Intervention de Thierry Dal Farra

Je souscris pleinement à l'analyse juridique et aux préconisations qui viennent d'être formulées. J'exposerai pour ma part le point de vue du praticien. J'ai accompagné des maîtres d'ouvrage informatique importants, notamment le projet Chorus, le projet d'opérateur national de paye, l'informatisation de l'AP-HP et les systèmes d'information clinique. J'accompagne aujourd'hui l'agence du numérique en santé. Mon point de vue est plutôt celui des grands maîtres d'ouvrage informatiques.

L'objectif de souveraineté numérique soulève deux grandes questions. La première, d'ordre économique, consiste à se demander comment l'achat public peut contribuer à l'émergence d'une offre économique orientée vers l'autosuffisance et qui permette aux acheteurs publics, lorsqu'ils lancent de grands projets informatiques, d'accéder à une offre française ou européenne crédible face à celle des grands opérateurs ou éditeurs américains. L'achat public peut aider à atteindre l'objectif économique d'autosuffisance, mais de manière assez limitée, car comme l'a rappelé le Pr Stéphane de La Rosa, les politiques de préférence nationale se heurteront au droit européen et pourront difficilement faire obstacle au choix de l'offre économiquement la plus avantageuse. Un acheteur public souhaite d'abord acquérir le meilleur système. L'acheteur public fait une politique de la demande. Or, aucune politique de la demande ne peut remplacer une politique de l'offre. En économie, c'est plutôt l'offre qui crée la demande. L'acheteur public émettra bien entendu des besoins, mais il ne peut pas les formuler trop à l'avance à l'égard de certains opérateurs, car cela constituerait une sorte de favoritisme par détention d'informations privilégiées. Il s'agit d'une politique de demande émise 52 jours avant le dépôt des offres.

Dans l'affaire Chorus, l'État a voulu acquérir un logiciel qui traduisait la LOLF (loi organique relative aux lois de finances) pour la gestion des fonds publics. Le ministère des Finances voulait absolument un marché à l'éditeur, et pas un marché où il y ait des prestations d'intégration qui rendraient le dispositif difficilement maintenable. Par conséquent, nous nous sommes demandé comment faire pour contacter les grands éditeurs afin de les inviter à réfléchir aux besoins. J'ai eu l'idée de faire publier sur le site internet du ministère une espèce de politique d'orientation précisant nos besoins et notre volonté d'obtenir un marché à l'éditeur. Il s'agissait bien entendu d'une information un peu privilégiée sur les intentions d'achat. Les modalités de publicité se sont avérées quelque peu empiriques. Une nouvelle fois, c'est une politique de la demande, ce n'est pas une politique de l'offre. Il n'y a pas de politique de la demande qui puisse suppléer une politique de l'offre.

L'autre objectif de la souveraineté numérique est plus juridique. Il s'agit d'une approche complémentaire qui consiste à contribuer à l'indépendance, à la sécurité des traitements, à la protection des données et des intérêts essentiels de l'État et des Français. Or, sur ce point, les leviers ne se situent pas au stade de la passation, mais au stade de l'exécution. Les potentialités sont bien plus nombreuses dans les clauses d'exécution que dans les procédures de passation.

Des mesures comme le Buy European Act pourront s'avérer utiles, mais elles ne résoudront pas tout. Les mesures telles que l'assouplissement des procédures de passation, le relèvement des seuils et le motif d'intérêt général supposent que les acheteurs publics s'approprient ces outils. Or, la mise en œuvre des possibilités du code de la commande publique suscite des craintes, en particulier le délit de favoritisme. Par conséquent, alors même que ce n'est pas obligatoire, les acheteurs ont tendance à mener des appels d'offres ouverts. Il est sans doute nécessaire d'éduquer les acheteurs publics dans ce domaine. Par ailleurs, le sourcing, qui permet aux opérateurs informatiques de présenter leurs savoir-faire, devrait être davantage encouragé. Un autre levier important est l'allotissement, qui permet de confier aux entreprises de petite taille et aux opérateurs une partie des programmes. La difficulté est qu'en ce cas, l'interface doit être réalisée par la maîtrise d'ouvrage informatique. Or, les interfaces peuvent devenir très difficiles à gérer lorsque les deux prestataires sont en retard et se rejettent la faute mutuellement. Cela met même certains programmes à l'arrêt.

Il existe des solutions d'accompagnement pour faire émerger une offre, mais elles sont limitées. Si l'on examine maintenant l'aspect plus juridique de la souveraineté numérique, c'est-à-dire le respect des intérêts essentiels, des données sensibles ou la sécurité du traitement informatique, les leviers sont nombreux. Tout d'abord, les contraintes sont mieux admises en droit si elles sont légitimes. Comme cela a été rappelé, des dispositions du code de la commande publique permettent de protéger la sécurité informatique, de maintenir le traitement et le stockage des données sur place. D'une certaine manière, ces mesures peuvent même être « trop » efficaces. Par exemple, il est loisible aujourd'hui à un grand acheteur public d'exiger des modalités d'accès aux codes sources et de maîtrise de ceux-ci, d'interdire le transfert des données numériques, de multiplier les clauses relatives à l'intégrité et à la confidentialité des données et même d'exiger des stipulations particulières relatives aux licences. Les géants américains proposent des offres très formatées, les contrats de licence sont très souvent imposés ou très faiblement négociables. Si vous considérez les stipulations du dossier de consultation des entreprises, le cahier des clauses administratives particulières (CCAP) ou le cahier des clauses techniques particulières (CCTP) l'emportent nécessairement sur toutes les offres des candidats, alors vous pouvez éliminer ces offres. Or, il est évident que les contrats de licence des géants ne sont pas fondamentalement négociables. Comment s'en sort-on aujourd'hui ? Les acheteurs publics ferment les yeux et l'on adopte la clause du CCAP relative à la hiérarchie des documents contractuels. Il y a d'abord le cahier des charges de l'administration, puis l'offre vient à la fin de la liste. Ainsi, l'offre du candidat ne l'emporte pas sur les besoins de l'administration. Le problème est que cette « rustine » cache en réalité un risque de non-conformité des offres. La clause n'est pas conçue pour couvrir la non-conformité, elle a vocation à traiter des incompatibilités tout à fait ponctuelles qui pourraient exister entre les stipulations de contrats très complexes. Face à un acheteur public qui peut imposer des clauses de propriété intellectuelle, de sécurité informatique, de stockage de données ou de non-transfert aux opérateurs économiques dans les appels d'offres au titre des contraintes d'exécution, de nombreux opérateurs n'accepteront jamais de négocier leur licence ou de renoncer à la possibilité de transférer des données aux États-Unis, lorsque le Patriot Act exige de la société mère le transfert des données détenues par les sociétés filiales. Par conséquent, si nous allons au bout de l'analyse, l'offre est irrecevable.

Des services de l'État ont été confrontés à ce problème. On leur a expliqué que dans un certain nombre de situations, les données fiscales devaient pouvoir être transmises à la maison mère parce que l'administration américaine le demandait. C'était cela ou ne pas avoir de prestataire. Les clauses existent aujourd'hui. Nous avons les moyens de la souveraineté numérique au stade des contraintes que nous pouvons imposer en termes d'exécution. Si nous le faisons, nous pourrons déclarer non-conformes aux besoins du pouvoir adjudicateurs les offres qui se présenteront, mais en ce cas, nous ne trouverons plus personne.

La Cour de justice a invalidé la décision de la Commission européenne qui estimait que les Américains respectaient rigoureusement la protection des données. Un arrêt du Conseil d'État belge a rappelé que les pouvoirs adjudicateurs n'étaient pas tenus de se soumettre au dispositif du RGPD, en ses articles 45 et 46, pour accepter le transfert des données : ce dernier peut être refusé. Nous avons aujourd'hui les moyens de la souveraineté numérique nationale en termes d'exécution. Nous pouvons faire respecter l'indépendance, la sécurité, l'intégrité et le non-transfert des données. Néanmoins, les pouvoirs adjudicateurs sont réticents à utiliser ces dispositifs, car ils n'ont alors plus d'offres. Dans les grands appels d'offres dont j'ai suivi la passation, on compte finalement peu d'offres crédibles. Par exemple, s'agissant du marché pour l'opérateur national de paye, un marché de 350 millions d'euros, nous avions au bout du compte une seule offre convenable. Il n'est pas rare qu'une seule offre soit crédible sur les grands marchés et elle n'est pas forcément nationale. Enfin, s'agissant du Buy European Act, une condition préalable sera de définir ce qu'est un opérateur économique national ou européen. Dès lors que des sociétés filiales sont admises à opérer librement en Europe et sur le territoire national, il est délicat de déterminer les opérateurs étrangers. Quels critères utilisera-t-on : la localisation du siège qui peut évoluer ? la détention du capital, qui peut être placé en bourse ? la nationalité des dirigeants, parmi lesquels on trouve toujours des Français ? Il est très difficile de décréter aujourd'hui quelles entreprises sont françaises. En somme, les enjeux et leviers de la souveraineté numérique sont dans l'exécution, mais nous devons être attentifs à défendre une politique de l'offre afin que les acheteurs publics trouvent des opérateurs qui présentent des offres crédibles.