Intervention de Nadi Bou Hanna

Permettez-moi, avant de répondre à cette question, de revenir sur votre précédente demande.

Nous ne pouvons pas envisager de souveraineté numérique si nous ne sommes pas en mesure d'internaliser des compétences stratégiques au sein de l'État. Nous avons peu évoqué cet enjeu jusqu'à présent. La souveraineté repose sur la maîtrise et la compréhension des enjeux, des architectures, des grands projets. La Cour des comptes s'en est émue dans un rapport extrêmement bien documenté et retraçant les trajectoires de ces dernières années. Je constate que 90% à 95% de la maîtrise des grands projets ou des technologies est aujourd'hui externalisée. Les couches d'externalisation s'empilent : elles impliquent des grands cabinets de conseil, l'assistance à maîtrise d'ouvrage, l'entreprise de maîtrise d'œuvre, l'opérateur externe… Au final, l'ordonnateur ne dispose pas d'une vue d'ensemble et ne maîtrise pas le dispositif. Il perd la main. Aucune forme de souveraineté numérique ne peut alors se développer.

Évidemment, je ne défends pas l'idée qu'il faudrait absolument tout internaliser au sein de l'État. Cela serait absurde et non réaliste. Mais cela rejoint les enjeux actuels de la transformation de l'informatique. Les systèmes d'information, dans les années 1980 et 1990, étaient perçus comme des centres de coûts : ils étaient une commodité. Aujourd'hui, ils sont plutôt des leviers de transformation. Si aucun investissement n'est opéré dans ces leviers de transformation, ils resteront lettre morte.

J'en reviens à votre question d'ordre juridique. L'arrêt Schrems II est un arrêt stratégique, et il rejoint directement les réflexions conduites au sein de l'État. Nous sommes en train, depuis plusieurs mois déjà, de définir une nouvelle doctrine du cloud au sein de l'État. Ces travaux devraient aboutir dans les prochaines semaines. Cette doctrine du cloud vise à définir les règles du jeu pour l'État. Le cadre européen définit un cadre auquel l'on ne peut pas déroger. Pour autant, chacun des porteurs de projets et des États membres peut définir sa doctrine, c'est-à-dire la manière dont il s'approprie ce cadre réglementaire et dont il l'incarne dans une stratégie. Cette doctrine du cloud aura justement vocation à garantir que l'hébergement des données – qu'il s'agisse des données des citoyens ou des données liées à l'activité essentielle des agents publics – ne pourra pas être localisé sur des plateformes faibles d'un point de vue de la sécurité, non conformes au RGPD ou qui ne garantissent pas leur étanchéité aux réglementations extra-européennes. Nous sommes donc en train d'inaugurer une nouvelle ère au sein du cloud de l'État. Celle-ci ne consiste pas simplement à nous assurer que des offres émergent, mais plutôt à nous assurer que les administrations s'en saisissent, qu'elles l'utilisent à bon escient, et que cela change la manière de concevoir et de produire des applications.

Vous avez évoqué le Health Data Hub. Comme je l'ai expliqué tout à l'heure, nous sommes confrontés à la réalité du marché. Le projet du Health Data Hub revêt un enjeu politique majeur et affichait un échéancier non négociable. Lorsque ce projet a été lancé, la seule plateforme qui était techniquement compatible avec l'ambition du projet, tel que cela a été analysé par le ministère de la santé, était celle de Microsoft. Depuis, des travaux ont été conduits. Nous avons notamment vu des hébergeurs agréés SecNumCloud mettre à niveau leurs plateformes. Nous assistons donc à un travail de mise à niveau des plateformes pour se conformer au besoin du client. Sur un projet de cette nature, nous n'allons pas dégrader ni le besoin client, ni la promesse politique. Les équipes techniques sont bien obligées de trouver les solutions techniques adéquates pour donner corps à cette promesse. Nous voulons envoyer au marché, et notamment aux hébergeurs européens, le signal suivant : à partir du moment où les règles du jeu seront bien déterminées, et que le marché sera réellement ouvert, les hébergeurs devront probablement travailler pour monter à niveau sur quelques fonctions, et alors être capables d'être compétitifs vis-à-vis des plateformes pour répondre à un projet d'envergure comme celui du Health Data Hub. Il n'y a pas de dogme s'agissant du Health Data Hub – il y a simplement un constat de réalité. Le souhait de l'ensemble des parties est que de nouvelles offres d'hébergement puissent émerger, qui remontent les couches, c'est-à-dire qui ne se contentent pas du niveau le plus bas (l'infrastructure) mais qui soient capables de remonter au niveau de la plateforme et des services à valeur ajoutée. Du côté du Health Data Hub, des ajustements doivent également être faits pour ouvrir davantage le champ de la concurrence. Nous y travaillons actuellement. Ma direction intervient en soutien du ministère de la santé pour définir une trajectoire de réelle mise en concurrence de la plateforme. Je ne peux pour l'instant pas vous dire si cela pourra se faire à un horizon de 18 mois, de 24 mois, ou plus. La réalité technique et la maturité des offres montreront, in fine, si ce plan de migration était réaliste.