Des acteurs français de l’IT et des parlementaires multiplient les initiatives pour une meilleure prise en compte des enjeux de souveraineté par l’Etat et l’Union Européenne, face à la domination des GAFAM. Le levier de la commande publique permettrait le passage à l’échelle d’acteurs et bénéficierait à l’économie française et européenne.
Depuis les années 2000, le déficit d’achats et d’investissements dans le numérique européen par rapport au numérique américain s’est creusé. Les GAFAM (Google, Apple, Facebook/Meta, Amazon et Microsoft) ont étendu leur surface financière, faisant au passage de nombreuses acquisitions. Or l’industrie du numérique étant transversale, la souveraineté numérique joue donc aussi sur celle des autres industries. Cela représente une perte nette en termes de PIB, d’emploi et d’innovation. Face à ce déséquilibre du marché du numérique, le « Manifeste pour une nouvelle ambition numérique » a été signé en septembre 2022 par 32 acteurs français et européens du numérique, dont OVHCloud, Scaleway, 3DS Outscale, Docaposte, Wallix, et Jamespot et 19 parlementaires. Aujourd’hui, il compte près de 100 signataires. Il se fonde sur les “5 R” :
- Résilience : développer un cadre favorable à la résilience et à la sécurité, notamment la sécurité d’approvisionnement, pour un numérique durable ;
- Responsabilité : développer et promouvoir des solutions européennes autonomes et créer un cadre juridique protecteur, face aux risques d’atteinte liés à l’extraterritorialité des lois extra-européennes, en particulier deux lois américaines, le Cloud Act de 2018 et le Foreign Intelligence Surveillance Act de 1978 plusieurs fois révisé, et face aux risques d’ingérence d’États étrangers, pour veiller à la protection des données personnelles et industrielles et pour un numérique responsable ;
- Réversibilité des solutions d’un écosystème numérique libre et transparent ;
- Réciprocité entre partenaires pour placer l’industrie européenne dans des conditions de concurrence équitables vis-à-vis des acteurs non européens : l’ouverture des marchés européens doit être conditionnée à celle des marchés des partenaires.
- Respect de la vie privée : protéger dès la conception les données personnelles doit devenir un standard d’excellence européen.
Pour un “European Tech Business Act”
Les signataires du manifeste préconisent plusieurs mesures, s’adressant en priorité aux pouvoirs publics :
– sensibiliser et former largement les citoyens et les entreprises aux usages des solutions européennes ;
– créer un catalogue de solutions souveraines à référencer en priorité auprès des centrales d’achats (UGAP, direction des achats de l’État, centrales sectorielles) ;
– mobiliser les fonds destinés au financement des startups, PME et ETI de croissance pour contribuer à faire émerger, au-delà des licornes, des champions industriels internationaux ;
– doter “France Relance” pour aider la demande à s’équiper avec des offres européennes ;
– mobiliser des financements de recherche et développement pour favoriser l’interopérabilité et la portabilité des solutions avec les plateformes existantes ;
– stimuler l’émergence d’un marché européen du numérique avec la création d’un “European Tech Business Act” ;
– faire de la commande publique un levier de transformation de l’État et l’orienter vers les industries européennes conformément aux objectifs de développement durable et en ligne avec une “doctrine de responsabilité numérique” qui reste à inventer ;
– accompagner la mise en place d’une stratégie coordonnée de diplomatie économique entre les services de l’État, visant à promouvoir les offres de la filière numérique française à l’export ;
– mettre en place un Small Business Act tant à l’échelle française qu’européenne pour favoriser l’accès des startups, PME et ETI innovantes à la commande publique ;
– faire émerger l’assurance cyber pour tous, en particulier pour les PME et TPE.
Vouloir la souveraineté
« Le choix de la souveraineté est une question de culture et de volonté : c’est choisir la diversité plutôt que la standardisation à l’américaine, affirme Alain Garnier, PDG de Jamespot, éditeur de solutions collaboratives pour la digital workplace, qui réalise 35 % de son chiffre d’affaires (CA) avec le secteur public, comptant notamment comme clients deux directions de Bercy, un grand ministère, et la Caisse Nationale de l’Assurance Maladie (CNAM). Les produits américains sont souvent plus chers que les produits français, et une part du CA des entreprises françaises revient à l’Etat grâce aux impôts et charges sociales. Les problèmes sont que l’Etat considère toujours l’industrie numérique comme un petit secteur par rapport à des industries traditionnelles à soutenir, et notre dépendance géopolitique vis-à-vis du gendarme du monde. »
Selon lui, l’Etat peut toutefois à la fois réguler le marché et également agir en faveur de la souveraineté en prenant des mesures :
– légiférer et mettre en place des quotas dans les commandes publiques vers l’écosystème numérique européen, ce qui permettrait d’en démultiplier la croissance ;
– récompenser les fonctionnaires managers qui satisfont des objectifs de management relatifs à la souveraineté, la résilience et la responsabilité sociale et environnementale (RSE) ;
– inclure des critères RSE dans le marché publics ;
Il préconise d’équiper les SI de façon plus souveraine pour des organismes plus résilients, plus autonomes, capables de résister à des cyberattaques, des pannes majeures ou des crises géopolitiques. Mais il souligne des freins majeurs : le poids des habitudes des utilisateurs coutumiers de solutions américaines, la force de frappe en termes de marketing et de ventes croisées doublée du lobbying des acteurs américains. Toutefois, l’atout des européens est de vouloir faire différent des américains, notamment dans la façon d’appréhender la donnée.
Pour Jean-Noël de Galzain, PDG du spécialiste de la gestion des accès Wallix et de l’association Hexatrust, qui regroupe 50 entreprises françaises et européennes de cybersécurité et du Cloud de confiance, « la souveraineté est la capacité de l’Etat et des organisations à être autonomes et résilientes, tant sur le plan des données que de l’infrastructure et de l’activité. La souveraineté contribue à la cybersécurité et permet de lutter contre les nouvelles formes de menaces. »
Orienter la commande publique vers l’écosystème européen
« La souveraineté doit être un choix assumé, préserver le choix sur le marché relève d’une politique industrielle volontariste, ajoute Pierre Baudracco, président de Bluemind, éditeur d’une messagerie open source et coprésident du CNLL, l’Union des entreprises du logiciel libre et du numérique ouvert. Pour cet éditeur qui compte deux ministères, deux départements et une dizaine de villes parmi ses clients, la souveraineté des données devrait être un critère de choix dans les appels d’offres.
Pierre Baudracco, PDG de BlueMind © Christine Calais
L’Etat pourrait flécher une part de l’achat public vers les acteurs européens, par exemple 20 %, et ainsi montrer la voie aux entreprises. « Un euro de CA, c’est bien mieux qu’un euro de subvention ! L’achat est le plus efficace pour contribuer à créer des alternatives aux solutions dominantes. » Il faut, selon lui, soutenir non seulement les startups et la disruption, mais aussi des entreprises plus grandes pour passer le cap de l’industrialisation. Cela peut aussi passer par des mécanismes d’incitation à l’achat français pour les collectivités locales. Les décideurs publics doivent prendre le temps de chercher des solutions souveraines.
« Au ministère des Armées, le choix d’une solution de tableau de bord pour le ministre s’est fait sur deux critères : le premier sur l’appropriation rapide de l’outil et la maturité de la solution, le second sur la souveraineté du prestataire », explique Olivier Landour, chef de la mission d’aide au pilotage à la délégation de la transformation et de la performance. La solution de l’éditeur français Toucan Toco a été choisie et est en phase de test.
Passer à l’échelle l’industrie IT européenne
M. de Galzain poursuit : « Les “5 R” du manifeste sont des critères d’achat essentiels. Il faudrait mobiliser les acheteurs des organismes publics et des administrations pour inciter à acquérir des solutions innovantes et locales. Si nous voulons réduire la dépendance de l’Europe au niveau numérique, l’enjeu est de faire passer à l’échelle l’industrie IT européenne. Que ce soit dans le Cloud, la réalité virtuelle, l’intelligence artificielle ou la cybersécurité, domaines où les organisations sont en train de s’équiper, il ne s’agit pas d’imposer mais de donner le choix, en incluant des solutions moins connues mais performantes. S’il ne peut y avoir de critère géographique dans la commande publique, il est possible de trouver des solutions, par exemple en encourageant l’achat de solutions labellisées par un organisme de certification, tel SecNumCloud de l’Agence Nationale de la Sécurité des SI (ANSSI). A l’avenir, les labels devront être reconnus au niveau européen pour en renforcer la crédibilité. » L’UE travaille à une harmonisation des mécanismes d’évaluation avec l’élaboration du schéma de certification européen relatif aux prestataires de Cloud (EUCS) ; SecNumCloud 3.2 sert de référence dans les travaux sur le niveau “élevé” de cette future certification.
La domination américaine du Cloud
Depuis l’invalidation le régime de transferts de données entre l’Union européenne et les États-Unis (Privacy Shield) par l’arrêt du 16 juillet 2020 de la Cour de justice de l’Union Européenne (arrêt Schrems II), certains acteurs appellent à appliquer strictement les sanctions en cas de non-respect du RGPD, mais aussi de la directive NIS sur la sécurité des réseaux et des systèmes. Ils estiment que les administrations auraient dû s’orienter vers des solutions plus responsables.
Depuis deux ans, l’enjeu de la souveraineté a pris de l’ampleur, que ce soit la dépendance aux composants vis-à-vis de la Chine et de l’Asie ou celle liée au Cloud des GAFAM. Ainsi, les offres de Cloud de confiance issus d’alliances entre acteurs européens et américains font débat, du fait des lois extraterritoriales américaines : S3ns, coentreprise de Google et Thales, Bleu du trio Capgemini Orange et Microsoft.
Jean-Paul Smets, PDG de Nexedi, éditeur de solutions d’entreprise open source et de Rapid.Space, opérateur d’un “fully open 5G edge Cloud”, et coprésident d’Euclidia, alliance européenne de 27 PME dans l’industrie du Cloud née il y a un an, souligne : « Toutes les technologies du Cloud existent en Europe. Mais les conditions ne sont pas réunies pour développer suffisamment l’offre. On pourrait accepter l’idée de quotas comme dans d’autres industries créatives dans l’audiovisuel, par exemple. En face, le lobbying américain agit comme un rouleau compresseur sur le marché. »
Numspot, le nouveau Cloud de confiance made in France
Le village gaulois résiste à l’envahisseur. Docaposte, filiale du groupe La Poste, Dassault Systèmes, Bouygues Telecom et la Banque des Territoires ont annoncé fin octobre leur nouvelle offre commune de Cloud de confiance, Numspot. Opérationnelle au printemps 2023, elle proposera des services « aux meilleurs standards du marché (performance, scalabilité, sécurité, prix, responsabilité environnementale) ». Reposant sur l’infrastructure Cloud souveraine de 3DS Outscale de Dassault Systèmes, doté de la qualification SecNumCloud, elle offrira également une plateforme technologique souveraine (PaaS) et des solutions et services SaaS. Le consortium développera un écosystème européen de référence, incluant éditeurs, ESN et startups.
Pour Fabien Ferrazza, directeur secteur public et éducation chez Docaposte, « l’objectif du consortium français Numspot est de mutualiser les infrastructures dans un objectif de massification industrielle, alors même qu’il y a peu d’opérateurs à l’échelle français et européens dans le Cloud. L’idée n’est pas de concurrencer Google et Amazon, qui mutualisent leurs coûts sur le marché mondial, et ne respectent pas les mêmes règles, mais de proposer une offre souveraine compétitive aux services certifiés sur le marché européen. »
Former les administrations au numérique
Pour les acteurs de l’IT, les pouvoirs publics sont néanmoins plus sensibles aux enjeux de souveraineté qu’auparavant. La prise de conscience varie toutefois selon les administrations. La souveraineté nécessite des investissements qui exigent encadrement et arbitrage. Il y a deux types de projets IT : standardisés, ou sur mesure, et peu de collectivités ou d’administrations peuvent s’offrir les seconds. Les moyens financiers alloués à la transformation numérique sont variables selon les acteurs publics. Et il n’existe pas de direction interministérielle du numérique pour les collectivités locales.
En outre, les acteurs publics réalisent leur transformation de façon hybride, faisant appel à des prestataires. Ce qui nécessite une certaine maturité pour se poser les bonnes questions sur l’hébergement, le traitement des données et les solutions. Ils doivent être en capacité de piloter les projets, les déploiements et l’utilisation. La formation au numérique est donc cruciale, que ce soit des acheteurs, des agents spécialisés IT ou des cadres.
Elle l’est aussi pour combler la pénurie de talents sur le marché de l’IT. Aussi ne devrait-elle pas s’effectuer essentiellement sur des outils américains, mais aussi sur des logiciels européens, notamment open source.
Ainsi, la mobilisation pour la souveraineté numérique prend de l’ampleur. La France et l’Europe ont des atouts à mettre sur la table.
