Intervention de Louise Bautista

Sur le premier point soulevé, celui de la définition de la souveraineté numérique française ou européenne, et à côté d'autres interprétations possibles, je perçois fondamentalement deux approches complémentaires. La première met en avant l'intelligence économique. Elle permet d'intégrer les grands groupes stratégiques, ainsi que les PME, au cercle de la souveraineté numérique. La seconde se concentre sur le secteur public et la continuité du service public.

Aujourd'hui, l'inquiétude principale a d'abord trait au risque de ne pas être en mesure d'assurer la continuité du service public. Le cas de figure s'en présenterait si des plateformes numériques étrangères décidaient d'interrompre leurs prestations. Il pose la question de notre indépendance politique sur la scène internationale. Pour l'heure, afin d'assurer la continuité du service de l'État, nous sommes dépendants de fournisseurs numériques extérieurs et à tendance monopolistique.

À celui de la continuité du service, la notion d'intelligence économique ajoute des critères relatifs à la création d'emplois et à l'accroissement du pouvoir d'achat au sein de l'État.

La formulation d'une critique négative ne saurait prévaloir uniformément. Sur les aspects d'audit et de certification des produits numériques de sécurité, à l'instigation de l'ANSSI à l'échelle nationale et de l'Union européenne à celle du continent, force est de constater une indéniable progression. Les efforts dans le sens d'une homologation des produits permettent d'assumer un début de souveraineté numérique française et européenne.

S'agissant de la commande publique, je reviens, à la suite d'un précédent entretien que nous avons eu, sur l'arsenal juridique existant. Nous disposons de l'instruction générale interministérielle (IGI) n° 1300 et de ses classifications. Dans le respect du droit de la concurrence européen, elle autorise l'apposition d'une mention « Spécial France » lors des appels d'offres inhérents à des commandes publiques.

Les récents échecs relatifs aux commandes publiques de la Banque publique d'investissement (Bpifrance) ou de Health data hub (HDH) montrent combien il fut préjudiciable de n'y pas recourir, particulièrement du point de vue de la protection des données de santé des citoyens. Par comparaison, je doute que, dans ce dernier domaine éminemment stratégique, l'Obamacare ( patient protection and affordable care act, loi sur la protection des patients et les soins abordables, promulgué en 2010) ait seulement envisagé de recourir à la solution française d'hébergement d'OVHcloud.

Il n'apparaît pas indispensable de légiférer davantage. Utilisons les outils juridiques en vigueur. Au moment des appels d'offres, la mention « Spécial France » implique de ne retenir que des sociétés françaises dans des domaines qui comportent un enjeu de nature stratégique pour la Nation. Ces outils s'appuient sur le travail efficace que les autorités de certification, au premier rang desquelles l'ANSSI en France, assurent depuis plusieurs années.

En revanche, pourquoi ne pas étendre le champ des obligations actuelles en prévoyant celle d'utiliser des produits certifiés pour les identités publiques ou les opérateurs d'importance vitale (OIV) ?

L'adoption du règlement général sur la protection des données (RGPD) a montré le lien entre efficacité des textes et crainte de la sanction pécuniaire. Dès lors, je suggère que nous disposions d'une autorité pleine et entière, avec un budget dédié, qui sanctionne ceux qui ne respecteraient pas les dispositions de cet arsenal juridique que j'évoquais.