En mars dernier, le Sénat avait lancé une commission d’enquête «sur les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d’entraînement sur l’économie française», à l’initiative du groupe Les Indépendants – République et Territoires (divers droite, présidé par Claude Malhuret). La commission a rendu la semaine dernière son rapport, qui pointe l’absence de pilotage par l’État et ses conséquences.
Insuffisances de la protection des données
Elle constate que «la commande publique, qui représente 400 milliards d’euros par an, souffre d’un pilotage politique défaillant, qui ne lui permet pas de jouer pleinement son rôle d’accélérateur des transitions écologique et sociale. Elle a également mis en lumière les insuffisances de l’État en matière de protection des données publiques hébergées en ligne et de mise en œuvre des dispositions visant développer la commande publique responsable, ainsi que les contraintes parfois excessives qui pèsent sur les acheteurs publics.»
Dans sa synthèse, la commission indique que ses investigations «ont montré que l’État n’avait pas su se hisser à la hauteur des enjeux ces dernières années lorsque la commande publique avait dû être mobilisée pour répondre à l’urgence ou garantir la souveraineté nationale et européenne», notamment quand il s’est agi «d’assurer la protection des données publiques face aux géants du numérique». Son rapport de 489 pages contient de nombreuses sections liées au numérique.
En audition, l’ancien Haut responsable chargé de l’intelligence économique auprès du Premier ministre, Alain Juillet, a exposé ceci (p. 243 et suivantes du rapport): «Les lois américaines permettent aux services américains de récupérer toutes les données que nous transmettons aux États-Unis et d’en faire ce qu’ils veulent. Ils peuvent donc, par exemple, les communiquer aux concurrents américains de nos entreprise.» «Je connais des entreprises françaises qui ne travaillent qu’avec Microsoft. Si vous leur dites qu’en recourant exclusivement aux services de Microsoft, toutes leurs données peuvent être transmises à la concurrence, elles vous répondent que vous êtes paranoïaques, jusqu’à ce qu’elles finissent par perdre une affaire…»
Le rapport pointe que «au-delà même de ces enjeux fondamentaux doit être pris en compte le risque d’accoutumance, voire de dépendance, à des solutions étrangères, qui fragilise gravement la souveraineté numérique européenne.
De fait, les tensions géopolitiques actuelles font légitimement craindre le recours par des puissances étrangères à tous les leviers de pression dont elles peuvent disposer à l’encontre de la France et de l’Union européenne. Dans un tel scénario, la fermeture de l’accès des Européens à ces solutions serait de nature à susciter des difficultés substantielles pour le fonctionnement des administrations publiques et la vie économique du continent.»
« Décalage persistant » entre les discours et les actes
La commission relève que «certains États européens semblent toutefois commencer à prendre conscience des risques auxquels cette situation les expose. Le gouvernement danois a, par exemple, annoncé récemment sa volonté de remplacer progressivement les offres Windows et Office 365 de Microsoft par Linux et LibreOffice.»
Elle rappelle que «dès 2016, le législateur a affirmé le principe selon lequel l’État, les collectivités territoriales, les autres personnes de droit public et les personnes de droit privé chargées d’une mission de service public devaient veiller à «préserver la maîtrise, la pérennité et l’indépendance de leurs systèmes d’information» et encourager l’utilisation des logiciels libres et des formats ouverts lors du développement, de l’achat ou de l’utilisation de tout ou partie de ces systèmes d’information» (loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, proposée par la secrétaire d’État au Numérique Axelle Lemaire – on aurait aussi pu rappeler la circulaire Ayrault de 2012 sur l’usage des logiciels libres).
Plus tard, «le directeur interministériel du numérique a alors précisé, dans une note du 15 septembre 2021 adressée aux secrétaires généraux des ministères, que le respect de la doctrine « cloud au centre » faisait obstacle à l’utilisation de l’offre Office 365 de Microsoft par les services de l’État: « Les solutions collaboratives, bureautiques et de messagerie proposées aux agents publics relèvent des systèmes manipulant des données sensibles. Ainsi, la migration de ces solutions vers l’offre Office 365 de Microsoft n’est pas conforme à la doctrine cloud au centre ».»
Le fossé entre les textes officiels et la pratique reste toujours patent quand on pense aux récents cas de l’Education nationale ou de Polytechnique, et le rapport déplore «un décalage persistant entre les discours publics et les actes concrets»: «Une multitude d’exemples de recours par des organismes publics français à des offres numériques étrangères, à contresens des prescriptions officielles, ont en effet été évoqués au cours des travaux de la commission d’enquête, à commencer par la récente conclusion par le ministère de l’éducation nationale et de la jeunesse d’un accord-cadre pour le renouvellement de ses licences Microsoft en mars dernier pour un montant estimé à 75 millions d’euros HT sur quatre ans» (qui pourrait aller jusqu’à 152 millions).
La Dinum oubliée par l’Éducation nationale
De plus, relèvent les sénateurs, «au-delà même des interrogations que soulève le recours par les services de l’État à des offres assujetties aux lois extraterritoriales américaines et l’exposition de nos données publiques au risque de transfert à des autorités étrangères, il apparaît que ce marché a été passé en méconnaissance des règles applicables visant à assurer sa conformité à la doctrine « cloud au centre ». (…) De tels projets doivent en effet être soumis pour avis conforme à la direction interministérielle du numérique (Dinum), ce qui n’a pas été le cas du renouvellement des licences Microsoft du ministère de l’éducation nationale.»
Ce qui a suscité un courrier des ministres de l’Action publique et de l’Intelligence artificielle et du Numérique aux membres du gouvernement, en forme de rappel à l’ordre. Les sénateurs soulignent cet épisode peu glorieux: «La commission d’enquête s’étonne vivement que des membres du gouvernement soient contraints de rappeler à leurs collègues et aux administrations placées sous leur autorité qu’il existe des règles applicables en la matière et que leur respect s’impose à tous, sans exception, et y voit une illustration supplémentaire du pilotage défaillant de la politique numérique de l’État.»
En septembre 2024, la Cour des comptes avait consacré un rapport à la direction interministérielle du numérique, où elle estimait que la Dinum souffre dans son action “d’une adhésion interministérielle limitée.”
Lors de la présentation du rapport, exposée par Public Sénat, son rapporteur Dany Wattebled (groupe Les Indépendants) a pointé la sujétion à la tech américaine: «Les sénateurs attirent l’attention sur l’asymétrie qui existe entre l’Europe et les Etats-Unis sur cette question. « Pourquoi l’Etat recourt massivement aux GAFAM pour attribuer ses marchés publics? » interroge le rapporteur de la commission d’enquête, en comparant les chemins pris par la police nationale et la gendarmerie sur la question. La police nationale a en effet fait le choix de Microsoft, qui proposait un prix d’appel inférieur à Linux.
Résultat, avec le passage à Windows 11, la police nationale doit remplacer l’ensemble de son parc informatique, même les appareils fonctionnant parfaitement, avec des coûts supplémentaires importants qui rendent le choix de Microsoft finalement plus coûteux que celui qu’a fait la gendarmerie en optant pour Linux. « Les firmes américaines démarrent leurs offres plus bas, mais elles génèrent des surcoûts une fois que vous êtes captifs de leurs offres. En outre, niveau sécurité, tout le monde nous dit que la communauté de développeurs autour de Linux est bien plus performante », analyse Dany Wattebled.»
67 recommandations
Le travail de la commission d’enquête pourrait amener à deux propositions de loi distinctes, précise Public Sénat, une plus technique sur l’assouplissement et la régulation de la commande publique, et l’autre «davantage consacrée aux questions de souveraineté et de transition écologique».
Les sénateurs ont dressé une liste de 67 recommandations, dont celles numérotées de 23 à 31 portent plus particulièrement sur le numérique, la protection contre les lois extraterritoriales étrangères (coucou les lois FISA américaines et autres).
Recommandation n° 29 : «Rationaliser le pilotage de la politique numérique de l’État en réaffirmant le rôle de pilote de la direction interministérielle du numérique, sous l’autorité du Premier ministre, et en rappelant aux administrations de l’État le caractère obligatoire de la doctrine « cloud au centre »» (cf. sa présentation).
La recommandation n° 30 veut «remédier au défaut de pilotage politique de l’Ugap [Union des groupements d’achats publics] pour en faire un outil de souveraineté industrielle et numérique en confiant sa tutelle au seul ministère chargé de la souveraineté industrielle et numérique», et la n° 31 propose d’«assigner aux centrales d’achat nationales, et en particulier à l’Ugap, un objectif d’appui à la structuration des filières françaises et européennes, notamment dans le secteur du numérique, avec la diffusion de solutions souveraines en matière de logiciels et d’hébergement en nuage.»
Image: façade nord du palais du Luxembourg, où siège le Sénat. Photo Chabe01 / Wikimedia Commons / CC0
Lire aussi
Pourquoi le Danemark vire Microsoft Office et Windows pour LibreOffice et Linux – 12 juin 2025
Souveraineté numérique : les entreprises françaises du secteur réclament un coup de pouce pour rester dans la course – 23 mai 2025
Contrats Microsoft à l’Éducation nationale et Polytechnique: les protestations continuent – 30 mars 2025
Les GAFAM en France: un lobbying aidé par un Etat faible ou séduit – 23 décembre 2022