Notre commission d'enquête poursuit ses travaux avec l'audition de Monsieur Michel Paulin, directeur général de l'entreprise OVH.

Je rappelle pour la forme qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du Code pénal. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, M. Paulin prête serment. Vous êtes depuis près d'un an le directeur général d'OVH. Cette entreprise est spécialisée dans les services de cloud. Elle a été fondée en 1999 à Roubaix par Octave Klaba qui en est désormais l'actionnaire majoritaire. Elle est devenue un acteur important du cloud, qui entend se développer partout dans le monde et ainsi défier les grands leaders du secteur que sont Amazon, Microsoft, Google et IBM sans même évoquer les entreprises chinoises. Elle est donc l'une des rares licornes françaises qui tentent de lutter face à ces géants du numérique.

Pourrez-vous nous donner des éléments de comparaison, par exemple en nombre de centres de données, afin que nous puissions nous rendre compte de l'importance de votre activité par rapport à celle de vos concurrents ?

Le fondateur de l'entreprise souligne l'importance de faire héberger ses données en Europe pour éviter qu'elles ne soient soumises à des lois de portée extraterritoriale. Dans une interview publiée l'an dernier, il déclarait ainsi : « il s'agit d'arrêter d'être des bisounours et de prendre conscience que l'Europe est en train de se faire dépouiller de ses données, que les gouvernements perdent la main face à une poignée de grandes entreprises privées. »

Dans le même temps, Monsieur Klaba a également émis un avis réservé sur le projet annoncé par le ministre de l'Économie et des Finances et présenté comme un cloud souverain. Quelles solutions préconisez-vous ? Pouvez-vous nous expliquer en quoi votre entreprise marque un jalon important pour la souveraineté numérique française et européenne ?

Il est clair que l'un des sujets majeurs de la souveraineté est le numérique, tant celui-ci se place désormais au centre des sujets sociétaux, politiques et économiques. Bruno Le Maire a d'ailleurs affirmé qu'il n'y a pas de souveraineté politique sans souveraineté numérique. Selon moi, il est donc essentiel que l'État et l'Union européenne puissent garantir aux citoyens l'effectivité de cette souveraineté.

À titre introductif, je présenterai notre entreprise, OVH. Nous sommes une entreprise française, fondée il y a vingt ans par Octave Klaba. Le siège social est situé à Roubaix. À ce jour, le capital est encore détenu en majorité par la famille Klaba. OVH emploie plus de 2 000 salariés, dont plus de 1 000 à Roubaix. Notre chiffre d'affaires s'élève à plus de 600 millions d'euros, avec une croissance supérieure à 20 %. Nous sommes qualifiés de pure player, ce qui signifie que nous n'exerçons qu'une seule activité, le cloud. Cela nous distingue de la majorité des autres acteurs sur ce marché.

Nous sommes une véritable entreprise industrielle puisque nous produisons nous-mêmes nos serveurs dans un site industriel situé à Croix. Nous achetons les composants et les montons ensuite. À ce jour, nous disposons de 28 centres de données, présents sur quatre continents. En Europe, nous détenons des structures en France et dans la plupart des pays européens comme l'Allemagne, la Pologne ou l'Angleterre. Nous disposons également de centres de données au Canada, aux États-Unis, à Singapour et en Australie. Sur ce marché mondial, avoir une présence internationale est une condition sine qua non pour être en mesure d'accompagner au mieux ses clients.

Sur la période 2016- 2021, nos investissements dans les infrastructures s'élèveront à 1,5 milliard d'euros. Nos serveurs sont construits selon des principes proches de l'open source : ils sont auditables.

Afin de renforcer notre indépendance, nous concevons nous-mêmes nos centres de données et avons également mis au point une technique innovante de refroidissement de nos serveurs à l'eau. Au-delà de ses vertus écologiques, ce processus s'avère bien plus efficace que celui employant l'air. Afin de renforcer encore notre indépendance, nous possédons également notre propre réseau de fibre, ce qui garantit la maîtrise totale du processus pour nos clients.

Comme je l'indiquais, nous ne proposons que du cloud. Dans le top 10 mondial, nous sommes classés à la neuvième place. Nous sommes la seule entreprise européenne qui figure dans ce classement, et la seule à ne proposer que du cloud. Les huit premiers classés sont les géants que vous connaissez tous, américains et chinois. Le dixième est une entreprise japonaise. Sans aides publiques, OVH est devenu le leader européen du cloud.

Nous proposons tous les types de services : public, privé ou hybride, serveurs dédiés et barre métal. Notre philosophie repose sur le principe suivant : « Innovation is freedom », autrement dit, l'innovation doit servir à la liberté et non pas à emprisonner nos clients. Loin d'être anecdotique, cette affirmation se traduit concrètement dans l'ensemble de nos offres, qui s'articulent autour des concepts d'ouverture, de réversibilité et d'accessibilité, et qui reposent souvent sur des logiciels libres, ce qui garantit à nos clients le respect de leur liberté. Notre parti pris est donc de refuser tout système qui conduirait à emprisonner les citoyens et les entreprises.

Dans le cadre de notre réflexion au sujet de la souveraineté numérique, comment OVH peut-elle apporter des éléments de réponse ? Le numérique se place au coeur de nos préoccupations industrielles, politiques et sociétales. Nous sommes convaincus que ces outils numériques constituent des actifs économiques à part entière. Les données personnelles et celles des entreprises ont une valeur importante. C'est d'ailleurs sur elles que les Gafam ont construit leur puissance. Au-delà de ces acteurs, les données sont stratégiques pour les États et les entreprises dans leur ensemble, comme l'illustrent les effets produits par une utilisation malveillante de ces données.

Le numérique constitue également un enjeu économique. Les données peuvent être utilisées pour attaquer des concurrents sur le marché. Comme l'a justement rappelé le député Gauvain dans son rapport, certains États se sont ainsi dotés d'outils juridiques permettant d'affaiblir les règles relatives à la protection des données. Dans ce contexte, il n'est plus suffisant de conserver les données en Europe pour parvenir à les protéger. En effet, avec le Cloud Act, l'accès aux données est rendu possible, quel que soit leur lieu de stockage.

Selon moi, le Cloud Act est une arme très puissante qui vise directement la souveraineté des États. Son application permet aujourd'hui que certaines entreprises américaines puissent saisir la justice américaine pour qu'elle obtienne ces données. Cette transmission s'opérera sans aucune intervention des juridictions françaises. En ce sens, cela pose un réel problème.

Jusqu'à présent, les questions de protection étaient appréhendées par un prisme strictement technologique - via le cryptage des données, l'installation de pare-feux.... Bien entendu, cette lecture est importante. Pour autant, quand bien même la porte d'une maison serait blindée, si la loi autorise à cambrioler l'intérieur de la maison, la protection de la porte sera inutile. L'enjeu est donc de comprendre l'importance pour les États de se doter d'outils puissants pour résister aux atteintes portées à la souveraineté numérique en Europe. Lorsqu'Octave Klaba évoquait le terme de « bisounours », son propos n'avait rien de défaitiste, car des acteurs comme OVH détiennent des éléments de réponse.

Quels sont les grands enjeux auxquels il faudra faire face ? Le premier enjeu est celui de la transparence. L'État, les collectivités locales et les acteurs économiques doivent être en mesure de comprendre quels sont les risques inhérents à chaque système. Par exemple, les appels d'offre lancés en matière de cloud excluent les solutions situées en zone inondable. Mais certaines entreprises ne posent pas la question de savoir quel est le droit applicable aux données stockées ! Une plus grande transparence est donc nécessaire afin que chacun puisse prendre sa décision de façon éclairée.

La transparence doit également se traduire dans le cadre des procédures d'appels d'offres. Par exemple, lorsque certaines collectivités territoriales passent un appel d'offres dans le domaine du cloud, elles confient leurs données à des intégrateurs afin qu'ils mettent en oeuvre des solutions. Dans le cadre du comité stratégique de filière, nous estimons qu'il est nécessaire d'indiquer où sont stockées ces données et à quel droit elles seront soumises. À titre personnel, j'ai pu observer que ces intégrateurs les laissaient dans des services de cloud qui ne peuvent être qualifiés de cloud de confiance. Mon propos ne doit pas être interprété comme de l'animosité à l'égard de nos concurrents. Je souhaite seulement qu'il y ait de la transparence sur les conditions de stockage des données, et donc sur le droit applicable.

Au-delà de l'objectif de transparence, je pense que nous devons abandonner toute attitude fataliste. L'exemple d'OVH en témoigne. Sans bénéficier à aucun moment d'argent public, elle a su rester dans la course mondiale au sein d'un domaine économique ultra compétitif. Les concurrents auxquels elle a fait face ont été fortement avantagés dans leurs propres États par le biais des commandes publiques.

Si la préférence nationale est une notion absente de notre droit, c'est une réalité concrète dans les autres États. L'État et les collectivités territoriales doivent comprendre à quel point l'enjeu de ces questions dépasse la seule sphère économique. Choisir un acteur américain ou chinois est lourd de conséquences tant au niveau de la protection des données que pour la viabilité à long terme de la filière numérique en Europe.

Or il existe énormément d'entreprises performantes en Europe. OVH n'est pas un exemple isolé. Il existe des acteurs compétitifs, mais pas encore présents sur l'ensemble de la chaîne du numérique, notamment dans les random access memory (RAM ), les puces, le hardware et les systèmes d'exploitation.

En tant qu'entreprise européenne numérique, nous tentons notre chance, mais nous ne pourrons rester seuls dans cet environnement. Nos concurrents bénéficient d'un soutien important de la part de leurs États, qui ont des stratégies en la matière : la Chine a ainsi pour objectif d'être le leader en intelligence artificielle. De même, aux États-Unis, toute la stratégie universitaire de recherche est basée sur un système d'aides, tant privées que publiques. Il me semble que l'État français devrait conclure des accords avec d'autres partenaires. Nous disposons d'ingénieurs parmi les meilleurs au monde, qui sont malheureusement recrutés par ces acteurs étrangers du numérique. Je suis certain que l'Europe détient toutes les capacités pour rivaliser avec eux. L'exemple d'OVH, comme d'autres, n'est pas suffisamment mis en valeur.

Les acteurs économiques doivent également comprendre ces enjeux. Or, quand j'observe que de grandes sociétés publiques passent des accords avec des entreprises américaines, je ne peux que le déplorer. J'imagine bien que la conclusion d'un accord avec Google peut apparaître plus enthousiasmante qu'avec OVH. Pour autant, ce type de situation me semble regrettable dans la mesure où nos solutions sont parfaitement adaptées.

Par ailleurs, j'aimerais rappeler à quel point le cadre juridique mis en place par le RGPD est unique sur le marché mondial. Cet exemple européen inspire certains pays comme le Canada et la Californie. C'est une avancée majeure dans la protection de nos données personnelles. Face à cela, je ne peux que déplorer les stratégies de certains États visant à se doter d'outils comme le Cloud Act. L'Europe doit affirmer une position forte pour protéger toute l'efficacité du RGPD et garantir ainsi aux citoyens que leurs données sont protégées.

Je terminerai en insistant sur l'importance que revêt la réversibilité d'un système : il est indispensable que les entreprises gardent la possibilité de revenir en arrière si elles le souhaitent. Si l'ampleur du coût induit par une telle décision s'avère dissuasive, cette démarche est de fait impossible. Au final, cela alimente la capacité des gros acteurs à préempter les données. Nous pensons que l'intérêt majeur des systèmes de cloud est justement leur capacité à apporter de la flexibilité et de la souplesse aux entreprises. Si ce système aboutit à la mise en place d'un monopole, que reste-t-il de son intérêt ?

Aussi la souveraineté numérique ne peut en aucun cas exister si la notion de réversibilité n'est pas mise en avant : tous les monopoles de fait, américains ou chinois, existent car il n'y a pas d'alternative reposent sur l'irréversibilité. C'est un cercle vicieux duquel il est impossible de sortir.

Merci beaucoup. Vos propos démontrent à quel point le sujet juridique est majeur. Par le passé, nous restions focalisés sur la localisation physique des données et des infrastructures. Aujourd'hui, il semblerait que les problèmes d'insécurité juridique et de régulation mondiale soient devenus plus prégnants. Qu'en pensez-vous ?

Par ailleurs, l'Union européenne et la France pourraient-elles adopter une attitude de patriotisme économique en valorisant un leader ?

Sur le premier point, je suis parfaitement d'accord avec vous. La localisation des données est un enjeu purement technique. Le lieu est choisi pour des raisons d'efficacité. Chez OVH, nous avons des sites en France, en Espagne, en Italie ou en Asie.

En revanche, le droit applicable à ces données dépend de l'acteur hébergeur. S'il est américain, il relève des juridictions américaines. Dans ce cas, quand bien même les données seraient stockées en France, elles seraient soumises à l'application du Cloud Act. Jusqu'à présent, il y avait un échange entre deux juges pour obtenir une transmission de ces données. Avec cette réforme, l'État américain échappe à cette phase d'entente judiciaire. Cette évolution est effectivement majeure.

De plus, les données ont vocation à circuler. La souveraineté des données apparaît comme un enjeu essentiel pour les États et pour l'Union européenne. Je n'aspire pas à ce que l'ensemble des données soit stocké en Europe. Pour autant, l'État doit avoir conscience des effets attachés à certaines de ses décisions, notamment celles visant à confier à des acteurs étrangers le soin de conserver des données. Nous discutons fréquemment avec des acteurs comme l'Anssi (Agence nationale de la sécurité des systèmes d'information), mais ce dialogue ne revêt pas de réel enjeu tant ce domaine est régulé. À l'inverse, les secteurs bancaires ou médicaux doivent attirer toute notre attention sur ces questions.

Sur le second point que vous avez évoqué, je pense que l'Europe souffre d'un complexe d'infériorité par rapport aux entreprises américaines et chinoises. Trop souvent, elle n'accorde pas aux entreprises européennes toute la reconnaissance qu'elles mériteraient. Or il existe énormément de succès en Europe. Ceux concernant les entreprises américaines semblent davantage médiatisés.

Il me semble également qu'il faudrait rechercher les solutions numériques en Europe, plutôt que d'avoir le réflexe de se tourner vers les entreprises étrangères. Sans parler de mettre en place un patriotisme économique, je constate parfois qu'OVH n'est même pas consultée au cours de certains appels d'offres.

À titre personnel, je suis un adepte d'OVH, dont je suis client.. En tant qu'élu des Hauts-de-France, je fais preuve d'une certaine solidarité territoriale. De plus, je suis issu d'une tradition familiale de patriotisme industriel. Il me semble que cette attitude a du sens à l'heure actuelle.

Je déplore que beaucoup de citoyens n'aient plus conscience de la nécessité d'être attentifs aux endroits dans lesquels des richesses peuvent se développer. Le succès d'Airbus pourrait être transposé dans le numérique. Il me semble que nous disposons des mêmes compétences que les ingénieurs de la Silicon Valley. Je me demande également si OVH ne pourrait pas agir plus pour être mieux connue du grand public.

Par ailleurs, je rejoins votre approche de la question extraterritoriale. La solution développée dans le Cloud Act est contraire aux fondements de notre droit. C'est un vrai sujet pour lequel nous devons continuer à rechercher des solutions.

La question de la réversibilité est également essentielle. Sans réversibilité, le stockage s'apparente à une confiscation des données. Mais au-delà des problématiques de stockage, il s'agit à mon sens d'un abus de droit. Cette qualification juridique mériterait d'être creusée dans l'optique d'un contentieux.

Les entreprises européennes, dont OVH fait partie, de mener une introspection visant à accroître leur capacité à gagner en visibilité. À l'étranger, les aides dont nos concurrents ont pu bénéficier au départ ont fortement participé à leur déploiement. À mon sens, trois facteurs expliquent les différences qui existent entre ces entreprises et les nôtres.

Tout d'abord, les États américains et chinois ont mis en place un écosystème centré sur l'accompagnement des entreprises. Si le système chinois repose sur un État omniprésent, le système d'aide américain est plus décentralisé, mêlant des fonds privés et publics, provenant de l'État, des collectivités locales et des universités... De plus, l'État aide directement les start-ups par le biais des commandes publiques.

Ensuite, le marché européen est très morcelé, en raison de la diversité des langues et des législations. Les entreprises qui veulent s'y implanter doivent réaliser des investissements importants pour un résultat peu rentable comparé à celui escompté sur un marché d'envergure comme le marché chinois.

Enfin, les coûts induits par le marketing en Europe sont considérables. Une stratégie visant à faire croître la notoriété d'une entreprise est plus facile à mettre en oeuvre aux États-Unis qu'en Europe.

Je partage donc votre constat et le regrette tout autant. Pour autant, le nombre de start-ups rachetées sur notre sol par les entreprises américaines démontre bien à quel point les entreprises européennes regorgent de bonnes idées. Il faut donc accompagner leur développement.

Vous avez souligné l'intérêt du RGPD. Pensez-vous qu'il puisse être comparé au Cloud Act, ce qui permettrait de rétablir une forme d'équilibre entre l'Union européenne et les États-Unis ? Je rappelle que cela constitue l'une des orientations du rapport Gauvain.

Disposez-vous de serveurs aux États-Unis ? Dans ce cas, comment allez-vous gérer le Cloud Act ?

Vous avez évoqué l'enjeu important de la réversibilité. Lors de nos auditions précédentes, plusieurs personnes se sont prononcées en faveur de l'interopérabilité et de la portabilité des données. Partagez-vous leur opinion ? Je suis conscient que votre secteur d'intervention est différent, pour autant j'ai cru comprendre votre adhésion aux systèmes en open source.

La situation actuelle dans laquelle les données se situent à 80 % dans les centres de données et à 20 % sur les sites de production de données va s'inverser. Comment appréhendez-vous cette évolution ? Eu égard à votre modèle économique centré sur le stockage de données, allez-vous garder la même stratégie de spécialisation, ou développerez-vous d'autres activités liées à la commercialisation de données ?

Aux États-Unis, notre filiale est régie par le droit américain. À ce titre, elle respecte scrupuleusement la loi américaine. En revanche, nous avons fait en sorte que seule cette filiale soit soumise au Cloud Act,.et qu'elle ne dispose d'aucun accès aux données situées à l'extérieur des États-Unis : il s'agit d'un bastion isolé. L'accès ne serait tout simplement pas possible d'un point de vue technique : de ce fait, aucun agent américain ne pourra accéder aux données situées en dehors du territoire américain. Cet exemple est totalement unique dans notre activité, puisque l'ensemble des sociétés européennes de notre groupe est soumis aux mêmes règles. Le cas américain est donc à part.

Notre activité n'est pas concernée par les questions d'interopérabilité ou de portabilité. Pour autant, nous mettons en avant la réversibilité du stockage qui est fondamentale à l'heure actuelle. OVH se doit d'offrir à ses clients la possibilité de revenir en arrière - nous travaillons beaucoup avec OpenStack pour garantir cette réversibilité. À leur tour, nos clients offrent aux leurs cette même garantie. À ce titre, nous agissons comme un facilitateur. Sans la réversibilité, le risque est de mettre en place une situation de monopole de fait. Cela conduirait à ne laisser exister que les seules Gafa. Or OVH entend se positionner comme une alternative sérieuse à ces entreprises.

Nous ne souhaitons offrir que des services de cloud. Il nous paraît important de rester focalisés sur ce secteur pour plusieurs raisons. Tout d'abord, c'est un marché qui présente un potentiel de croissance important. Notre objectif est de nous maintenir dans le top 10 des entreprises mondiales du secteur. Ensuite, ce domaine implique de réaliser des investissements massifs dans nos infrastructures et dans la recherche et le développement. Or, face à nos concurrents qui disposent de moyens colossaux, nous devons consacrer toute notre énergie dans ce sens. Se diversifier nous exposerait à un risque de dilution. Nous concentrer sur notre savoir-faire nous permet de conserver notre position d'alternative aux GAFA, et de proposer un cloud de confiance à nos clients.

J'aimerais évoquer l'edge computing. C'est à la fois un sujet technique et un modèle économique. Au niveau du modèle économique, cela ne change pas ce qui existe déjà. Être capable de gérer un centre de données nécessite de l'innovation et des compétences, ce dont nous disposons déjà. À ce titre, nous sommes, avec d'autres, les acteurs les mieux placés pour tenir ce rôle.

Dans ce contexte, l'avenir du cloud réside-t-il dans des gros centres de données interconnectés pour traiter l'ensemble des données ? Je ne le pense pas. Si je prends l'exemple des voitures autonomes, leur mise en place nécessitera énormément de données pour analyser la route et échanger les informations de manière très rapide avec un centre de données local. De nombreuses interrogations restent à résoudre, mais il est clair que ce rééquilibrage aura lieu.

Dans le monde du numérique, la mémoire est interminable. Rien n'est oublié. Dans le secteur de la gestion des données, l'archivage et le stockage sont des domaines très vivants. Dans ce contexte, comment appréhendez-vous cette notion de permanence, qui détient la propriété de ce patrimoine et comment se gère-t-il ?

D'un point de vue purement technologique, tout le matériel magnétique a une durée de vie limitée. Les nouvelles technologies reposent désormais sur un matériel en verre qui peut durer des millénaires. Bien entendu, cela interroge sur l'intérêt de conserver des données sur une telle période.

Notre approche est basée sur la volonté de nos clients. Ce sont donc eux qui décident pendant quelle durée ils souhaitent que leurs données soient conservées. En tant qu'hébergeurs, nous ne sommes que des dépositaires et ne regardons jamais leurs données. Cela permet à nos clients de nous confier leurs données en toute confiance. Leurs souhaits sont très variables au sujet de la durée de conservation. En toute hypothèse, nous leur fournissons un service conforme à leurs exigences.

Assurez-vous d'autres prestations liées à l'utilisation des données pour le compte de vos clients ?

Non. Les GAFA le font. Ce sont des acteurs qui hébergent et fournissent d'autres services. Ils agissent à la fois comme hébergeurs et comme fournisseur de services - ce qu'on appelle Software as a Service ou Saas. OVH a pris le parti de ne pas se positionner de la sorte. Nous nous limitons à proposer des solutions de cloud à nos clients. De ce fait, aucun de nos salariés ne peut accéder aux données hébergées.

J'imagine que vous consacrez une part d'investissements importante à votre activité.

Ces dernières années, nous avons réalisé 1,5 milliard d'investissements, ce qui est effectivement très important. Sur le plan comptable, nos amortissements sont élevés. Nous agissons comme un véritable acteur industriel. Nous concevons et construisons l'ensemble de nos serveurs, après avoir acquis leurs composants qui arrivent dans notre site de Croix.

Ce processus de fabrication interne présente trois avantages : tout d'abord, en évitant toute sous-traitance, nous faisons des économies. Ensuite, nous maîtrisons la qualité de nos serveurs. Enfin, nous nous assurons de la traçabilité de l'ensemble du processus depuis sa conception jusqu'à sa mise en place.

Cette chaîne est entièrement transparente. Le logiciel de robotisation nous appartient pour l'avoir développé en interne. De ce fait, tous nos systèmes peuvent être audités. Cette intégration verticale est assez remarquable dans l'industrie.

Les évolutions technologiques dans votre secteur sont-elles régulières ou risquez-vous d'être frappés par une révolution technologique rendant vos équipements obsolètes ?

Tout notre métier repose sur l'innovation. Notre capacité à innover est donc une question de survie. Dans notre domaine, un cycle long ne dure que deux à trois ans. Par conséquent, il faut sans cesse être capable d'anticiper les tendances.

À titre d'exemple, je citerai le procédé de refroidissement par l'eau de notre serveur, très innovant. De même, nous avons déposé beaucoup de brevets qui nous permettent de nous distinguer dans ce secteur.

Pour rester innovants, nous avons conclu des partenariats avec plusieurs start-ups européennes, dont Systran, une société française en pointe sur l'intelligence artificielle appliquée à tout ce qui est audio, notamment pour la capacité à détecter des choses par le langage.

Je pourrais donner d'autres exemples. Ces collaborations démontrent notre conviction qu'à plusieurs, nous pourrons fédérer et démultiplier nos efforts de recherche. L'État et les collectivités territoriales doivent jouer un rôle dans ce contexte. Nous-mêmes fournissons aux start-ups, dans le cadre de notre programme « digital launchpad », des solutions en matière de cloud, de formation et d'assistance parce que nous sommes pleinement conscients de la difficulté qu'il y a à se développer sur ce marché. Nous avons déjà aidé 1 500 start-ups dans ce cadre.

L'ensemble de l'écosystème européen doit développer sa capacité à travailler ensemble pour continuer à innover. Sans cela, il ne sera pas en position de survivre sur ce marché.

J'aimerais savoir si dans le cadre de votre activité professionnelle vous ressentez le souffle de ces géants du numérique.

De manière quotidienne. À chacune de nos rencontres avec un client ou une collectivité territoriale, nous sommes comparés à Google. C'est donc une réalité concrète pour nous.

Évoquez-vous le client final ou le vendeur ?

Parmi nos clients se retrouvent tous types d'acteurs. L'essentiel de notre chiffre d'affaires se fait à l'étranger. Parmi nos clients en France, on retrouve à la fois des entreprises du CAC 40 comme la Société Générale ou Auchan et de grands intégrateurs comme Capgemini ou Thalès, qui s'adressent au client final. Nous avons aussi des sociétés dites « digital native » qui ont bâti l'ensemble de leur activité autour du cloud.

En réalité, nous menons une compétition permanente avec les entreprises du numérique. Leur puissance de lobbying est particulièrement développée.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est ouverte à 14 heures.

Notre commission d'enquête poursuit ses travaux avec l'audition de Monsieur François Villeroy de Galhau, gouverneur de la Banque de France.

Je rappelle qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du Code pénal. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité ; levez la main droite et dites : « je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, M. Villeroy de Galhau prête serment.

M. le Gouverneur, avec la révolution numérique, les entreprises tentent aujourd'hui de concurrencer les États dans l'exercice de leurs missions régaliennes, y compris celle de battre monnaie. Nous le voyons aujourd'hui avec Facebook qui a confirmé son intention de lancer sa propre monnaie, le Libra, dès le début de l'année 2020.

Cette annonce a immédiatement suscité d'intenses réactions, en particulier de la part des régulateurs et des banques centrales concernés en premier lieu par ce projet. Aujourd'hui, les autorités nationales et européennes ne considèrent pas que les cryptoactifs soient de nature à perturber la stabilité de nos systèmes financiers. Le projet de Facebook ne remet-il pas cela en cause ? Nous pouvons imaginer que d'autres géants du numérique américains ou asiatiques choisiraient de développer leur propre cryptomonnaie, ce qui fragiliserait certainement notre système.

Vous défendez également, M. le Gouverneur, la solution de systèmes de paiement européens alors que ce marché est de plus en plus dominé par des acteurs américains ou chinois. En quoi est-ce un enjeu pour notre souveraineté numérique nationale ou européenne ?

Enfin, nous avons beaucoup entendu parler, lors de nos auditions, du risque cyber. Quels sont ces risques dans les domaines financier et bancaire ? Quelles actions la Banque de France a-t-elle entreprises pour protéger le système financier ?

C'est une évidence de souligner à quel point votre enquête est primordiale tant le numérique se situe au coeur de notre système financier. Les acteurs du système financier ont été parmi les premiers à devoir opérer leur transition vers le numérique. En effet, l'ampleur des données collectées nécessite un traitement de masse., la donnée étant par ailleurs au coeur des questions que vous avez soulevées, notamment pour les systèmes de paiement. La capacité des acteurs existants à s'adapter à cette transformation est un enjeu énorme pour leur développement économique.

Parmi les sujets que vous avez cités, vous me permettrez d'esquisser une hiérarchie. Tout d'abord, je relève un certain nombre de points très débattus dans la sphère publique, à l'instar des cryptoactifs, tandis que d'autres sont moins évoqués, mais encore plus importants à court-terme pour la souveraineté de notre pays et de l'Europe, telles la stratégie des paiements et la cybersécurité.

Commençons par le sujet le plus actuel, les cryptoactifs. En réalité, nous plaçons sous ce vocable des réalités très différentes. Derrière le phénomène des cryptoactifs, il y a une technologie prometteuse pour l'avenir : les blockchains. D'ailleurs, la Banque de France fut l'une des premières banques centrales à les expérimenter, avec les banques françaises, pour l'identifiant Single Euro Payments Aera en Espace unique de paiement en euros (SEPA). L'exploitation de cette technologie a permis l'émergence de deux catégories d'actifs : les cryptoactifs et les stable coins (« valeurs stables »).

Au sein de la première catégorie, nous retrouvons les actifs fortement spéculatifs, type bitcoin. Le G20 a estimé que ces instruments ne constituaient pas une menace pour la stabilité de la finance mondiale, en raison de leur volume limité. Pour autant, le G20 a également rappelé que nous devions rester vigilants sur la lutte contre le blanchiment d'argent et de la protection des consommateurs. Les bitcoins sont un placement très risqué, dont personne ne garantit la valeur, et ils doivent donc être réservés aux investisseurs les plus avertis.

La seconde catégorie est illustrée par le lancement du projet Libra par Facebook et ses partenaires. Le terme anglo-saxon pour qualifier le Libra est stable coins, ce que nous pourrions traduire par « valeurs stables ». Cette initiative soulève des questions très différentes pour le régulateur. Le libra, ainsi que tout autre projet de même nature, devront se plier à l'ensemble des règles applicables en matière financière, au niveau national ou international. Le libra est, en outre, encore un projet, qui suscite beaucoup d'interrogations : le libra n'est pas aujourd'hui une réalité pouvant se mettre en place librement. Afin d'analyser cette situation, un groupe de travail a été mis en place au sein du G7 et Bruno Le Maire a confié à Benoît Coeuré le soin d'établir un rapport intermédiaire, pour la réunion du G7 des ministres des finances et des gouverneurs qui se tiendra le 17 juillet, et un rapport définitif, qui sera rendu en octobre 2019.

Jerome Powell, président de la Fed, s'est exprimé hier devant le Congrès américain. Il a estimé que ce projet suscitait de sérieuses interrogations. A mon tour, j'observe effectivement que plus nous étudions le Libra, plus nous partageons cette analyse.

Selon moi, les principales questions concernent d'une part la définition du Libra et de sa valeur, et d'autre part l'usage qui en sera fait.

Le libra se distingue du bitcoin en ce qu'il ne serait pas un actif spéculatif mais posséderait une valeur définie. Reste à savoir par quel moyen. L'intention affichée est de définir la valeur par rapport à un panier de monnaies. À ce jour, nous ignorons quelles seront ces monnaies sous-jacentes. De plus, Facebook laisse entendre que la valeur ne sera pas le résultat de ce panier, mais dépendra des réserves investies par le projet Libra. Au final, ce serait donc la valeur des placements qui déterminerait celle du Libra. Même s'il s'agit de placements assez sûrs, en dépôts bancaires ou en titres obligataires, avec peu de volatilité, cela introduit une incertitude pour ceux qui y souscrivent. Par ailleurs, nous ignorons toujours si les investissements réalisés en Libra pourront être échangés à tout moment contre des monnaies « de plein exercice ».

Quelle est la finalité de ce projet ? Je ne peux que constater à quel point les ambitions affichées sont élevées, et ce à trois niveaux.

Tout d'abord, le Libra serait un moyen de paiement. Un particulier qui entrerait dans le système pourrait ainsi payer ou transférer des fonds en Libra. Au passage, je note la lourdeur et le coût des procédures de paiements transfrontières aujourd'hui, situation à laquelle nous devrions apporter des améliorations. L'utilisation du Libra comme instrument de paiement pose d'autres questions plus directes, notamment celle de la lutte anti-blanchiment. Il est hors de question que ce moyen de paiement se traduise par une régression par rapport à tous les progrès internationaux réalisés dans ce domaine. Je rappelle qu'en l'état des annonces de Facebook, les utilisateurs de Libra seraient anonymes, ce qui n'est pas concevable dans le cadre de la réglementation anti-blanchiment. De même, la question de la protection des données devra être observée de près. Les flux de données associés aux paiements sont très sensibles. Ces données seront-elles revendues ? Le libra satisfera-t-il aux exigences du RGPD ?

Ensuite, nous pouvons nous demander si le Libra ira de pair avec la proposition de services bancaires. Dans le libre blanc présenté lors de l'annonce de la Future création du Libra, il y a en effet une intention affichée d'offrir des moyens de dépôts, des instruments de placement et des crédits. La réglementation est parfaitement claire à ce sujet. Si une entreprise offre des services bancaires, elle doit détenir une licence bancaire. Cette condition est applicable dans l'ensemble des grands États. À défaut, la situation serait totalement illicite.

Enfin, l'ambition la plus forte réside dans l'affirmation selon laquelle le Libra serait une monnaie privée mondiale. Nombre d'expériences de ce type ont connu une fin malheureuse dans le passé. Sur le plan politique et démocratique, ce type d'ambition ne peut que susciter une attitude de méfiance. La mission monétaire a été confiée aux banques centrales par le législateur et les banques centrales sont comptables de leurs résultats. Je rappelle que la monnaie est un bien public chargé d'assurer trois fonctions : c'est un moyen de paiement, une unité de valeur reconnue par tous et une réserve de valeur. A ce stade, le Libra ne présente aucune de ces trois fonctions.

Comment analysez-vous la démarche de Facebook ? Est-ce une stratégie de communication visant à engager des négociations ou plutôt une provocation qui restera sans effet réel ?

Vous avez évoqué la technologie des blockchains. Pouvez-vous nous expliquer comment elle fonctionne ? Quel est son objectif ?

Je vous rejoins dans votre distinction entre les instruments spéculatifs de type bitcoins et ceux plus stables de type Libra. Malgré tout, les deux posent la question de l'économie du jeton. Aujourd'hui, l'économie numérique présente une apparente gratuité alors même que les données des utilisateurs sont commercialisées. Dans ce contexte, nous pourrions imaginer que les utilisateurs seraient prêts à payer pour utiliser des jetons, plus simples que des cartes de crédit. Qu'en pensez-vous ? Serait-ce utile ? Y aurait-il une régulation à envisager ?

J'aimerais aussi que vous reveniez sur les solutions de paiement européen et sur la question de la cybersécurité.

Je ne suis pas le plus qualifié pour me prononcer au sujet des intentions de Facebook. Je partage bien volontiers les deux hypothèses que vous avez proposées. Ce projet a aussi une rationalité économique ; il permettrait à Facebook de dépasser son coeur de métier - les réseaux sociaux - domaine qui rencontre aujourd'hui ses limites. Certains évoquent également le fait que ce projet permettrait de collecter davantage de données, qui seraient ensuite monétisées et commercialisées La question reste donc ouverte à ce jour. Dans notre dialogue avec Facebook, nous devrons aborder ces différents points sans faire preuve de naïveté. Ce projet n'est pas seulement guidé par la recherche du bien commun, il répond aussi à des intérêts privés.

Les blockchains sont une technologie de registre distribué qui permet de remplacer certains tiers de confiance, de partager des informations ou de réaliser des transactions dans des conditions beaucoup plus rapides, économiques et sûres.. La sécurité du système repose sur la production d'algorithmes, rémunérée par l'octroi de bitcoins. Dans les blockchains publics, nous ne recourons pas à des bitcoins, mais le principe reste le même. Reste à déterminer quelle est la capacité de cette technologie à supporter un très grand nombre de transactions. En effet, à ce jour, son utilisation reste limitée à des transactions peu nombreuses. Attention, la blockchain n'est pas consubstantielle au libra.

Pour aborder les enjeux de l'économie du jeton, nous devons malheureusement utiliser des termes anglais. Il en existe deux majeurs : le coin que nous traduisons par « unité » et le token, par « jeton ». Selon moi, une meilleure traduction de token pourrait être « certificat ». En réalité, le token est un coin plus un service associé, avec un contenu d'informations. La grande question est donc de savoir si les transactions en jetons peuvent attirer les particuliers et les entreprises à l'avenir. Si je m'en tiens à la fonction paiement, je pense que deux questions majeures se dégagent.

D'une part, l'apparition des jetons, ou certificats, interroge sur nos systèmes de paiement. À ce jour, le système européen de paiement fonctionne bien, par exemple grâce au système TIPS. Pour autant, dès que nous sortons de l'Europe, les systèmes de paiement sont lents, coûteux et parfois indisponibles. C'est le premier défi auquel ces jetons renvoient.

D'autre part, les jetons nous ramènent au débat sur la création d'une monnaie digitale de banque centrale. Jusqu'à présent, la monnaie des banques centrales accessible était le billet de banque. Malgré notre attachement à celui-ci, nous constatons une nette diminution de son usage. Le pays qui se distingue particulièrement à ce niveau en Europe est la Suède. La part des transactions en espèces y est tombée entre 10 et-20 %, contre 60 % en France. De ce fait, la Banque de Suède se penche sur la mise au point d'une e-couronne, une monnaie banque centrale offrant la même garantie aux Suédois que les billets. Or, si on prend le libra, on a le « risque Facebook », l'entreprise peut faire faillite. Le propre d'une monnaie souveraine est au contraire d'avoir la garantie la plus forte qui soit, celle de la banque centrale et de l'autorité publique qui est derrière. Au sein de la zone euro, nous n'en sommes pas à ce stade. Pour autant, s'il y a un attrait pour le Libra, cela pourrait nous convaincre d'approfondir nos réflexions sur ce sujet.

Par ailleurs, j'ai effectivement proposé de mettre en place une stratégie européenne des paiements. Ce sujet est moins hypothétique, c'est aujourd'hui une réalité. Les acteurs financiers sont les opérateurs traditionnels du paiement. Jusqu'à présent, c'était plutôt considéré comme une simple activité d'intendance. Désormais, avec l'entrée de grands acteurs du digital, américains ou chinois, sur ce marché, ce secteur se transforme en profondeur. Ces acteurs peuvent entrer dans la sphère financière via les paiements. Ils ont d'ailleurs commencé à le faire, avec des projets tels que Apple Pay, Ali Pay ou certains services proposés par Amazon. Ils entrent donc par le biais des systèmes de paiement dans ce secteur car les barrières à l'entrée sont peu nombreuses et la régulation, notamment en matière de capitaux, moins exigeante que pour les activités bancaires « pleines ». Cette activité génère en outre deux « trésors » : la récupération de données et la relation clients. Leur intérêt économique certain représente une incitation forte à entrer sur le secteur des paiements.

À l'heure actuelle, l'Europe s'est dotée d'une solution pour les paiements transfrontières instantanés avec le système TIPS, sous l'égide de la Banque centrale européenne (BCE). Pour autant, je déplore que nous ne disposions pas de grandes entreprises digitales européennes pour proposer des solutions de paiement européennes, alors qu'elles sont encore, en large partie, nationales. Pour rattraper ce retard, le temps nous est compté. À défaut, ce seront encore une fois les grands acteurs internationaux qui domineront ce marché, au détriment des acteurs européens. Selon moi, il ne nous reste qu'un à deux ans, avant qu'il ne soit trop tard pour être présent sur ce marché stratégique crucial. Une stratégie européenne des paiements doit reposer sur une consolidation des schémas nationaux existants, sur l'utilisation de TIPS et, éventuellement, de nouvelles technologies, sur une marque commune de paiements et sur une politique des données bien définie (localisation, protection, accès).

Que pouvez-vous nous dire sur la cybersécurité dans le secteur bancaire ?

Il s'agit d'un autre enjeu majeur de notre époque et d'une menace déjà existante. Nous incluons la cybersécurité dans nos contrôles et dans notre supervision des établissements financiers : cela fait partie des risques opérationnels. La première ligne de défense face aux cyberattaques réside dans les institutions financières elles-mêmes. Il en est de même pour les banques centrales.

Notre mobilisation est très forte sur ces sujets : investissements, constitution d'équipes spécialisées, schémas de simulation d'attaques en interne.... Je le dis avec prudence mais fierté : si certaines banques centrales étrangères ont été visées par des attaques graves, à l'instar de la Banque centrale du Bangladesh en 2016, il n'y a pas eu à la Banque de France d'attaques cyber ayant eu la moindre conséquence.

Pour autant, cela ne saurait suffire. Il est hors de question que nous relâchions notre vigilance à l'avenir. La menace ne cesse de s'amplifier à une vitesse et dans des proportions plus élevées que nos efforts visant à la contrer. De même, autant les efforts nationaux se sont accrus, autant la coopération entre États reste perfectible. C'est même notre point faible.

La Banque de France a coordonné le premier exercice de simulation de crise en juin 2019, exercice qui a réuni les banques centrales, les autorités financières et des acteurs financiers des pays du G7. Cet exercice de trois jours fut riche d'enseignements. Il s'agissait moins de savoir comment éviter une crise que d'apprendre à la gérer. Nous proposons qu'une telle expérience soit réitérée et pérennisée.

En outre, si nous avons réalisé des progrès en matière de partage d'informations sur les crises, (par exemple sur les modalités de repérage et de déclaration des incidents), nous devons encore progresser sur la catégorisation des incidents. C'est un sujet sensible : le partage des informations ne peut se faire qu'au sein de cercles limités, comme le G7. Pour partager des informations, nous devons en effet partager un langage commun, notamment sur la gravité des incidents.

Concernant les règles encadrant la sécurité des établissements bancaires et des compagnies d'assurance, leur rédaction mériterait d'être harmonisée et complétée. Depuis la crise financière, nous avons porté toute notre attention sur les risques financiers. Il est temps de nous tourner également vers les risques technologiques qui sont une priorité. Le Comité de Bâle doit pouvoir mener les travaux dans ce domaine.

Deux questions de nature plus prospective : d'une part, comment les banques parviennent-elles à gagner de l'argent avec des taux d'intérêt si bas ? D'autre part, comment est-ce possible d'assurer un service de paiement coûteux pour les opérateurs sans que l'utilisateur paie ce service ?

Face aux établissements financiers qui sont des acteurs naturels de ce marché se trouvent des compétiteurs nouveaux qui ont un contact direct avec des centaines de millions, voire des milliards d'individus. Le coût additionnel de la fonction paiement resterait marginal dans leur activité, tout en créant pour eux une valeur nouvelle. La vente de données générerait pour eux des recettes dont les acteurs traditionnels ne bénéficient pas pour compenser leurs investissements. Cela crée donc un déséquilibre structurel.

Quand nous sommes en dessous de la cible d'inflation de 2 %, objectif inscrit dans le mandat qui nous a été confié, il est de notre devoir d'y répondre, par des politiques monétaires accommodantes. L'inflation tardant à repartir, ces politiques ont été prolongées. Le niveau historiquement bas des taux d'intérêt découle de ce mandat. Malgré tout, je suis attentif aux effets de cette politique sur les banques. Si les établissements bancaires ne relèvent que les conséquences négatives de cette politique, je tiens à en souligner les effets positifs que sont le soutien à la croissance et donc à l'activité des banques d'une part, et la diminution de la charge du risque d'autre part. Il est vrai que si cette politique venait à perdurer, ses effets négatifs prendraient sans doute le dessus sur ses effets positifs. Le débat qui est devant nous est donc celui d'éventuelles mesures d'atténuation des effets des taux bas sur les banques commerciales.

S'agissant des paiements, je tiens à nuancer les positions exprimées. Aujourd'hui, pour les banques et pour les acteurs traditionnels, cette fonction induit le paiement d'une cotisation par titulaire du compte et d'une commission par le commerçant ; De plus, l'activité de paiement rapporte également des profits importants grâce aux comptes de dépôt associés.

Il est possible que les nouveaux acteurs entrant sur ce marché se présentent avec un modèle économique radicalement différent. Ils recherchent avant tout les « trésors » que j'évoquais précédemment, à savoir les données et la relation avec les clients. En cela, la vraie valeur des paiements est moins la captation des profits attachés à ce service que la captation des données. Cette évolution nous offre un défi à relever. Pour ce faire, je le répète, nous ne disposons que de peu de temps pour développer une politique européenne sur cette activité totalement stratégique. Soit l'Union européenne se mobilise rapidement, soit nous ne serons que des simples consommateurs de services produits par d'autres. J'appelle de mes voeux le développement d'une stratégie européenne des paiements.

Le sujet de la souveraineté numérique renvoie naturellement à celui du développement de l'intelligence artificielle ou du deep learning. Considérez-vous que es moyens soient suffisants pour développer des outils en mesure de nous aider à prévenir les crises financières ? Pouvons-nous espérer des progrès dans ce domaine, que ce soit dans la manière d'observer les mouvements du marché ou d'analyser les risques afférents ?

C'est une question très importante qui appelle deux niveaux de réponse. Tout d'abord, je pense que la révolution numérique est centrale pour les banques, et ce pour chacune de leurs activités. Une banque qui n'investirait pas massivement dans ces outils serait condamnée à sortir du jeu. Je me réjouis de constater que la quasi-totalité des banques françaises a su prendre la mesure de ce tournant et investir massivement. En effet, pour un acteur installé, il est parfois plus délicat d'opérer une telle transition que de lancer un nouveau système.

Ensuite, je tiens à insister sur la nécessité de porter une attention particulière à l'utilisation des algorithmes. Certes, l'intelligence artificielle peut aider à mieux analyser certaines situations et repérer des anomalies, mais elle ne pourra en aucun cas remplacer le jugement d'un être humain, la gouvernance ou l'analyse des risques. Je ne crois absolument pas qu'un algorithme sera à même de faire seul de la prévision. Il peut constituer un support, mais les données devront malgré tout être analysées par un expert.

Ainsi, les indicateurs délivrent fréquemment des faux négatifs et des faux positifs. Il est très heureux de disposer de ces indicateurs, mais seul un jugement collectif, éclairé par l'expérience et les compétences permettra de les utiliser au mieux. Les autorités publiques ne prétendent pas être omniscientes : elles reçoivent une mission, elles doivent rendre des comptes et elles exercent leur responsabilité de manière transparente. L'analyse doit se faire en ayant pleinement conscience de la responsabilité qu'elle induit. De ce point de vue-là, aucun projet privé ne me semble pouvoir être équivalent aux fonctions des banques centrales.

Je constate avec plaisir qu'il reste donc une place pour l'être humain dans ce système.

Beaucoup de ces techniques constituent toutefois de véritables progrès.

Nous allons prochainement recevoir les représentants de Facebook dans notre commission. Nous ne manquerons pas de leur poser les questions ici soulevées.

La réunion est close à 16 heures.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.