Audition de M. Nadi Bou Hanna, directeur interministériel du numérique, et de M. Michel Grévoul, directeur des achats de l'État
La séance est ouverte à 11 heures.
Présidence de M. Philippe Latombe, Rapporteur.
Bonjour à tous. Notre mission d'information poursuit ses travaux avec l'audition de la direction des achats de l'État (DAE) et de la direction interministérielle du numérique (DINUM).
Notre objectif est d'échanger avec vous sur la façon dont la commande publique peut être mise au service de la transformation numérique de nos administrations et de la construction d'une souveraineté numérique nationale ou européenne.
Nous recevons ce matin M. Nadi Bou Hanna, directeur interministériel du numérique et M. Michel Grévoul, directeur des achats de l'État.
J'aimerais d'abord que vous nous fassiez part de ce que recouvre, selon vous, la notion de souveraineté numérique. Ce concept fait l'objet d'une attention croissante de la part des pouvoirs publics, notamment depuis la crise sanitaire. Nous avons, au cours de nos auditions, eu l'occasion de recueillir plusieurs définitions de cette notion très large, que certains rapprochent parfois d'une forme d'autonomie stratégique ou décisionnelle. Je suis intéressé par le regard que vous portez sur ce concept et la façon dont il peut, selon vous, se traduire concrètement au sein de l'action publique.
En second lieu, je souhaiterais échanger avec vous sur le contenu de la commande publique française et ses liens avec la promotion de notre souveraineté numérique. J'aimerais notamment savoir si l'État privilégie ou non, lorsque cela est possible, l'acquisition de matériels, de logiciels, de services numériques français ou européens. Je suis intéressé à connaître sur ce point votre analyse des forces et faiblesses de l'offre numérique française et européenne, et la façon de remédier à nos éventuelles carences.
Enfin, j'aimerais vous interroger sur la transformation numérique des acteurs publics, et plus particulièrement de l'État, puisque la DINUM et la DAE participent pleinement à ce processus d'ampleur. Je souhaiterais que vous nous présentiez la stratégie de l'État dans ce domaine, ainsi qu'un point d'étape sur la numérisation de nos administrations. Enfin, dans un contexte marqué par la recrudescence des cyberattaques en 2020, j'aimerais recueillir votre avis sur le niveau actuel de diffusion d'une culture de la cyberprotection au sein de la sphère publique.
Je vous cède maintenant la parole pour un propos liminaire d'environ dix minutes chacun, puis nous engagerons le dialogue sur la base des éléments que vous nous aurez apportés.
. Je commencerai par vous présenter le système d'information et les actions numériques de l'État.
Le système d'information de l'État repose sur le principe de subsidiarité. Chaque ministre, appuyé par sa direction du numérique, en est responsable sur son périmètre. La direction interministérielle du numérique (DINUM), placée sous l'autorité de la ministre de la transformation et de la fonction publiques, Mme Amélie de Montchalin, assure la cohérence d'ensemble, le portage stratégique en matière de numérique ainsi que l'animation de cette équipe. Nous jouons donc un rôle de capitaine d'équipe. Nous intervenons auprès du gouvernement pour le conseiller, pour assurer une coordination fonctionnelle des directions du numérique, pour partager les bonnes pratiques et pour contrôler l'exécution des grands projets informatiques. Ma direction intervient également en soutien à l'innovation, en appui et en animation des acteurs de la GovTech. Enfin, la politique de la donnée est un axe de force très important de notre activité, qui conditionne la maturation des politiques publiques ; la DINUM apporte un appui aux administrations sur la gestion de ce trésor.
La DINUM assure également un rôle de création et d'exploitation de solutions. La résilience de l'État dans le domaine du numérique est directement portée par ma direction, avec l'appui des autres directions du numérique. Cette résilience repose sur le réseau interministériel de l'État, mais aussi sur la mise à disposition de solutions numériques pour assurer la continuité du service public, même quand les agents travaillent à distance.
La DINUM a lancé en 2019 un programme d'accélération de la transformation numérique de l'État, nommé Tech.gouv. Ce programme vise à développer la simplification et l'inclusion numérique, l'attractivité de l'État (notamment comme employeur des profils du numérique), ainsi qu'à renforcer les alliances avec la société civile et les acteurs industriels. Ce programme a récemment donné lieu à la mise en place d'un sac à dos numérique pour les agents publics afin d'assurer la continuité d'exercice de leurs missions, ainsi qu'à la création d'un lab GovTech, prenant la forme d'un guichet d'échanges entre les acteurs français et européens et les porteurs de projets au sein de l'État. Nous avons également travaillé sur le développement de l'identité numérique, notamment au travers du dispositif France Connect, qui contribue à créer une réelle souveraineté de l'État en la matière. Nous avons enfin mis sur pied l'observatoire de la dématérialisation.
Pour conclure, ma direction est en charge de piloter une partie du plan de relance. Cette enveloppe de 500 millions d'euros doit servir à soutenir les projets de l'État en s'appuyant autant que possible sur l'écosystème numérique français et européen.
. La direction des achats de l'État (DAE) définit la politique des achats de l'État, hors marchés de défense et de sécurité. S'agissant de la stratégie numérique, celle-ci est décidée par la DINUM ; la DAE met en œuvre et porte les marchés interministériels afférents au numérique. Néanmoins, de nombreux marchés demeurent traités en ministériel et n'ont pas recours aux marchés interministériels portés par la DAE.
La DAE poursuit cinq objectifs majeurs : tout d'abord, réaliser des économies d'achat et contribuer aux économies budgétaires liées aux achats de l'État ; faciliter l'accès des petites et moyennes entreprises (PME) aux marchés publics ; favoriser les achats d'innovation ; enfin, prévoir le recours aux dispositions sociales et environnementales dans les marchés publics.
À ce titre, la DAE est amenée à conclure des marchés interministériels. Pour cela, elle établit une programmation pluriannuelle des achats de l'État, disponible sur le site Internet de la DAE. Nous sommes le seul État européen à publier en ligne l'intégralité des projets d'achat des ministères à un horizon de quatre ans. Cette transparence constitue un moyen d'inciter les entreprises à s'inscrire sur notre plateforme dématérialisée des achats, nommée Place, sur laquelle sont publiées tous les marchés ministériels ainsi que les marchés interministériels portés par la DAE.
Je présenterai notre actualité en 2020 et 2021. La DAE a essentiellement été mobilisée pour répondre à la crise sanitaire, qui a eu des impacts numériques et généraux. La DAE a porté des marchés pour les masques non sanitaires, c'est-à-dire les masques textiles lavables. Les achats sanitaires relèvent directement du ministère de la santé et de Santé publique France. L'achat de masques non sanitaires participe à renforcer les dimensions de l'État protecteur (pour venir en aide aux personnes précaires) et de l'État employeur (pour protéger ses agents).
La crise a causé des pénuries de matériel numérique. La fabrication de beaucoup de ces matériels ayant lieu en Asie, la fermeture d'usines a causé la rupture de plusieurs composants. Nous avons proposé à la DINUM de constituer un stock d'ordinateurs beaucoup plus important qu'à l'habitude, afin de limiter les risques de rupture d'approvisionnement du fait de la forte demande mondiale.
L'année 2021 marque le renouvellement d'un accord cadre interministériel sur les logiciels libres. Cela recouvre deux marchés interministériels : un marché de support et un marché d'expertise, qui seront lancés par la DAE.
Nous avons par ailleurs déjà lancé un marché de cloud cercle 3, comprenant les données non sensibles, en co-prescription avec la DINUM et l'UGAP. L'objectif est de faciliter la consommation de services de cloud public pour l'ensemble des acheteurs publics. Parmi les titulaires du marché, plusieurs sont français : OVH, Outscale, Orange business services.
Nous travaillons également, en partenariat avec la DINUM et l'Institut du numérique responsable, à la production d'un guide pratique pour un achat numérique responsable. Ce guide vise à la prise en compte des aspects environnementaux et sociaux dans l'achat de matériels et de services informatiques.
Nous mettons également en œuvre un accord-cadre interministériel d'assistance à maîtrise d'œuvre, qui vise à répondre aux besoins des bénéficiaires en matière de mise en œuvre des prestations intellectuelles informatiques. Cet accord-cadre a été conçu de manière à permettre à des PME de répondre aux marchés.
S'agissant de la souveraineté numérique, nous insérons des clauses strictes de conformité au règlement général sur la protection des données (RGPD) dans l'ensemble de nos marchés. Les acheteurs veillent donc à ce que les entreprises s'engagent à ce sujet.
Par ailleurs, tous les acheteurs respectent la politique de sécurité des systèmes d'information de l'État. Cela ouvre notamment la possibilité à certains marchés de bénéficier du label SecNumCloud.
Nous sommes enfin très attentifs aux clauses de réversibilité dans nos marchés interministériels, notamment quand celles-ci concernent les données.
Si vous me le permettez, M. le président, je complèterai mon propos par une définition de la souveraineté numérique. Il me semble que cette notion n'est pas définie dans les textes. Je m'appuie sur trois principes pour la définir.
Tout d'abord, le principe de liberté : il s'agit de la liberté de choisir ses fournisseurs, mais aussi de définir une stratégie puis d'en changer. D'une certaine manière, il s'agit de la liberté de choisir ses dépendances : de qui acceptons-nous de dépendre ?
Le second principe est celui de la maîtrise. Nous ne pouvons pas envisager de souveraineté numérique si l'État ne dispose pas des expertises qui permettent d'évaluer les risques et les solutions ainsi que d'internaliser certaines fonctions. La souveraineté numérique n'est pas possible si une partie des fonctions les plus critiques ne sont pas internalisées.
Enfin, le principe de réversibilité : il s'agit de la possibilité de mettre fin à des projets, de changer de prestataire, sans se retrouver de fait pris dans une chaîne de dépendances sur laquelle nous n'avons plus de pouvoir.
Pour ma part, je n'aime pas recourir au concept de l'alignement des intérêts des parties prenantes. Cette notion est subjective et fluctuante dans le temps. L'on ne peut par conséquent pas baser une stratégie de souveraineté numérique sur un alignement ponctuel des intérêts.
Enfin, il me semble que la souveraineté numérique n'est pas un sujet de texte : ce sujet est avant tout présent dans les têtes. Certains porteurs de projets au sein de l'État font part d'une forme de fatalisme et de résignation. Ils tendent à considérer que le corpus de textes et de réglementations en vigueur – le code des marchés publics, notamment – se focalise uniquement sur la concurrence et briderait ainsi la prise en compte de tout autre enjeu, notamment économique ou d'influence. Je combats au quotidien cette posture. La souveraineté numérique suppose de responsabiliser collectivement les acteurs, afin de donner corps aux trois concepts de liberté, de maîtrise et de réversibilité qui sont au cœur de l'intérêt de l'État.
Merci.
Nous avons précédemment auditionné l'UGAP et SCC. Ils constatent, au sein des administrations centrales et plus encore des collectivités locales, un manque de compétence et d'expertise qui rend possible l'adoption de solutions intégrées et globales, proposées par de grands acteurs.
Vous avez évoqué la réversibilité. Le Health Data Hub en est un bon exemple. Il a été demandé à l'UGAP de passer un marché avec Microsoft, sans effectuer de mise en concurrence. L'UGAP a exécuté l'ordre de commande reçu. Suite à la décision du Conseil d'État, la réversibilité a ensuite été annoncée à deux ans. Est-ce une vraie réversibilité quand elle intervient après deux ans ?
D'une façon plus générale, le code des marchés publics est perçu par l'essentiel des acteurs comme étant assez bridant. Quels sont les points qui, selon vous, pourraient faire évoluer l'acculturation des acteurs et des décideurs de la commande publique ? Quels sont les leviers à activer pour révéler les opportunités laissées ouvertes par le code de la commande publique pour favoriser d'autres types d'entreprises ?
Nous sommes obligés d'appliquer le principe de réalité et de composer avec les solutions présentes. De réels déséquilibres existent. Par exemple, deux systèmes d'exploitation (OS) dominent outrageusement le marché des smartphones – ils sont tous deux portés par des éditeurs américains. Le marché de la microinformatique et de la bureautique est également dominé à plus de 90% par un acteur, Microsoft. Le marché de la recherche sur Internet est dominé par un seul acteur, Google. Cela est la réalité.
Mon rôle au sein de l'État est de garantir que des solutions alternatives puissent émerger et se développer. Je prendrai l'exemple du moteur de recherches. Avec l'accord du gouvernement, j'ai mis en place une règle par défaut qui veut que l'ensemble des agents de l'État soient équipés, sur leur ordinateur et leur smartphone professionnels, d'un moteur de recherches alternatif, en l'occurrence Qwant, car celui-ci garantit mieux que les autres l'anonymat des recherches des agents publics et une certaine forme de neutralité du web.
Nous appliquons la même logique s'agissant des solutions de continuité de service. L'État a déployé, en partenariat avec une start-up franco-britannique, une solution de messagerie instantanée sécurisée, dont le code est ouvert, et nommée Tchap. Cette solution est utilisée par plus de 200 000 agents.
Nous poursuivons la même logique s'agissant des outils de visioconférence. Nous avons recours à des plateformes alternatives, soit commerciales, soit open-source, qui fonctionnent bien.
Nous travaillons également avec des PME françaises s'agissant des outils collaboratifs. Deux projets, Osmose et Resana, ont été lancés pendant la crise sanitaire et sont aujourd'hui utilisés au quotidien par plus de 100 000 agents publics. Le rôle de ma direction est de faire émerger des solutions et de les partager largement au sein des agents.
Cela n'est donc pas une fatalité – il n'existe pas uniquement les suites très intégrées, portées par de grands éditeurs américains, que vous mentionniez. L'usage de solutions alternatives nécessite certes davantage d'énergie, car il faut intégrer ensemble ces briques, mais il est possible. Et si cela est possible, nous le faisons.
Depuis un an, l'urgence générée par la crise a constitué un formidable vecteur d'acceptation et d'accélération de l'usage de nouveaux outils de communication au sein de l'État. Les agents utilisent la messagerie sécurisée Tchap, ont recours à des solutions de visioconférence comme Jitsi ou à la solution interne Visiby ou Open Videopresence d'Orange.
S'agissant de la commande publique, nous souhaitons encourager les réponses des entreprises françaises et européennes à nos marchés. Nous avons ainsi largement insisté sur la possibilité ouverte aux entreprises de constituer des groupements pour y répondre. Nous constatons que des PME se regroupent, non seulement dans le secteur du numérique mais aussi des fournitures ou des travaux. Cette possibilité constitue donc un moyen pour des PME innovantes d'accéder à nos marchés.
Je répondrai à votre question portant sur le code de la commande publique et l'achat de prestations ou de matériels informatiques et numériques. L'État exploite pleinement les possibilités données par le code de la commande publique. Nous systématisons notamment le sourcing, qui consiste à opérer une veille sur les fournisseurs avant le lancement des marchés, maximisant ainsi les chances de recevoir un nombre important de réponses. Nous nous efforçons également de proposer des cahiers des charges les plus ouverts possibles, permettant à des variantes, différentes de notre offre de base, d'émerger. Nous espérons ainsi faciliter l'accès à nos marchés à des entreprises proposant des solutions disruptives et innovantes.
Nous avons par ailleurs mis en place un guichet unique des achats de l'État, accessible sur le site Internet de la DAE. Toute entreprise peut nous contacter via ce site. Nous identifions alors si les solutions proposées par cette entreprise sont innovantes ou standard, et nous l'orientons vers un acheteur spécialisé sur son segment de marché.
Vous nous avez interrogé sur l'opportunité de développer un droit de préférence pour les entreprises nationales du secteur du numérique. En l'état actuel du droit de la commande publique, qui se place en conformité avec les directives européennes, il n'est pas possible d'accorder une préférence à une entreprise sur la base de sa nationalité – excepté pour les marchés de défense et de sécurité. Un Small Business Act à la française n'est donc pas possible. Contrairement aux États-Unis, nous n'avons pas fait évoluer les règles de l'Organisation mondiale du commerce (OMC) et nous ne pouvons pas réserver de marchés à des PME nationales.
Cela fait effectivement partie des questions qui nous sont souvent adressées. L'article 2153-1 du code de la commande publique impose l'égalité de traitement entre les entreprises européennes et avec les entreprises liées par les accords extra-européens conclus dans le cadre de l'OMC. La Chine n'est pas partie à un tel accord au sein de l'OMC. En revanche, cela soulève la question du traitement des entreprises américaines. Certaines entreprises américaines créent des filiales dans des pays européens dans lesquels la pression fiscale est faible. Elles participent alors aux marchés publics européens, mais sans même contribuer à l'impôt au même titre que les autres. L'opinion publique et les entreprises sont de plus en plus sensibles à ces questions et l'idée d'un Small Business Act à l'européenne émerge.
L'UGAP a expliqué vouloir favoriser les PME, les startups et les très petites entreprises (TPE) françaises, mais vouloir également vérifier d'abord que celles-ci étaient suffisamment solides. Or, comment est-il possible de s'assurer que celles-ci sont suffisamment solides si elles ne peuvent pas bénéficier de la commande publique, qui leur permet de faire grossir leurs activités et d'atteindre une taille critique ? Pour l'acheteur, comment assurer la sécurité et la robustesse des solutions, et faire confiance à des TPE et PME à la structure financière parfois fragile ? Dans le même temps, les PME regrettent des délais longs de paiement de la commande publique, qui génèrent des problèmes de trésorerie. Existe-t-il des solutions pour concilier ces éléments ?
Je répondrai à votre interrogation sur les délais de paiement. Je m'inscris totalement en faux contre les insinuations de retard de paiement de l'État. Le délai normal maximal de paiement est de 30 jours ; le délai moyen de paiement de l'État est inférieur à 20 jours. Je ne crois pas que la crainte d'un retard de paiement constitue aujourd'hui un frein pour les entreprises qui souhaitent répondre aux marchés publics.
Je m'inscris en faux contre le dogme selon lequel une entreprise doit être suffisamment solide pour accéder aux marchés publics. Cette approche est héritée des années 1990 et 2000, qui se caractérisaient par les grands projets, longs et onéreux. Les projets qui réussissent aujourd'hui, aussi bien au sein de l'État que des collectivités territoriales, sont des projets courts, qui mobilisent environ cinq personnes pour construire des solutions. Le succès des startups est significatif à ce sujet. Il faut d'abord commencer par prouver l'intérêt d'un produit avant d'atteindre une taille critique. Nous développons cette approche au sein du guichet GovTech et du programme Tech.gouv grâce à une mission nommée LABEL. Cette mission doit permettre d'identifier des solutions prometteuses, dont la plupart sont portées par des PME, et de déterminer si celles-ci sont capables de se conformer aux exigences de l'État. Il ne s'agit pas d'exigences de volumétrie ; mais bien de localisation d'hébergement ou d'interopérabilité des solutions.
Le code de la commande publique ouvre de nombreuses possibilités pour privilégier des solutions de cette nature. Un prescripteur peut, par exemple, choisir de monter un plateau de projet intégré, réunissant la maîtrise d'ouvrage, les développeurs, les designers de l'expérience utilisateur (UX). Cela constitue un choix stratégique visant à favoriser la réussite des projets. Mécaniquement, les acteurs de proximité seront privilégiés vis-à-vis des acteurs offshore. Si le prescripteur impose que le support d'une solution et la conduite du projet se déroulent en français, il oriente le positionnement des entreprises qui soumettront une offre. Lorsqu'un prescripteur impose une interopérabilité et une conformité à des référentiels mis en place en interministériel en France, il privilégie les acteurs qui ont fait l'effort de s'intéresser aux marchés publics en France. Cela ne constitue donc pas la chasse gardée des grands groupes internationaux.
Nous constatons que beaucoup de PME saisissent l'opportunité de répondre aux marchés publics numériques portés par l'État en direct ou en regroupement. Ma direction a mis en place un marché transverse portant sur les besoins de coaching de l'ensemble des ministères sur les projets agiles. Nous avons fait le choix de privilégier les regroupements de PME et nous l'avons explicitement exprimé dans le cahier des charges. Il s'agit d'un choix stratégique du porteur de projet. Ces possibilités-là existent, mais il faut s'assurer qu'elles soient connues et utilisées.
De la même manière, l'achat innovant ouvre la possibilité aux porteurs de projet de retenir en direct une solution car ils sont intimement convaincus qu'elle est la meilleure solution pour répondre à un besoin innovant. Les possibilités existent, il faut simplement s'en saisir.
Ma question porte sur le plan de transformation numérique de la commande publique, engagé pour la période 2017 – 2022. Pouvez-vous nous en présenter un point d'avancement ?
Le plan de transformation numérique de la commande publique est porté spécifiquement par la direction des affaires juridiques (DAJ) de Bercy et par l'Agence pour l'informatique financière de l'État (AIFE). Ce plan vise à accroître l'efficacité de la commande publique par la dématérialisation et la numérisation. Les collectivités locales en font également partie ; la DAE y contribue mais elle n'est donc pas la seule associée.
Notre contribution porte essentiellement sur la programmation des achats et le sourcing. Nous mettons à disposition notre expérience en la matière, car l'État s'est doté d'un système d'information des achats complet. Il permet de suivre la commande publique d'un bout à l'autre de la chaîne : dès le sourcing en amont jusqu'à la passation des marchés puis au suivi de leur exécution. Le fait qu'un nombre croissant d'entités publiques se dote d'un système d'information des achats unifié permettra d'améliorer la qualité des achats.
S'agissant des outils numériques (postes de travail, ordinateurs, logiciels), la volonté de moderniser les outils et d'assurer leur résilience et leur sécurité s'est accélérée du fait de la crise. Nous sommes très sensibles à ces enjeux et nous avons travaillé avec l'Agence nationale de la sécurité des systèmes d'information (ANSSI) afin d'intégrer dans nos marchés des clauses concernant la cybersécurité.
Je reviendrai sur les marchés inférieurs à 100 000 euros pour lesquels il est prévu de pouvoir recourir à une solution innovante par une procédure de gré-à-gré et sans mise en concurrence. Cette latitude donnée aux acheteurs est très intéressante car elle leur permet de rapidement acheter un outil afin de procéder à une expérimentation. Mais l'acheteur doit être certain qu'il achète une vraie innovation. La DAE a ainsi créé un outil interne, diffusé au sein de l'État, l'Innov'score, qui permet grâce à un questionnaire à choix multiple de qualifier le degré d'innovation d'une solution. De la même manière, il est important que la hiérarchie reconnaisse un véritable droit à l'erreur à l'acheteur. Il est nécessaire que l'écosystème dans lequel il travaille accepte le risque de défaillance de fonctionnement ; car le risque fait partie intégrante de l'innovation. L'acceptation de la prise de risque inhérente à l'innovation ne relève pas d'une modification de texte ou de réglementation, mais d'un travail culturel. Les responsables de programme doivent reconnaître une prise de risque acceptable dans la mise en place d'une innovation.
Nous incitons les acheteurs qui doivent passer un marché, une fois le sourcing réalisé, à se poser la question suivante : plutôt que de lancer un marché avec des solutions standards, pourquoi ne pas réserver un lot de ce marché à une solution innovante ? Pour que cela soit possible, l'acheteur doit s'interroger sur son besoin bien en amont, c'est-à-dire six mois à un an avant le lancement du marché, de manière à disposer du temps nécessaire pour procéder à un test sur ces solutions. En ce sens, le décret du 24 décembre 2018 vise à faciliter, pour les marchés innovants inférieurs à 100 000 euros, un accès rapide à ces solutions.
Il existe également un autre outil très intéressant, utilisé par la DINUM aussi bien que par la DAE : il s'agit des appels à compétences, ou request for information (RFI). Ils permettent de conduire un sourcing de la manière la plus efficace possible. Pour cela, nous définissons un besoin et nous le portons à la connaissance de tous via nos outils d'information (Place ainsi que notre plateforme spécialisée sur les appels à compétences). L'écosystème s'agite alors pour satisfaire notre recherche. Cette procédure permet, avant de lancer un marché, de donner à voir les possibilités existantes, y compris les plus innovantes. Cela évite aux acheteurs de rédiger des cahiers des charges trop fermés.
Vous m'excuserez d'être un peu plus sévère que Michel Grévoul vis-à-vis du code des marchés publics. Ce dispositif repose sur un système de défiance. Au lieu de responsabiliser les porteurs de projets, il met en place un système de contrôle a priori plutôt que de transparence et de contrôle a posteriori. Cela était parfaitement justifié à l'époque où un certain nombre d'abus ont été détectés. Aujourd'hui, il construit une incitation au risque zéro. Michel Grévoul a très bien exprimé cette idée. L'État a consacré le droit à l'erreur pour les citoyens par la loi pour un État au service d'une société de confiance (ESSOC) ; il faut se permettre l'équivalent pour les porteurs de projets et les acheteurs. Il faut se permettre de prendre des risques en matière d'achats. Dans les années 1990, l'on disait qu'un bon directeur des systèmes d'information ne faisait jamais d'erreur quand il choisissait IBM pour ses grands projets. Un credo similaire existe encore aujourd'hui.
La politique du risque zéro nous conduit à des situations incompréhensibles. Vous évoquiez tout à l'heure l'expertise mobilisable des collectivités territoriales en matière informatique. Ma direction anime un dispositif de coopération avec les collectivités territoriales. Nous aimerions, autant que possible, partager avec elles des solutions développées ou achetées par l'État. Les juristes spécialisés au sein de l'État nous expliquent que cela pourrait être contraire au droit de la concurrence et pourrait mettre l'État en grave difficulté. Il faut absolument résoudre ces situations pour que l'intelligence des achats et l'intelligence des porteurs de projets priment au-delà du strict respect du droit et de l'interprétation du niveau de risque qui en découle.
Je souhaite aborder un autre point qui me paraît constituer un levier important pour développer les coopérations et la souveraineté numériques : il s'agit du logiciel libre.
Je voulais effectivement vous interroger à ce sujet. Dans son rapport, Éric Bothorel avait justement proposé la création d'une mission sur le logiciel libre au sein de la DINUM.
Je souhaite également revenir sur les données. Vous avez évoqué ce « trésor » que représentent les données au sein de l'administration. Comment envisagez-vous leur stockage, leur valorisation et leur utilisation dans les conditions les plus respectueuses possibles de la souveraineté ?
Depuis le 23 décembre 2020 et la remise du rapport d'Éric Bothorel, je passe une partie importante de mes journées à construire la mise en œuvre de ses recommandations, qui me paraissent essentielles pour l'État. Une grande partie d'entre elles, d'ailleurs, dépasse le strict champ de la donnée ou des codes sources. C'est le cas des compétences de l'État en matière de numérique : cette question entre en résonance directe avec le programme Tech.gouv et constitue un coup de projecteur important sur nos actions.
Je reviendrai aux données et aux codes sources. Ces deux notions cousines se traitent de manière différente.
Il est évident que le partage de la donnée entre les administrations contribuerait directement à la simplification des démarches pour les citoyens. Il s'agit du principe du « dites- le nous une fois » : si la donnée existe dans la sphère fiscale, il est absurde que l'État la demande à nouveau dans la sphère sociale, alors que la donnée est facilement partageable. Le premier champ essentiel concerne donc la circulation de la donnée au sein de l'État. En plus de simplifier la vie des Français, cette circulation permettrait de construire des politiques publiques proactives. Pourquoi demander à un citoyen de conduire une démarche, alors que l'État sait, par exemple, qu'il est bénéficiaire par défaut d'une prestation sociale ? Une nouvelle politique publique plus motrice pourrait donc se construire en partageant mieux la donnée au sein de l'État.
La donnée prend également beaucoup de valeur quand elle est partagée avec l'écosystème qui gravite autour de l'État : la société civile, les entreprises du numérique ou les individus. Pendant la crise sanitaire, on a constaté que la transparence des données en matière de contamination était essentielle. L'État publie les données de contaminations et les rend largement partageables afin que de nouveaux services puissent éventuellement se développer à l'initiative de la société civile. La mise à disposition des données permet ainsi leur valorisation.
L'approche du logiciel libre se développe depuis plusieurs décennies déjà. Dans certains champs, il est devenu la référence : c'est le cas des OS des infrastructures ou de l'hébergement du web. Ce levier favorise le partage. J'expliquais tout à l'heure qu'il était extrêmement compliqué, du point de vue du droit, de partager des solutions entre l'État et les collectivités territoriales. En revanche, il est très simple de le faire avec des logiciels libres. Si l'État produit un logiciel libre et qu'il choisit de reverser le code qui a été élaboré par ses services en open source pour que d'autres puissent s'en servir à nouveau (des collectivités territoriales ou bien des entreprises) et qu'ils enrichissent ce socle, alors tout le monde est gagnant. Le logiciel libre revêt donc un potentiel important. Il ne faut pas pour autant être naïf : des enjeux économiques majeurs existent en la matière. Des sociétés ont fondé leur modèle économique sur les services existants autour du logiciel libre. Au début des années 2000, certains pouvaient encore avoir l'illusion que le logiciel libre était gratuit. Ce n'est pas le cas. En revanche, il permet potentiellement de partager. Et ce partage a beaucoup de valeur.
Si le logiciel libre permet de partager, des solutions propriétaires le peuvent également, à la condition qu'elles se conforment aux bonnes pratiques édictées par l'État. Il s'agit en particulier de la mise à disposition d'interfaces de programmation d'application (API), qui permettent de consommer directement les données dans les logiciels ou de déclencher des transactions et offrent l'interopérabilité des solutions. Plusieurs leviers rendent donc possible la transformation numérique : ces leviers s'appuient aussi bien sur l'écosystème du logiciel libre, que l'État a tout intérêt à soutenir, que sur l'écosystème des éditeurs privés, qui ont adopté un autre modèle économique mais qui sont également en mesure de proposer des solutions extrêmement attractives et très ouvertes.
Vous avez tous les deux fait part de la nécessité, pour les acheteurs, de prendre des risques. À cet égard, comment percevez-vous l'émergence de nouveaux outils numériques, comme la blockchain, et leur utilisation ? Faut-il que ces outils connaissent un temps d'acculturation long dans les sphères privées avant que le public ne s'en saisisse ? La sphère publique peut-elle au contraire s'en emparer dans leur phase émergente et en expérimenter les usages ? Comment l'État gère-t-il l'expérimentation et quel est le niveau de prise de risque acceptable selon vous ?
S'agissant des technologies non matures, l'État a intérêt à tester des cas d'usage le plus tôt possible plutôt que de laisser le marché se structurer, ce qui se fait souvent au détriment des écosystèmes français. Mais cela ne concerne pas seulement le soutien aux filières. Cela recouvre un enjeu de maturation des pratiques au sein de l'État au bon moment. Nous ne pouvons pas perpétuer un modèle dans lequel l'État s'approprie, avec cinq ou dix ans de retard, des technologies que des entreprises privées ou d'autres États ont testées.
Je ne vous donnerai malheureusement pas beaucoup d'éléments positifs au sujet de la blockchain. L'État se situe sur un tiers de confiance par défaut et l'émergence de tiers de confiance externes ne s'est pas avéré judicieux jusqu'à présent. Nous n'avons pas développé beaucoup de cas d'usage intéressants sur la blockchain, et elle n'est par conséquent pas la technologie la plus portée.
En revanche, ma direction a fortement soutenu le développement de l'intelligence artificielle. Nous avons monté, notamment avec le soutien du Programme d'investissements d'avenir (PIA), un dispositif de financement des projets conduits par les ministères en la matière. Il s'agit souvent de projets exploratoires, conduits en liaison directe avec quelques entreprises expertes en la matière. Un certain nombre de ces expérimentations ont montré l'intérêt de les faire passer à l'échelle. Le sujet de la data science entre en résonance directe avec le sujet de la donnée – il en est une composante essentielle. L'intelligence artificielle se développe véritablement aujourd'hui au sein de l'État. La direction générale des Finances publiques (DGFiP), les douanes, Pôle Emploi, les acteurs de la sphère sociale sont, par exemple, en train de constituer des lacs de données (data lakes), c'est-à-dire des entrepôts de données, et d'y embarquer des solutions qui leur permettront d'exploiter ces données afin de prendre de meilleures décisions. Fondamentalement, l'État poursuit une politique d'innovation car celle-ci permet d'améliorer son fonctionnement et d'éclairer la prise de décision publique. Ma direction est évidemment motrice en la matière.
La composante « transformation numérique de l'État » du plan de relance prévoit d'ailleurs une enveloppe dédiée aux technologies non matures. Celle-ci permet un soutien direct et une prise en charge à 100%, dans une enveloppe limitée, des projets et des prototypes qui s'appuieraient sur des technologies non matures.
Je vous interroge à ce sujet car le recours à Palantir pour aider l'État dans une partie très régalienne de ses missions a déclenché une grande polémique. Le fait que Palantir s'intègre maintenant dans GAIA-X alimente également un débat d'actualité très fort. Par ma question sur les besoins de l'État en technologies non matures, je cherchais à savoir dans quelle mesure des joueurs français ou européens auraient pu se substituer à ces sociétés étrangères.
À ma connaissance, Palantir n'est pas utilisé par l'État. Je n'ai évidemment pas visibilité sur l'ensemble des projets, mais s'il l'est, cela est à titre marginal. L'État a bien veillé à se doter de capacités en propre ou en appui d'entreprises européennes pour maîtriser sa donnée et essayer d'en définir les trajectoires. Je ne suis pas pleinement compétent en la matière et le mieux, à ce sujet, serait d'interroger les ministères sociaux ainsi que le ministère de l'intérieur.
Nous ne manquerons pas de le faire. À ce stade, souhaitez-vous aborder des points nouveaux ou approfondir certains éléments évoqués précédemment ?
Il est nécessaire d'encourager les acheteurs à adopter des comportements innovants. Pour cela, ils doivent être sécurisés dans leur position. Ils doivent donc pouvoir prendre des risques sans en être inquiétés par leur hiérarchie. Je rejoins les propos tenus par M. Nadi Bou Hanna : l'objectif de l'État est d'acheter des choses utiles pour l'État et pour les utilisateurs, que ceux-ci soient l'ensemble de la population, une population ciblée ou les agents. Parfois, il est nécessaire de tester une innovation pour savoir si elle est vraiment utile. Si la hiérarchie n'autorise pas cette prise de risque, de nombreux acheteurs craindront d'expérimenter la nouveauté et n'achèteront pas de produits innovants. Ce problème ne se réglera pas par l'évolution des lois ou des textes, mais par un travail quotidien au sein des directions des achats et de la DINUM, autorité prescriptrice. Ce travail doit porter sur l'évolution des pratiques des donneurs d'ordre, compétents en matière d'achats de services et de fournitures informatiques et numériques pour l'État.
Je poserai une dernière question d'ordre juridique. Quelle vision portez-vous sur l'arrêt Schrems II de la Cour de Justice de l'Union Européenne (CJUE) et sur la décision du Conseil d'État concernant le Health Data Hub ? Cette décision demande la réversibilité et requiert un fournisseur européen à horizon de deux ans. En vérité, le Conseil d'État n'avait pas prévu ce délai de deux ans, c'est le ministère de la santé qui l'a demandé. Quelle vision avez-vous de ces deux décisions de justice et quelles conséquences en tirez-vous ?
Permettez-moi, avant de répondre à cette question, de revenir sur votre précédente demande.
Nous ne pouvons pas envisager de souveraineté numérique si nous ne sommes pas en mesure d'internaliser des compétences stratégiques au sein de l'État. Nous avons peu évoqué cet enjeu jusqu'à présent. La souveraineté repose sur la maîtrise et la compréhension des enjeux, des architectures, des grands projets. La Cour des comptes s'en est émue dans un rapport extrêmement bien documenté et retraçant les trajectoires de ces dernières années. Je constate que 90% à 95% de la maîtrise des grands projets ou des technologies est aujourd'hui externalisée. Les couches d'externalisation s'empilent : elles impliquent des grands cabinets de conseil, l'assistance à maîtrise d'ouvrage, l'entreprise de maîtrise d'œuvre, l'opérateur externe… Au final, l'ordonnateur ne dispose pas d'une vue d'ensemble et ne maîtrise pas le dispositif. Il perd la main. Aucune forme de souveraineté numérique ne peut alors se développer.
Évidemment, je ne défends pas l'idée qu'il faudrait absolument tout internaliser au sein de l'État. Cela serait absurde et non réaliste. Mais cela rejoint les enjeux actuels de la transformation de l'informatique. Les systèmes d'information, dans les années 1980 et 1990, étaient perçus comme des centres de coûts : ils étaient une commodité. Aujourd'hui, ils sont plutôt des leviers de transformation. Si aucun investissement n'est opéré dans ces leviers de transformation, ils resteront lettre morte.
J'en reviens à votre question d'ordre juridique. L'arrêt Schrems II est un arrêt stratégique, et il rejoint directement les réflexions conduites au sein de l'État. Nous sommes en train, depuis plusieurs mois déjà, de définir une nouvelle doctrine du cloud au sein de l'État. Ces travaux devraient aboutir dans les prochaines semaines. Cette doctrine du cloud vise à définir les règles du jeu pour l'État. Le cadre européen définit un cadre auquel l'on ne peut pas déroger. Pour autant, chacun des porteurs de projets et des États membres peut définir sa doctrine, c'est-à-dire la manière dont il s'approprie ce cadre réglementaire et dont il l'incarne dans une stratégie. Cette doctrine du cloud aura justement vocation à garantir que l'hébergement des données – qu'il s'agisse des données des citoyens ou des données liées à l'activité essentielle des agents publics – ne pourra pas être localisé sur des plateformes faibles d'un point de vue de la sécurité, non conformes au RGPD ou qui ne garantissent pas leur étanchéité aux réglementations extra-européennes. Nous sommes donc en train d'inaugurer une nouvelle ère au sein du cloud de l'État. Celle-ci ne consiste pas simplement à nous assurer que des offres émergent, mais plutôt à nous assurer que les administrations s'en saisissent, qu'elles l'utilisent à bon escient, et que cela change la manière de concevoir et de produire des applications.
Vous avez évoqué le Health Data Hub. Comme je l'ai expliqué tout à l'heure, nous sommes confrontés à la réalité du marché. Le projet du Health Data Hub revêt un enjeu politique majeur et affichait un échéancier non négociable. Lorsque ce projet a été lancé, la seule plateforme qui était techniquement compatible avec l'ambition du projet, tel que cela a été analysé par le ministère de la santé, était celle de Microsoft. Depuis, des travaux ont été conduits. Nous avons notamment vu des hébergeurs agréés SecNumCloud mettre à niveau leurs plateformes. Nous assistons donc à un travail de mise à niveau des plateformes pour se conformer au besoin du client. Sur un projet de cette nature, nous n'allons pas dégrader ni le besoin client, ni la promesse politique. Les équipes techniques sont bien obligées de trouver les solutions techniques adéquates pour donner corps à cette promesse. Nous voulons envoyer au marché, et notamment aux hébergeurs européens, le signal suivant : à partir du moment où les règles du jeu seront bien déterminées, et que le marché sera réellement ouvert, les hébergeurs devront probablement travailler pour monter à niveau sur quelques fonctions, et alors être capables d'être compétitifs vis-à-vis des plateformes pour répondre à un projet d'envergure comme celui du Health Data Hub. Il n'y a pas de dogme s'agissant du Health Data Hub – il y a simplement un constat de réalité. Le souhait de l'ensemble des parties est que de nouvelles offres d'hébergement puissent émerger, qui remontent les couches, c'est-à-dire qui ne se contentent pas du niveau le plus bas (l'infrastructure) mais qui soient capables de remonter au niveau de la plateforme et des services à valeur ajoutée. Du côté du Health Data Hub, des ajustements doivent également être faits pour ouvrir davantage le champ de la concurrence. Nous y travaillons actuellement. Ma direction intervient en soutien du ministère de la santé pour définir une trajectoire de réelle mise en concurrence de la plateforme. Je ne peux pour l'instant pas vous dire si cela pourra se faire à un horizon de 18 mois, de 24 mois, ou plus. La réalité technique et la maturité des offres montreront, in fine, si ce plan de migration était réaliste.
Merci du temps que vous nous avez consacré et des propos très éclairants que vous avez partagés avec nous. Nous sommes très impatients de prendre connaissance de la doctrine du cloud de l'État dès qu'elle sera achevée, car cela concerne directement les enjeux de notre mission d'information. Nous aurons peut-être alors l'occasion de vous auditionner à nouveau à ce sujet.
La séance est levée à 12 heures 20.
Membres présents ou excusés
Mission d'information sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne »
Réunion du jeudi 21 janvier 2021 à 11 heures
Présents. - M. Philippe Latombe, M. Denis Masséglia