qu'il considère comme le meilleur moyen de favoriser le développement de l'innovation en France : garantir des marchés en contrepartie de l'effort d'investissement demandé.

Aussi a-t-il indiqué qu'il serait possible à sa société - ou à des concurrents - de produire en deux ans une solution collaborative comparable à l'offre Office 365 de Microsoft et que celle-ci serait prête à investir 50 millions d'euros chaque année à cet effet si un marché d'une valeur de 20 millions d'euros par an lui était garanti à terme. Or, ce type de projet est justement réalisable dans le cadre d'un partenariat d'innovation.

La commission d'enquête préconise par conséquent de permettre à chaque catégorie d'acheteurs publics de recourir au dispositif « achats innovants » pour des marchés d'un montant inférieur au seuil européen applicable aux marchés de fournitures et de services qu'ils passent, à savoir :

- 143 000 euros HT pour les pouvoirs adjudicateurs centraux ;

- 221 000 euros HT pour les autres pouvoirs adjudicateurs, et notamment les collectivités territoriales ;

- et 443 000 euros HT pour les entités adjudicatrices et les MDS.

D'autre part, il est indispensable de remédier au flou entourant la définition de l'achat innovant pour sécuriser les acheteurs publics et réduire les risques contentieux et pénaux induits par la passation de marchés dans le cadre des procédures dédiées au soutien à l'innovation.

En rappelant que depuis mai 2025, les travaux, fournitures et services proposés par les JEI n'étaient plus considérés comme innovants, et ce de façon à assurer la conformité du dispositif au droit de l'Union européenne, M. Yann Boulay, responsable des affaires publiques de France Digitale, a en effet indiqué que si la définition de l'innovation « était censée faciliter le recours à ce dispositif, elle constitue en réalité une source d'insécurité pour les acheteurs qui, à défaut de pouvoir appréhender le caractère innovant d'une solution, n'ont finalement pas recours au dispositif » et estimé qu'il était « essentiel de diminuer ce risque pesant sur les acheteurs grâce à un faisceau d'indices renforcé »^540(*).

De fait, l'article 2 de la directive 2014/24/UE sur la passation des marchés publics définit l'innovation comme « la mise en oeuvre d'un produit, d'un service ou d'un procédé nouveau ou sensiblement amélioré, y compris mais pas exclusivement des procédés de production ou de construction, d'une nouvelle méthode de commercialisation ou d'une nouvelle méthode organisationnelle dans les pratiques, l'organisation du lieu de travail ou les relations extérieures de l'entreprise, notamment dans le but d'aider à relever des défis sociétaux ou à soutenir la stratégie Europe 2020 pour une croissance intelligente, durable et inclusive ».

Cette définition, particulièrement englobante, est symétriquement transposée à l'article L. 2172-3 du code de la commande publique, sans plus de précision.

Dans ce contexte, la commission d'enquête invite le Gouvernement à porter, dans le cadre de la révision en cours de la réglementation européenne de la commande publique, la piste d'une simplification de la définition de l'innovation afin de permettre aux acheteurs publics de mieux distinguer ce qui est susceptible d'être considéré comme tel de ce qui ne l'est pas.

(3) Mobiliser tous les leviers disponibles pour favoriser l'innovation

D'autres mesures pourraient utilement être mises en oeuvre pour compléter la boîte à outils que les acheteurs publics sont en capacité de mobiliser en soutien au développement des start-ups.

L'abaissement des garanties demandées aux entreprises pour pouvoir répondre à un appel d'offres constitue la piste la plus intéressante à cet égard.

De fait, conformément à l'article 58 de la directive 2014/24/UE sur la passation des marchés publics, le code de la commande publique permet aux acheteurs publics d'imposer aux opérateurs économiques des conditions relatives à leurs capacités économiques et financières.

De plus, les acheteurs publics sont autorisés à définir des conditions relatives aux capacités techniques et opérationnelles des entreprises candidates.

Ils peuvent donc imposer des conditions garantissant que les opérateurs économiques possèdent les ressources humaines et techniques et l'expérience nécessaires pour exécuter le marché en assurant un niveau de qualité approprié^546(*).

À titre d'exemple, M. Yann Boulay, responsable des affaires publiques de France Digitale, a indiqué à la commission d'enquête que l'entreprise WeMaintain « a été disqualifiée d'un appel d'offres pour la maintenance des équipements^547(*) de l'université Panthéon-Sorbonne au motif qu'elle ne disposait pas d'une usine de fabrication de pièces détachées et d'un centre de formation dédié, ce qui a été perçu comme un manque de capacité à répondre aux exigences du marché : dans la pratique, ce type de critères avantage largement les grands groupes, qui sont les seuls à pouvoir les satisfaire »^548(*).

De même, il est loisible aux acheteurs publics d'exiger que les opérateurs économiques disposent d'un niveau d'expérience suffisant, démontré par des références adéquates provenant de marchés exécutés antérieurement, étant précisé que l'absence de références relatives à l'exécution de marchés de même nature ne peut justifier, à elle seule, l'élimination d'un candidat^549(*).

Aux yeux de la commission d'enquête, ces dispositions représentent un frein considérable à l'accès aux marchés publics des start-ups, dans la mesure où elles peuvent conduire à écarter leurs offres au prétexte, entre autres, d'un chiffre d'affaires insuffisant, malgré la solidité de leurs capitaux propres ou du soutien de leurs investisseurs, ou d'un manque d'ancienneté.

Elle recommande dès lors, d'une part, d'abaisser le plafond de droit commun du chiffre d'affaires minimal exigible, de deux fois le montant estimé du marché ou du lot à une fois et demie ce montant, afin d'assurer la capacité des entreprises les plus petites et les plus jeunes à soumissionner. Il serait opportun qu'en parallèle, les acheteurs publics eux-mêmes donnent de l'élan à cette évolution en exigeant - lorsqu'ils peuvent le faire - un chiffre d'affaires minimal encore inférieur à ce nouveau plafond.

D'autre part, la commission d'enquête suggère de ne permettre la fixation de conditions relatives aux capacités techniques et opérationnelles des soumissionnaires que si celle-ci est justifiée par l'objet ou les conditions d'exécution du marché et proportionnée à l'objectif poursuivi, ce qui nécessiterait une révision de l'article 58 de la directive 2014/24/UE sur la passation des marchés publics.

In fine, au-delà même de la question des mécanismes de soutien à l'innovation, le développement de nos start-ups passera avant tout par la mobilisation de moyens plus importants.

En faisant le constant d'une asymétrie entre la France et les États-Unis, qui ont soutenu l'émergence des grands acteurs américains des nouvelles technologies par le biais de la commande publique, Hexatrust aboutit de fait à une conclusion partagée par la commission d'enquête : « Ce modèle de soutien public se retrouve aujourd'hui dans de nombreux pays (Arabie saoudite, Corée, Japon) et même, dans une certaine mesure, chez nos voisins européens comme l'Allemagne. Sans l'activation de ces leviers, la France aura des difficultés à faire émerger ses champions »^550(*).

M. Jean-Marc Joannès, rédacteur en chef d'achatpublic.info, porte d'ailleurs un regard analogue sur la véritable nature du problème : « Concernant le soutien aux start-ups, elles ont davantage besoin d'argent que de mesures juridiques pour se lancer et prospérer »^551(*).

L'effort financier nécessaire devrait s'appuyer sur le programme « Je choisis la French Tech », lancé en juin 2023 et piloté par la mission French Tech, administration de l'État rattachée à la direction générale des entreprises (DGE) et chargée de déployer les politiques publiques à destination des start-ups et de fédérer l'écosystème des start-ups en France et à l'international.

Ce programme rassemble plus de 600 entreprises et de 90 partenaires institutionnels autour d'un objectif central : le doublement des achats des acteurs publics et des grands groupes auprès des start-ups à l'horizon de 2027.

Pour atteindre cet objectif, des rencontres commerciales sont organisées, des engagements d'augmentation de leurs achats auprès de start-ups pris par certaines entreprises et des formations proposées aux start-ups, dont une sur la commande publique, construite en partenariat avec la start-up OpenClassrooms.

Toutefois, comme le rappelle France Digitale, « ce programme ne repose que sur le bon vouloir des acteurs engagés et n'assure pas de suivi des éventuelles contractualisations qu'il a pu favoriser. Par ailleurs, les collectivités territoriales et les établissements publics de santé ne sont pas associés au programme, alors qu'ils représentent la majorité des acheteurs publics en France »^552(*).

Il serait donc avisé, d'une part, d'y intégrer des représentants des collectivités territoriales et du secteur hospitalier et, d'autre part, de proposer aux acheteurs publics de s'engager, dans le cadre d'une charte, à atteindre des objectifs chiffrés en termes d'achat auprès de start-ups, par exemple à l'horizon de 2030.

* ⁴⁰⁷ Audition de M. Alain Juillet, 8 avril 2025.

* ⁴⁰⁸ Audition de M. Philippe Latombe, 8 avril 2025.

* ⁴⁰⁹ Une acquisition d'informations autorisée en application du Fisa ne peut cibler intentionnellement ni une personne dont on sait, au moment de l'acquisition, qu'elle se trouve aux États-Unis, ni une personne dont on peut raisonnablement penser qu'elle se trouve en dehors des États-Unis si le but de cette acquisition est de cibler une personne particulière connue dont on peut raisonnablement penser qu'elle se trouve aux États-Unis, ni une personne américaine dont on peut raisonnablement penser qu'elle se trouve en dehors des États-Unis. Par ailleurs, elle ne peut pas conduire à acquérir intentionnellement toute communication dont on sait, au moment de l'acquisition, que l'expéditeur et tous les destinataires se trouvent aux États-Unis, ni des communications qui contiennent une référence à une cible d'une acquisition autorisée en application du Fisa, mais qui ne sont pas destinées à celle-ci ou ne proviennent pas d'elle. Enfin, elle doit être menée d'une manière compatible avec le quatrième amendement à la Constitution des États-Unis, qui protège les citoyens contre les perquisitions et saisies non motivées et requiert un mandat précis reposant sur une présomption sérieuse pour procéder à une perquisition.

* ⁴¹⁰ Audition de M. Vincent Strubel, 28 mai 2025.

* ⁴¹¹ Audition de Microsoft France, 10 juin 2025.

* ⁴¹² Audition de Microsoft France, 10 juin 2025.

* ⁴¹³ Contribution écrite de Microsoft France à la suite de son audition.

* ⁴¹⁴ Source : contribution écrite de Microsoft France à la suite de son audition.

* ⁴¹⁵ Note du 13 février 2019 à la ministre des solidarités et de la santé, p. 5, publiée en annexe du rapport.

* ⁴¹⁶ Réponses écrites d'Hexatrust au questionnaire de la commission d'enquête.

* ⁴¹⁷ Audition de M. Alain Juillet, 8 avril 2025.

* ⁴¹⁸ Audition du ministère des armées, 25 mars 2025.

* ⁴¹⁹ Ibid.

* ⁴²⁰ Ibid.

* ⁴²¹ Audition de Microsoft France, 10 juin 2025.

* ⁴²² Réponses écrites d'Hexatrust au questionnaire de la commission d'enquête.

* ⁴²³ Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, article 16.

* ⁴²⁴ Circulaire du Premier ministre n° 6282/SG du 5 juillet 2021 relative à la doctrine d'utilisation de l'informatique en nuage par l'État (« cloud au centre »).

* ⁴²⁵ Circulaire de la Première ministre n° 6404/SG du 31 mai 2023 relative à l'actualisation de la doctrine d'utilisation de l'informatique en nuage par l'État (« cloud au centre »).

* ⁴²⁶ Réponses écrites de l'Anssi au questionnaire de la commission d'enquête.

* ⁴²⁷ Audition de M. Guillaume Poupard, 27 mai 2025.

* ⁴²⁸ Ibid.

* ⁴²⁹ Réponses écrites de l'Anssi au questionnaire de la commission d'enquête.

* ⁴³⁰ Ibid.

* ⁴³¹ Audition de M. Nicolas Guérin, 3 juin 2025.

* ⁴³² Audition de Microsoft France, 10 juin 2025.

* ⁴³³ Audition de M. Guillaume Poupard, 27 mai 2025.

* ⁴³⁴ Ibid.

* ⁴³⁵ Réponse du Gouvernement, publiée le 15 novembre 2022, à la question écrite n° 971 du député M. Philippe Latombe (XVI^ème législature).

* ⁴³⁶ Ibid.

* ⁴³⁷ Articles L. 213-2 et L. 214-6 du code de l'éducation.

* ⁴³⁸ Réponse du Gouvernement, publiée le 15 novembre 2022, à la question écrite n° 971 du député M. Philippe Latombe (XVI^ème législature).

* ⁴³⁹ Article L. 131-2 du code de l'éducation.

* ⁴⁴⁰ Article L. 123-4-1 du code de l'éducation.

* ⁴⁴¹ Réponses écrites de la Dinum au questionnaire de la commission d'enquête.

* ⁴⁴² Réponses écrites de l'ANS au questionnaire de la commission d'enquête.

* ⁴⁴³ Circulaire du secrétaire général du ministère de l'éducation nationale, de l'enseignement supérieur et de la recherche du 28 février 2025 relative à l'utilisation de suites collaboratives en ligne non-européennes dans les établissements scolaires.

* ⁴⁴⁴ Ibid.

* ⁴⁴⁵ Bulletin officiel des annonces des marchés publics, avis n° 25-28385, 14 mars 2025.

* ⁴⁴⁶ Réponses écrites du RMA des ministères de l'éducation nationale, de l'enseignement supérieur et de la recherche et des sports, de la jeunesse et de la vie associative au questionnaire de la commission d'enquête.

* ⁴⁴⁷ Audition de responsables ministériels des achats, 3 juin 2025.

* ⁴⁴⁸ Ibid.

* ⁴⁴⁹ Audition de Mme Stéphanie Schaer, 6 mai 2025.

* ⁴⁵⁰ Réponses écrites du RMA des ministères de l'éducation nationale, de l'enseignement supérieur et de la recherche et des sports, de la jeunesse et de la vie associative au questionnaire de la commission d'enquête.

* ⁴⁵¹ Décret n° 2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'État et à la direction interministérielle du numérique, article 5.

* ⁴⁵² Ibid, article 6.

* ⁴⁵³ Arrêté du 5 juin 2020 pris pour l'application de l'article 3 du décret n° 2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'État et à la direction interministérielle du numérique, article 1^er.

* ⁴⁵⁴ Ibid, article 2.

* ⁴⁵⁵ Ibid, article 3.

* ⁴⁵⁶ Audition de Mme Stéphanie Schaer, 6 mai 2025.

* ⁴⁵⁷ Réponses écrites du RMA des ministères de l'éducation nationale, de l'enseignement supérieur et de la recherche et des sports, de la jeunesse et de la vie associative au questionnaire de la commission d'enquête.

* ⁴⁵⁸ Audition de responsables ministériels des achats, 3 juin 2025.

* ⁴⁵⁹ Ibid.

* ⁴⁶⁰ Source : réponse du RMA des ministères de l'Éducation nationale, de l'Enseignement supérieur et de la Recherche et des Sports, de la Jeunesse et de la Vie associative au questionnaire de la commission d'enquête.

* ⁴⁶¹ Réponses écrites du RMA des ministères de l'éducation nationale, de l'enseignement supérieur et de la recherche et des sports, de la jeunesse et de la vie associative au questionnaire de la commission d'enquête.

* ⁴⁶² Courrier de l'avocat de l'entreprise Jamespot au président de la commission d'enquête, 16 juin 2025.

* ⁴⁶³ Réponses écrites de France Digitale au questionnaire de la commission d'enquête.

* ⁴⁶⁴ Réponses écrites de l'AMF au questionnaire de la commission d'enquête.

* ⁴⁶⁵ Réponses écrites de l'ADF au questionnaire de la commission d'enquête.

* ⁴⁶⁶ Réponses écrites de l'Ugap au questionnaire de la commission d'enquête.

* ⁴⁶⁷ Réponses écrites de la DAE au questionnaire de la commission d'enquête.

* ⁴⁶⁸ Audition de MM. Emmanuel Sallaberry, Hervé Fournier et Joël Marivain, 11 mars 2025.

* ⁴⁶⁹ Audition de M. Edward Jossa, 18 mars 2025.

* ⁴⁷⁰ Réponses écrites de l'Ugap au questionnaire de la commission d'enquête.

* ⁴⁷¹ Audition de MM. Guillaume Delarue, Jean-Marc Joannès et Grégory Kalflèche, 19 mars 2025.

* ⁴⁷² Audition de M. Edward Jossa, 18 mars 2025.

* ⁴⁷³ Ibid.

* ⁴⁷⁴ Audition de M. Nicolas Guérin, 3 juin 2025.

* ⁴⁷⁵ Ibid.

* ⁴⁷⁶ Audition de SCC France, 28 mai 2025.

* ⁴⁷⁷ Audition de M. Edward Jossa, 3 juin 2025.

* ⁴⁷⁸ Audition de SCC France, 28 mai 2025.

* ⁴⁷⁹ Audition de M. Edward Jossa, 3 juin 2025.

* ⁴⁸⁰ Ibid.

* ⁴⁸¹ Ibid.

* ⁴⁸² Audition de Mme Stéphanie Schaer, 6 mai 2025.

* ⁴⁸³ Ibid.

* ⁴⁸⁴ Mail du 11 juin 2025 au secrétariat de la commission d'enquête.

* ⁴⁸⁵ Mail du 10 juin 2025 au secrétariat de la commission d'enquête.

* ⁴⁸⁶ Audition de M. Edward Jossa, 3 juin 2025.

* ⁴⁸⁷ Ibid.

* ⁴⁸⁸ Ibid.

* ⁴⁸⁹ Ibid.

* ⁴⁹⁰ Mme Anne-Marie Nédélec et M. Franck Menonville, « Fabriqué en France : la compétitivité patriotique », rapport n° 754 (2024-2025), 18 juin 2025.

* ⁴⁹¹ Audition de Mme Anne Perrot et M. Stéphane Saussier, 19 mars 2025.

* ⁴⁹² Audition de M. Philippe Latombe, 8 avril 2025.

* ⁴⁹³ Audition de M. Guillaume Poupard, 27 mai 2025.

* ⁴⁹⁴ Ibid.

* ⁴⁹⁵ Audition de M. Thomas Balladur, 21 mai 2025.

* ⁴⁹⁶ Ibid.

* ⁴⁹⁷ Audition de Mme Clémence Olsina, 2 avril 2025.

* ⁴⁹⁸ Audition de France Digitale, 8 avril 2025.

* ⁴⁹⁹ Audition de M. Guillaume Poupard, 27 mai 2025.

* ⁵⁰⁰ Audition de M. Alain Juillet, 8 avril 2025.

* ⁵⁰¹ Ibid.

* ⁵⁰² Décret n° 85-801 du 30 juillet 1985 relatif au statut et au fonctionnement de l'Union des groupements d'achats publics, article 4.

* ⁵⁰³ Audition de France Digitale, 8 avril 2025.

* ⁵⁰⁴ Exposé des motifs de l'amendement n° CS1359 déposé par le Gouvernement devant l'Assemblée nationale dans le cadre de l'examen du projet de loi de simplification de la vie économique.

* ⁵⁰⁵ Direction des achats de l'État, L'État acheteur : chiffres clés 2023, décembre 2024.

* ⁵⁰⁶ France Digitale et EY, Baromètre sur la performance économique et sociale des start-ups et fonds de capital-risque français, édition 2023.

* ⁵⁰⁷ Commission européenne, SME needs analysis in public procurement, final report, février 2021.

* ⁵⁰⁸ Réponses écrites d'Hexatrust au questionnaire de la commission d'enquête.

* ⁵⁰⁹ Réponses écrites de France Digitale au questionnaire de la commission d'enquête.

* ⁵¹⁰ Audition de M. Pierre Pelouzet, 8 avril 2025.

* ⁵¹¹ Ibid.

* ⁵¹² Réponses écrites de France Digitale au questionnaire de la commission d'enquête.

* ⁵¹³ Réponses écrites d'Hexatrust au questionnaire de la commission d'enquête.

* ⁵¹⁴ Article L. 2172-3 du code de la commande publique.

* ⁵¹⁵ Loi n° 2023-1322 du 29 décembre 2023 de finances pour 2024, article 44.

* ⁵¹⁶ Loi n° 2025-391 du 30 avril 2025 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière économique, financière, environnementale, énergétique, de transport, de santé et de circulation des personnes, article 15.

* ⁵¹⁷ Article 44 sexies-0 A du code général des impôts.

* ⁵¹⁸ Article R. 2172-20 du code de la commande publique.

* ⁵¹⁹ Article R. 2172-21 du code de la commande publique.

* ⁵²⁰ Article R. 2172-22 du code de la commande publique.

* ⁵²¹ Article R. 2172-23 du code de la commande publique.

* ⁵²² Article R. 2172-24 du code de la commande publique.

* ⁵²³ Article R. 2172-25 du code de la commande publique.

* ⁵²⁴ Article R. 2172-26 du code de la commande publique.

* ⁵²⁵ Article R. 2172-30 du code de la commande publique.

* ⁵²⁶ Article R. 2172-31 du code de la commande publique.

* ⁵²⁷ Article R. 2172-32 du code de la commande publique.

* ⁵²⁸ Décret n° 2018-1225 du 24 décembre 2018 portant diverses mesures relatives aux contrats de la commande publique, article 1^er.

* ⁵²⁹ Décret n° 2021-1634 du 13 décembre 2021 relatif aux achats innovants et portant diverses autres dispositions en matière de commande publique, article 2.

* ⁵³⁰ Article R. 2122-9-1 du code de la commande publique.

* ⁵³¹ Article R. 2322-16 du code de la commande publique.

* ⁵³² Audition de MM. Jean-Luc Baras, Alain Bénard et Jean-Marc Peyrical, 25 mars 2025.

* ⁵³³ Ibid.

* ⁵³⁴ Audition de M. Thomas Balladur, M^e Laurent Bidault et Mme Emmanuelle Ertel, 21 mai 2025.

* ⁵³⁵ OECP, Étude sur les pratiques des acheteurs en matière d'accès des TPE/PME à la commande publique, d'achats innovants et d'achats durables, juin 2020.

* ⁵³⁶ Amendement n° CS1358 déposé par le Gouvernement devant l'Assemblée nationale dans le cadre du projet de loi de simplification de la vie économique.

* ⁵³⁷ Amendement n° CS1359 déposé par le Gouvernement devant l'Assemblée nationale dans le cadre de l'examen du projet de loi de simplification de la vie économique.

* ⁵³⁸ Amendement n° 1950 déposé par M. Aurélien Lopez-Liguori et plusieurs de ses collègues dans le cadre du projet de loi de simplification de la vie économique.

* ⁵³⁹ Article 4 ter du projet de loi de simplification de la vie économique adopté par le Sénat en première lecture.

* ⁵⁴⁰ Audition de France Digitale, 8 avril 2025.

* ⁵⁴¹ Article R. 2142-6 du code de la commande publique.

* ⁵⁴² Article R. 2142-7 du code de la commande publique.

* ⁵⁴³ Article R. 2142-8 du code de la commande publique.

* ⁵⁴⁴ Article R. 2142-11 du code de la commande publique.

* ⁵⁴⁵ Article R. 2142-12 du code de la commande publique.

* ⁵⁴⁶ Article R. 2142-13 du code de la commande publique.

* ⁵⁴⁷ Il s'agissait d'ascenseurs.

* ⁵⁴⁸ Audition de France Digitale, 8 avril 2025.

* ⁵⁴⁹ Article R. 2142-14 du code de la commande publique.

* ⁵⁵⁰ Réponses écrites d'Hexatrust au questionnaire de la commission d'enquête.

* ⁵⁵¹ Audition de MM. Guillaume Delarue, Jean-Marc Joannès et Grégory Kalflèche, 19 mars 2025.

* ⁵⁵² Réponses écrites de France Digitale au questionnaire de la commission d'enquête.