Dans le même cadre juridique, les mêmes règles s'appliquent.

La réunion est close à 12 h 50.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est close à 12 h 50.

La réunion est ouverte à 14 h 15

Notre commission d'enquête poursuit ses travaux avec l'audition de représentants de l'entreprise Cisco France : Laurent Degré, directeur général, Guillaume de Saint Marc, directeur de l'innovation, Jean-Charles Griviaud, responsable cyber-sécurité, Bruno Bernard, directeur des affaires publiques, et Pascale Serot, responsable sécurité et défense. Cette audition est diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite chacun à prêter serment, chacun à votre tour, de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, MM. Laurent Degré, Guillaume de Saint Marc, Jean-Charles Griviaud et Bruno Bernard, et Mme Pascale Serot prêtent serment.

Cisco, même si elle n'est pas désignée dans l'acronyme Gafam, fait partie des grandes entreprises américaines du numérique, en tant que fournisseur d'équipements réseaux pour internet. Nous souhaitons vous interroger sur des sujets sensibles, sur lesquels, peut-être, vous pourrez nous rassurer.

Comme l'avait noté notre collègue Catherine Morin-Desailly dans son rapport intitulé L'Europe au secours de l'Internet, l'affaire Snowden a révélé que la National Security Agency (NSA) aurait pu utiliser des équipements Cisco pour espionner les alliés des États-Unis. Pouvez-vous nous assurer que vos équipements, très présents dans les coeurs de réseaux de nos opérateurs télécoms, sont désormais exempts de tout risque ?

La portée extraterritoriale de lois comme le Patriot Act ou, plus récemment, le Cloud Act représente un sujet d'inquiétude. Êtes-vous en mesure de garantir que les données sensibles qui passent par des serveurs de Cisco en Europe ne peuvent pas être saisies par les autorités américaines ? Cisco France a-t-il déjà donné suite à de telles demandes en dehors des procédures de coopération judiciaire ? Comment conciliez-vous les obligations contradictoires découlant des normes américaines et de la législation européenne du Règlement général sur la protection des données (RGPD) ? Pouvez-vous nous rassurer sur le fait que le gouvernement américain ne peut vous contraindre à faire primer l'intérêt des États-Unis sur celui de la France ou de l'Europe ?

C'est pour nous un honneur d'être invités en tant que citoyens et représentants d'une entreprise américaine qui contribue à la transformation numérique des entreprises françaises. Nous sommes venus avec des représentants de la cyber-sécurité, de l'innovation et des relations avec le Gouvernement, pour apporter un maximum d'expertise à nos réponses, dans un souci de transparence. Le débat sur la souveraineté numérique apparaît, en effet, aussi important que complexe ; il interroge les notions de territoire et d'application des lois dans un monde numérique fondé sur l'échange de données, en quelques millisecondes, par-delà les frontières. Le numérique représente une source d'innovation, qu'il convient de préserver lorsqu'il s'agit de réfléchir en termes de régulation, de cloisonnement et de sécurité.

Cisco est une société américaine fondée en 1984, dont l'activité initiale consistait à relier les applications connectées des campus universitaires au démarrage de l'Internet. Ont ainsi été créées les fameuses autoroutes de l'information. L'entreprise compte environ 70 000 salariés, dont 26 000 ingénieurs, dans 164 pays et possède 19 000 brevets. Cisco France emploie 650 collaborateurs et travaille avec 1 200 partenaires, auxquels l'entreprise fournit des solutions numériques. Nous disposons également d'un laboratoire de recherche et développement, placé sous la direction de Guillaume de Saint Marc, et d'un trust office chargé de la transparence, du respect des standards et des relations avec l'Agence nationale de la sécurité des systèmes d'information (Anssi) s'agissant de la mise en conformité et de l'autorisation des produits que nous déployons. Nos clients sont des entreprises de toutes tailles, des administrations et des opérateurs télécom - c'est d'ailleurs grâce à ces derniers clients que nous avons développé nos relations avec l'Anssi. La France possède des champions du numérique, des super-calculateurs et de la cyber-sécurité, des acteurs de confiance qui sont nos partenaires. Nous pouvons en être fiers ! De même, l'Anssi représente un modèle pour l'Europe et pour le monde, grâce à la qualité des ingénieurs et de la certification que beaucoup de pays nous envient. La collaboration avec l'Anssi a contribué à faire progresser nos équipes. Enfin, Cisco investit massivement en France pour développer le réseau des start-up, où les talents sont multiples.

Le RGPD représente un élément important de la souveraineté numérique européenne, comme la directive « E-evidence », qui améliorera la transparence. Nous avons mis en place depuis quelques mois une procédure de réponse aux demandes de l'administration américaine qui pourraient intervenir dans le cadre du Cloud Act. À ce jour, cela ne s'est jamais produit. Dans un tel cas, nous regarderons d'abord où se trouvent les données incriminées. Cisco ne fait pas commerce de la donnée, mais la transporte et la sécurise, tandis que nos partenaires installent des solutions applicatives dans le cloud. Dans la majorité des cas, les données se trouvent donc chez le client : nous n'y avons alors pas accès et l'administration américaine devra nouer relation avec ledit client. Lorsque Cisco hébergera les données concernées, la demande sera traitée au cas par cas après une analyse du type de données et de la pertinence et de la légitimité de la requête. Nos juristes et nos avocats entreront alors dans un dialogue avec l'administration américaine et, le cas échéant, une notification sera envoyée au client.

La notification ne sera pas envoyée d'emblée au client ?

Si, dès lors que nous n'avons pas d'interdiction de communiquer l'information au client.

Vous êtes à la fois équipementier et hébergeur ?

Nous fournissons différents types de solutions principalement comme équipementier, ainsi que certains services pouvant se trouver dans le cloud pour lesquels les données nous seront accessibles. Cela dépend de la demande du client.

Vous avez évoqué l'affaire Snowden. Sachez d'abord que nous ne développons que des produits standards, nous ne développons jamais une plateforme ou un logiciel spécifique pour un client donné.

Cisco opère dans 160 pays et développe effectivement les mêmes produits quels que soient la localisation géographique et le client destinataire du service

La confiance est devenue un enjeu majeur pour nos clients, sensibilisés par la médiatisation des faits divers et le travail remarquable réalisé par l'Anssi, avec des conséquences sur le niveau d'exigence attendu des fournisseurs. Nous souhaitons donc être identifié, par nos clients, comme un acteur de confiance. À cet effet, notre stratégie s'appuie sur des doctrines de sécurité qui visent à rendre visibles nos procédures industrielles, de la conception à la réalisation des produits, et à disposer de technologies de protection de ces mêmes produits, notamment des éléments physiques d'identité numérique permettant de vérifier l'authenticité d'un équipement matériel comme d'un logiciel. Nos produits sont construits sur des standards ; Cisco est d'ailleurs un important contributeur de l'open source. En cas de vulnérabilité constatée, nous assurons un traitement transparent selon une procédure centralisée auprès d'une équipe unique. Elle qualifie les mesures de correction nécessaires et communique l'information à l'industrie. Les entreprises et les agences ont, par ailleurs, accès à nos bases de vulnérabilité mises régulièrement à jour.

Qu'est-ce qu'une vulnérabilité ?

Quand une défaillance peut entraîner un acte de malveillance, il s'agit d'une vulnérabilité.

Ces vulnérabilités sont découvertes au fil du temps ?

Les vulnérabilités nous sont communiquées par différents canaux - par des tests de régression en interne, par des tests réalisés par nos partenaires sur nos équipements ou par nos clients - et sont ensuite traitées et notifiées de façon centralisée par le computer emergency response team (CERT). Notre trust office peut donner, si nécessaire, des explications plus précises, notamment à l'Anssi.

Le troisième pilier de notre stratégie de transparence concerne la vérification par des audits extérieurs et par des programmes internes d'analyse en profondeur des équipements. Cela permet à une agence ou à un client de contrôler si un équipement est architecturé correctement ou si un service correspond à ses attentes. Nous soumettons aussi nos produits aux autorités de certification, soit l'Anssi en France - nous travaillons également avec l'Agence dans le cadre du régime d'autorisation prévu par l'article R. 226-3 du code pénal. Les certifications internationales permettent d'éviter de dupliquer les efforts et de simplifier la gestion. Certains produits, comme nos routeurs ou nos switchs, ne sont pas soumis aux certifications, mais sont utilisés par des opérateurs d'importance vitale dans leurs infrastructures ; nous sommes donc disponibles pour renseigner les clients, ainsi que l'Anssi, sur les modalités de leur fabrication.

Vous faites allusion à la norme internationale ISO 27000 ?

Notamment, car il existe différents types de certification : par entreprise, comme la norme ISO, ou par produits. Notre mission consiste à répondre aux besoins de certification de nos clients.

Pourriez-vous nous fournir un éclairage complémentaire sur les structures qui centralisent les vulnérabilités ? Quel est leur niveau de protection ?

En 2015, Cisco a passé un accord avec le gouvernement français, portant notamment sur un investissement de 200 millions de dollars dans des start-up françaises. Quel montant a été réellement investi par votre entreprise ? Avez-vous pris des participations minoritaires ou majoritaires dans ces sociétés ? En janvier, votre groupe a promis un nouvel investissement à hauteur de 61 millions d'euros. Qu'en est-il ?

Notre point de contact direct, lorsqu'un défaut apparaît, est le centre opérationnel de l'Anssi qui gère les relations avec le CERT. Celui-ci représente, au niveau d'un pays, un guichet unique pour le recensement des vulnérabilités et l'émission de recommandations. C'est un organisme de confiance. Il existe également un CERT européen. Nous souhaitons communiquer sur les vulnérabilités car, en matière de sécurité, le partage des informations fonctionne mieux que l'obscurité.

La communication sur ces vulnérabilités s'organise sans aucun favoritisme pour une entreprise ou une administration donnée.

S'agissant des investissements, nous avons lancé un programme pluriannuel pour soutenir les nombreux talents français et stimuler l'innovation dans le secteur numérique. Nous avons ainsi investi au travers de fonds - comme Partech ou Idinvest - qui ont sélectionné les start-up en fonction de critères. Via la Cisco Networking Academy, nous avons également formé, depuis 2015, plus de 180 000 personnes aux métiers du numérique - sans se limiter uniquement aux produits Cisco - dans le cadre des programmes universitaires, des écoles d'ingénieurs, des centres de formation des apprentis (CFA) et des collèges. Il est très important de sensibiliser nos jeunes aux notions de cyber-sécurité et de souveraineté, et aux avantages et inconvénients du numérique. Par ailleurs, nous avons directement investi dans quelques start-up, comme Actility qui intervient dans le secteur des objets connectés. Enfin, nous avons créé une chaire avec l'école Polytechnique dans les domaines de la formation et du développement.

Le Lab Cisco a été inauguré en octobre 2015 par Emmanuel Macron, alors ministre de l'économie. Depuis, les investissements ont été maintenus et intensifiés. Avec la Cisco Networking Academy, nous visons un effet quantitatif de formation des personnes à des technologies standards. Le Lab vise davantage un effet qualitatif ; depuis le début de l'année 2019, trois jeunes doctorant en sont sortis, dotés du diplôme de Polytechnique et de l'école d'application Télécom ParisTech. Ces ingénieurs font partie de l'élite mondiale en matière de réseau et nous sommes heureux que l'un d'entre eux ait intégré notre société.

En ce qui concerne les investissements dans les start-up, nous avions reçu, en 2015, le message clair que leur développement constituait un enjeu national. Nous avons investi via des fonds - ceux déjà cités mais aussi le Paris-Saclay Seed Fund, directement, comme dans la société Actility précitée. Nous avons également l'intention d'acquérir la société Sentryo. Pour autant, notre objectif est davantage de collaborer de manière complémentaire avec les start-up que de les racheter : nous pouvons leur proposer l'accès à des opportunités commerciales, tandis qu'elles nous permettent d'augmenter notre portefeuille de produits avec des solutions pointues.

Je crois savoir que vous essayez d'innover en appuyant votre développement de la 5G sur le réseau 4G existant avec, notamment, des objectifs de déploiement en zone rurale. Pourriez-vous nous en dire davantage ?

Le projet auquel vous faites référence a été développé sur le territoire anglais. Il s'agit d'un pilote visant à modéliser le déploiement de la 5G. De fait, la 5G représente probablement la première technologie mobile cellulaire qui ne sera pas principalement financée et justifiée économiquement par le grand public, mais par la numérisation des entreprises. L'enjeu consiste donc à mettre la 5G à leur service. C'est le sens de l'appel à projets lancé par le gouvernement britannique, que nous avons gagné avec un consortium. En travaillant sur les seuls secteurs du tourisme, de l'agriculture, de l'énergie et des transports, il s'agissait de trouver un modèle économique pour le déploiement de la 5G dans les territoires ruraux. Des expérimentations techniques ont eu lieu et nous attendons les modélisations économiques confiées à des universités. Le projet semble effectivement prometteur, raison pour laquelle nous l'avons présenté au salon Vivatech.

S'il était besoin d'évaluer davantage ce type de plateforme, nous le ferions volontiers.

Quel est le pourcentage de votre chiffre d'affaires réalisé dans les différentes régions du monde ? Quels sont, pour vous, les pays leaders ?

Schématiquement, 60 % de notre chiffre d'affaires provient de l'Amérique du Nord, où est installée la majorité des équipes d'ingénieurs et de développement ; vient ensuite la zone constituée par l'Europe, le Proche et le Moyen-Orient et la Russie, puis la zone Asie et Pacifique. En Europe, les pays moteurs pour le chiffre d'affaires sont l'Allemagne et la Grande-Bretagne, suivies de la France. Notre pays se situe toutefois en tête en matière d'innovation et de recherche : le Lab français représente près d'un quart des ressources en la matière.

La réunion est close à 15 heures.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Notre commission d'enquête poursuit ses travaux avec l'audition de représentants de l'entreprise Huawei France : MM. Weiliang Shi, directeur général, Benjamin Hecker, directeur juridique et de la protection des données, et Gwenaël Rouillec, directeur de la cybersécurité.

Cette audition est diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite donc, à tour de rôle, à prêter serment de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure.». Conformément à la procédure applicable aux commissions, M. Weiliang Shi prête serment.

Monsieur Shi, vous êtes directeur général de la filiale française de Huawei, l'un des géants chinois du numérique avec Baidu, Alibaba, Tencent et Xiaomi. Présente dans les équipements réseaux, mais aussi dans les smartphones ou dans le Cloud, l'entreprise connaît une croissance impressionnante et emploie aujourd'hui nombre de nos concitoyens. Elle est actuellement au coeur de la guerre technologique que se font les États-Unis et la Chine. Notre commission ne pouvait donc faire l'impasse sur votre audition.

Nous devons vous interroger sur des sujets, sur lesquels, peut-être, vous pourrez nous rassurer, alors que nous devrions adopter ce mois-ci définitivement la proposition de loi sur la sécurité des réseaux « 5G » - ce texte, je le rappelle, ne vise aucune entreprise en particulier mais fixe plutôt un cadre général pour garantir la confiance dans la technologie.

La question des liens de votre entreprise avec le Gouvernement chinois ne cesse de défrayer la chronique. Deux points ont particulièrement émergé dans le débat public : qui détient l'entreprise et quel est l'impact de la loi chinoise de 2017 sur le renseignement.

Sur le premier point - qui détient l'entreprise -, dans un article publié en avril dernier, deux chercheurs américains ont montré que la holding de votre entreprise est détenue à 1% par son fondateur Ren Zhengfei et à 99% par une entité appelée « comité syndical », dont on sait peu de choses. Ces chercheurs en tirent la conclusion selon laquelle, au vu du rôle que jouent les syndicats en Chine, Huawei pourrait être considérée comme contrôlée par l'État - ils parlent au conditionnel. Ils affirment, en revanche, qu'il est clair que Huawei n'est pas détenue par ses salariés, lesquels détiennent seulement ce qui est assimilable à un régime d'intéressement et de participation aux bénéfices. Pouvez-vous nous éclairer sur ce point important : qui détient le pouvoir de décision in fine dans l'entreprise Huawei ?

Le second point porte sur la loi chinoise sur le renseignement de 2017, qui génère les mêmes inquiétudes que le Cloud Act aux États-Unis. Son article 14 dispose notamment que les services de renseignement chinois peuvent requérir la coopération de tout citoyen chinois et de toute organisation. Êtes-vous en mesure de garantir que les données qui passent par vos équipements et vos serveurs ne seront pas utilisées par le Gouvernement chinois ? Si vous - en tant que personne physique ou en tant que personne morale - recevez une requête d'assistance du Gouvernement chinois, comment pouvez-vous la refuser ? Ces obligations sont-elles compatibles avec les normes européennes telles que le règlement général sur la protection des données (RGPD) ?

Nous vous remercions vivement de nous recevoir dans le cadre des travaux de la commission d'enquête sur la souveraineté numérique. C'est avec plaisir que nous avons accueilli votre invitation à participer à cette audition qui sera, je l'espère, l'occasion de faire tomber quelques barrières.

Je débuterai mon propos par une rapide présentation des activités de notre groupe. Comme vous le savez, Huawei est le leader mondial des équipements télécoms et le deuxième fabricant de smartphones. Basé à Shenzhen, le groupe, créé en 1987, compte aujourd'hui près de 190 000 employés dans plus de 170 pays. Huawei est une entreprise 100% privée, détenue par plus de 96 000 de ses employés et son fondateur, qui ne dispose que de 1,14% des parts de l'entreprise, selon un modèle coopératif.

S'agissant de la filiale française, Huawei Technologies France est une société par actions simplifiée unipersonnelle inscrite au registre de commerce de Nanterre. En France depuis 2003, Huawei emploie près de 1000 personnes réparties entre différents sites implantés à Boulogne Billancourt, Paris, Nice, Lyon et Grenoble. Les activités sont principalement commerciales, mais nous disposons aussi de centres de recherche et développement spécialisés en design, en traitement de l'image, en mathématiques, en standardisation et en capteurs.

L'ADN de Huawei est la recherche et l'innovation. La première valeur de l'entreprise est le client. Spécialisée dans les nouvelles technologies, notre activité ne peut exister ni se pérenniser sans cybersécurité. C'est pourquoi nous appliquons à tous nos produits et procédures les standards internationaux les plus élevés en matière de sécurité, et imposons à tous nos collaborateurs à travers le monde le respect de règles de sécurité et de conformité extrêmement strictes, dont le RGPD est l'un de nos standards au niveau mondial.

Huawei investit 15 % de son chiffre d'affaires annuel dans la recherche et le développement : en 2018, cela représentait près de 13 milliards d'euros.

La stratégie commerciale de Huawei n'est pas fondée sur des acquisitions d'entreprises. Au contraire, elle est basée sur le développement d'écosystèmes à travers le monde, le transfert de notre savoir-faire et la volonté de nous implanter durablement.

Si nous sommes plus compétitifs, c'est parce que nous permettons à nos clients de faire des économies d'échelle en utilisant des produits très innovants adaptés à leurs besoins. Huawei est un acteur de la souveraineté numérique des pays dans lesquels nos matériels sont installés. Nous développons, en effet, des produits adaptés aux demandes des clients, appliquant les standards de sécurité les plus élevés, respectant les normes de chaque pays dans lesquels ils sont installés. Nous incitons aussi nos clients, publics comme privés, à assurer un niveau de sécurité élevé des matériels et réseaux qu'ils opèrent. J'attire, par ailleurs, votre attention sur le fait que Huawei est l'entreprise dont les matériels ont été le plus testés à travers le monde, tant en matière de certification, que par des tests menés par nos clients.

Contrairement à ce qui a pu être dit ou sous-entendu, Huawei a toujours joué la carte de la transparence et compte bien tenir cette ligne de conduite. Il nous appartient de rassurer les pouvoirs publics sur la qualité et la sécurité de nos matériels, comme de nos services. C'est pourquoi nous avons ouverts plusieurs centres de test, le dernier à Bruxelles, afin de permettre aux agences étatiques et à nos clients de pouvoir vérifier et tester nos codes sources.

En outre, Huawei contribue de manière inclusive et transparente avec tous les acteurs du secteur à l'amélioration des standards internationaux. Huawei collabore en effet activement aux travaux du 3GPP (3rd Generation Partnership Project), et échange régulièrement avec les services de l'Agence nationale des fréquences, de l'Autorité de régulation des communications électroniques et des postes ou encore de l'Agence nationale de la sécurité des systèmes d'information (Anssi) et de la direction générale des entreprises.

Notre volonté est de favoriser l'éclosion d'un écosystème de start-ups françaises qui seront, selon nous, les acteurs de la souveraineté numérique de la France de demain. Contrairement à nombres d'acteurs des nouvelles technologies, notre activité n'est pas fondée sur la cession des données à des fins commerciales. Au contraire, Huawei propose des briques technologiques innovantes qui permettent aux acteurs du numérique de pouvoir les intégrer dans les solutions qu'ils développent eux-mêmes.

Vous l'aurez compris, Huawei est un acteur majeur des nouvelles technologies tant au niveau mondial qu'en France. C'est la raison pour laquelle nous signerons dans les tous prochains jours l'Appel de Paris pour la confiance et la sécurité dans le cyberespace.

Accompagné de Gwénaël Rouillec, directeur de la cybersécurité, et Benjamin Hecker, directeur juridique et protection des données de Huawei France, je serais heureux de répondre à vos questions. Je vous remercie de votre attention.

Nous vous remercions de votre question sur la loi de 2017 pour l'analyse de laquelle nous avons missionné plusieurs cabinets d'avocats. Cette loi est liée aux impératifs de sécurité nationale définis par le Gouvernement chinois ; elle a donc vocation à s'appliquer strictement en Chine. À l'inverse du Cloud Act qui présente des effets extraterritoriaux, cette loi s'applique indistinctement à tout individu ou à toute organisation uniquement implantée en Chine, quelle que soit sa nationalité. Il lui est ainsi demandé de collaborer à des enquêtes dont l'objet porte sur des impératifs de sécurité nationale. La demande d'informations sur nos clients français par le Gouvernement, que vous évoquez dans votre question, n'existe donc pas. Elle n'est nullement prévue dans le texte de la loi de 2017, comme nous le confirment d'ailleurs les analyses de ces cabinets d'avocats. Nous nous félicitons également de la récente confirmation, par le premier ministre chinois lui-même, de l'absence d'effet extraterritorial des dispositions de la loi de 2017. Celui-ci a en outre précisé que les individus situés en dehors de la Chine ne devaient pas collaborer à des enquêtes se déroulant en Chine.

Nous n'avons jamais reçu, ni du groupe lui-même ou du gouvernement chinois, de demande de transfert de données. D'ailleurs, nous ne pourrions l'accepter, puisque nous n'appliquons que la loi française.

Je souhaiterais mieux comprendre l'entreprise Huawei qui est un remarquable succès mondial. Quelles sont les parts respectives du chiffre d'affaires de votre groupe réalisées en Chine et à l'international ?

En 2018, le chiffre d'affaires global a atteint 108 milliards de dollars, dont la moitié est issue de nos activités extérieures à la Chine.

Quelle part représente l'Europe dans ce chiffre d'affaires ?

Dans l'organisation de notre groupe, l'Europe est scindée en deux directions régionales distinctes : la première couvre l'Europe de l'Ouest, tandis que la seconde couvre le reste des pays européens, hors Russie ; celle-ci étant considérée comme une région à part entière, à l'instar de la région Pacifique et de la région Afrique.

Vous considérez-vous comme une entreprise d'équipements ou de services qui vend aussi des équipements ? Quelle est la part de services, soit de conception, soit d'hébergement, dans votre chiffre d'affaires ?

Notre modèle économique vise à vendre nos infrastructures matérielles, avec un transfert de savoir-faire. Nos services - d'installation, de formation - s'articulent autour de cette activité.

La première question relative à l'actualité est le fait que vous vendez des téléphones en dehors de la Chine dotés du système d'exploitation Android. Pensez-vous qu'il soit possible d'obtenir, en Europe, voire au-dehors de la Chine, des systèmes d'exploitation qui se libéreraient d'Android ?

Il n'existe, pour l'heure, que deux systèmes d'exploitation : l'iOS et Android. Pour Huawei, s'il n'est pas difficile de créer un troisième système, il est en revanche plus malaisé d'obtenir l'écosystème des applications, qui est la brique clef. La création d'un nouveau système ne permettrait pas nécessairement de se connecter aux applications existantes sur les autres systèmes. Dès lors, un téléphone doté d'un nouveau système et privé des autres applications ne serait acheté par personne !

Pensez-vous possible de survivre au refus d'un équipement iOS ou Android en Europe ?

Dans le même cadre juridique, les mêmes règles s'appliquent.

La réunion est close à 12 h 50.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est close à 12 h 50.

La réunion est ouverte à 14 h 15

Tel n'est pas notre souhait. Notre stratégie est avant tout de nous intégrer à des écosystèmes existants. S'il nous était interdit d'utiliser les systèmes d'exploitation existants, alors il nous faudrait en créer un nouveau, tout en veillant à raccorder les applications issues des écosystèmes préexistants.

Nous avons auditionné Google qui affirme que l'accès à son système d'exploitation est libre, même si ses mises à jour, notamment de sécurité, ne le sont pas. Si jamais un durcissement de la situation venait à se produire, resteriez-vous dans cet écosystème ou seriez-vous en mesure d'en créer un autre ?

Notre commission d'enquête poursuit ses travaux avec l'audition de représentants de l'entreprise Cisco France : Laurent Degré, directeur général, Guillaume de Saint Marc, directeur de l'innovation, Jean-Charles Griviaud, responsable cyber-sécurité, Bruno Bernard, directeur des affaires publiques, et Pascale Serot, responsable sécurité et défense. Cette audition est diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite chacun à prêter serment, chacun à votre tour, de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, MM. Laurent Degré, Guillaume de Saint Marc, Jean-Charles Griviaud et Bruno Bernard, et Mme Pascale Serot prêtent serment.

Cisco, même si elle n'est pas désignée dans l'acronyme Gafam, fait partie des grandes entreprises américaines du numérique, en tant que fournisseur d'équipements réseaux pour internet. Nous souhaitons vous interroger sur des sujets sensibles, sur lesquels, peut-être, vous pourrez nous rassurer.

Comme l'avait noté notre collègue Catherine Morin-Desailly dans son rapport intitulé L'Europe au secours de l'Internet, l'affaire Snowden a révélé que la National Security Agency (NSA) aurait pu utiliser des équipements Cisco pour espionner les alliés des États-Unis. Pouvez-vous nous assurer que vos équipements, très présents dans les coeurs de réseaux de nos opérateurs télécoms, sont désormais exempts de tout risque ?

La portée extraterritoriale de lois comme le Patriot Act ou, plus récemment, le Cloud Act représente un sujet d'inquiétude. Êtes-vous en mesure de garantir que les données sensibles qui passent par des serveurs de Cisco en Europe ne peuvent pas être saisies par les autorités américaines ? Cisco France a-t-il déjà donné suite à de telles demandes en dehors des procédures de coopération judiciaire ? Comment conciliez-vous les obligations contradictoires découlant des normes américaines et de la législation européenne du Règlement général sur la protection des données (RGPD) ? Pouvez-vous nous rassurer sur le fait que le gouvernement américain ne peut vous contraindre à faire primer l'intérêt des États-Unis sur celui de la France ou de l'Europe ?

L'écosystème représente la clef des systèmes d'exploitation. J'affirme également que le système Android est en open source et Huawei est l'un de ses principaux contributeurs. Le problème réside dans l'utilisation des applications, suite à la décision américaine. Or, personne n'achètera un téléphone privé d'applications !

C'est pour nous un honneur d'être invités en tant que citoyens et représentants d'une entreprise américaine qui contribue à la transformation numérique des entreprises françaises. Nous sommes venus avec des représentants de la cyber-sécurité, de l'innovation et des relations avec le Gouvernement, pour apporter un maximum d'expertise à nos réponses, dans un souci de transparence. Le débat sur la souveraineté numérique apparaît, en effet, aussi important que complexe ; il interroge les notions de territoire et d'application des lois dans un monde numérique fondé sur l'échange de données, en quelques millisecondes, par-delà les frontières. Le numérique représente une source d'innovation, qu'il convient de préserver lorsqu'il s'agit de réfléchir en termes de régulation, de cloisonnement et de sécurité.

Cisco est une société américaine fondée en 1984, dont l'activité initiale consistait à relier les applications connectées des campus universitaires au démarrage de l'Internet. Ont ainsi été créées les fameuses autoroutes de l'information. L'entreprise compte environ 70 000 salariés, dont 26 000 ingénieurs, dans 164 pays et possède 19 000 brevets. Cisco France emploie 650 collaborateurs et travaille avec 1 200 partenaires, auxquels l'entreprise fournit des solutions numériques. Nous disposons également d'un laboratoire de recherche et développement, placé sous la direction de Guillaume de Saint Marc, et d'un trust office chargé de la transparence, du respect des standards et des relations avec l'Agence nationale de la sécurité des systèmes d'information (Anssi) s'agissant de la mise en conformité et de l'autorisation des produits que nous déployons. Nos clients sont des entreprises de toutes tailles, des administrations et des opérateurs télécom - c'est d'ailleurs grâce à ces derniers clients que nous avons développé nos relations avec l'Anssi. La France possède des champions du numérique, des super-calculateurs et de la cyber-sécurité, des acteurs de confiance qui sont nos partenaires. Nous pouvons en être fiers ! De même, l'Anssi représente un modèle pour l'Europe et pour le monde, grâce à la qualité des ingénieurs et de la certification que beaucoup de pays nous envient. La collaboration avec l'Anssi a contribué à faire progresser nos équipes. Enfin, Cisco investit massivement en France pour développer le réseau des start-up, où les talents sont multiples.

Le RGPD représente un élément important de la souveraineté numérique européenne, comme la directive « E-evidence », qui améliorera la transparence. Nous avons mis en place depuis quelques mois une procédure de réponse aux demandes de l'administration américaine qui pourraient intervenir dans le cadre du Cloud Act. À ce jour, cela ne s'est jamais produit. Dans un tel cas, nous regarderons d'abord où se trouvent les données incriminées. Cisco ne fait pas commerce de la donnée, mais la transporte et la sécurise, tandis que nos partenaires installent des solutions applicatives dans le cloud. Dans la majorité des cas, les données se trouvent donc chez le client : nous n'y avons alors pas accès et l'administration américaine devra nouer relation avec ledit client. Lorsque Cisco hébergera les données concernées, la demande sera traitée au cas par cas après une analyse du type de données et de la pertinence et de la légitimité de la requête. Nos juristes et nos avocats entreront alors dans un dialogue avec l'administration américaine et, le cas échéant, une notification sera envoyée au client.

Dans un autre secteur tout à fait différent, nous observons que les grands opérateurs du numérique investissent dans les câbles sous-marins de communications électroniques. À l'inverse, votre entreprise a récemment décidé de céder une partie de son activité à Hengtong, un autre acteur chinois du secteur. Pourquoi avoir procédé à une telle cession ?

La notification ne sera pas envoyée d'emblée au client ?

Notre stratégie s'est focalisée sur ses trois piliers fondateurs : les connectivités, en particulier les technologies mobiles - de la 2G à la 5G, en passant par la fibre optique et les réseaux télécoms -, le stockage des données et les terminaux. Nous nous sommes donc recentrés.

Si, dès lors que nous n'avons pas d'interdiction de communiquer l'information au client.

Vous n'estimez donc pas la propriété des réseaux comme décisifs ?

Vous êtes à la fois équipementier et hébergeur ?

Tout dépend de la nature des réseaux. Alors que les réseaux télécoms fournissent notre coeur d'activité, le câble sous-marin ne figure plus dans notre stratégie.

Nous fournissons différents types de solutions principalement comme équipementier, ainsi que certains services pouvant se trouver dans le cloud pour lesquels les données nous seront accessibles. Cela dépend de la demande du client.

Dans votre présentation, vous avez indiqué que Huawei appartenait pour partie à ses 96 000 salariés, soit près de la moitié de ses personnels. Comment fonctionne une telle démocratie économique au sein de votre entreprise ?

Vous avez évoqué l'affaire Snowden. Sachez d'abord que nous ne développons que des produits standards, nous ne développons jamais une plateforme ou un logiciel spécifique pour un client donné.

Qui possède, au final, votre entreprise ?

Cisco opère dans 160 pays et développe effectivement les mêmes produits quels que soient la localisation géographique et le client destinataire du service

La confiance est devenue un enjeu majeur pour nos clients, sensibilisés par la médiatisation des faits divers et le travail remarquable réalisé par l'Anssi, avec des conséquences sur le niveau d'exigence attendu des fournisseurs. Nous souhaitons donc être identifié, par nos clients, comme un acteur de confiance. À cet effet, notre stratégie s'appuie sur des doctrines de sécurité qui visent à rendre visibles nos procédures industrielles, de la conception à la réalisation des produits, et à disposer de technologies de protection de ces mêmes produits, notamment des éléments physiques d'identité numérique permettant de vérifier l'authenticité d'un équipement matériel comme d'un logiciel. Nos produits sont construits sur des standards ; Cisco est d'ailleurs un important contributeur de l'open source. En cas de vulnérabilité constatée, nous assurons un traitement transparent selon une procédure centralisée auprès d'une équipe unique. Elle qualifie les mesures de correction nécessaires et communique l'information à l'industrie. Les entreprises et les agences ont, par ailleurs, accès à nos bases de vulnérabilité mises régulièrement à jour.

Qu'est-ce qu'une vulnérabilité ?

Le gouvernement chinois, ou les banques chinoises, sont-ils créanciers de l'entreprise ? S'il est vrai que la participation des salariés contribue fortement à la cohésion de la société, elle n'est pas en mesure de soutenir le développement, fortement capitalistique, de vos activités. Comment faîtes-vous pour vous développer en termes de capitaux ?

Quand une défaillance peut entraîner un acte de malveillance, il s'agit d'une vulnérabilité.

Les 96 000 salariés sont regroupés dans une coopérative gérée par un comité élu de 115 représentants qui eux-mêmes s'organisent avec un bureau qui gère l'entité. Aujourd'hui, ce comité est l'organe le plus élevé de la société. Il assure la désignation des membres du conseil d'administration et du conseil de surveillance de Huawei.

Ces vulnérabilités sont découvertes au fil du temps ?

Sur le financement de ce secteur aux technologies extrêmement évolutives, l'appel aux capitaux extérieurs est une nécessité. Vos salariés, quand bien même ils seraient nombreux et bien payés, ne peuvent soutenir de tels investissements.

Les vulnérabilités nous sont communiquées par différents canaux - par des tests de régression en interne, par des tests réalisés par nos partenaires sur nos équipements ou par nos clients - et sont ensuite traitées et notifiées de façon centralisée par le computer emergency response team (CERT). Notre trust office peut donner, si nécessaire, des explications plus précises, notamment à l'Anssi.

Le troisième pilier de notre stratégie de transparence concerne la vérification par des audits extérieurs et par des programmes internes d'analyse en profondeur des équipements. Cela permet à une agence ou à un client de contrôler si un équipement est architecturé correctement ou si un service correspond à ses attentes. Nous soumettons aussi nos produits aux autorités de certification, soit l'Anssi en France - nous travaillons également avec l'Agence dans le cadre du régime d'autorisation prévu par l'article R. 226-3 du code pénal. Les certifications internationales permettent d'éviter de dupliquer les efforts et de simplifier la gestion. Certains produits, comme nos routeurs ou nos switchs, ne sont pas soumis aux certifications, mais sont utilisés par des opérateurs d'importance vitale dans leurs infrastructures ; nous sommes donc disponibles pour renseigner les clients, ainsi que l'Anssi, sur les modalités de leur fabrication.

En effet, la société s'autofinance, en réinvestissant ses revenus dans son développement. Néanmoins, 70 à 80 % des banques qui nous soutiennent sont d'origine non chinoise, parmi lesquelles se trouvent des banques françaises.

Vous faites allusion à la norme internationale ISO 27000 ?

Compte tenu de l'organisation politique souveraine qui est la vôtre, le Parti communiste chinois est présent dans chaque entreprise et influence le choix de ses dirigeants qui peuvent par ailleurs être élus. Huawei fait-elle exception par rapport à cette règle ?

Notamment, car il existe différents types de certification : par entreprise, comme la norme ISO, ou par produits. Notre mission consiste à répondre aux besoins de certification de nos clients.

La loi chinoise oblige les entreprises à avoir un comité du Parti en son sein. Huawei ne fait pas exception. Celui-ci joue un rôle analogue à celui d'un comité d'entreprise en France et ne prend pas part à la décision stratégique.

Pourriez-vous nous fournir un éclairage complémentaire sur les structures qui centralisent les vulnérabilités ? Quel est leur niveau de protection ?

En 2015, Cisco a passé un accord avec le gouvernement français, portant notamment sur un investissement de 200 millions de dollars dans des start-up françaises. Quel montant a été réellement investi par votre entreprise ? Avez-vous pris des participations minoritaires ou majoritaires dans ces sociétés ? En janvier, votre groupe a promis un nouvel investissement à hauteur de 61 millions d'euros. Qu'en est-il ?

Je reviens sur le rôle de l'État chinois. Le département d'État aux États-Unis est un acteur du secteur des hautes technologies, en agissant sous forme d'achats préférentiels ou de subventions. Comme j'ai pu le constater comme ministre de l'industrie ou de la défense, les entreprises françaises savent également se tourner vers l'État pour obtenir des soutiens et des financements. Ma question est importante : Huawei s'efforce-t-elle, comme les autres entreprises américaines ou françaises, de bénéficier des subventions, de ligne de crédits ou d'achats prioritaires de son propre gouvernement ? Ce ne serait pas choquant, puisque les autres pays le font.

Notre point de contact direct, lorsqu'un défaut apparaît, est le centre opérationnel de l'Anssi qui gère les relations avec le CERT. Celui-ci représente, au niveau d'un pays, un guichet unique pour le recensement des vulnérabilités et l'émission de recommandations. C'est un organisme de confiance. Il existe également un CERT européen. Nous souhaitons communiquer sur les vulnérabilités car, en matière de sécurité, le partage des informations fonctionne mieux que l'obscurité.

Nos produits sont destinés uniquement à l'usage civil et sont ainsi développés selon des standards civils. Ils ne sont donc pas voués à équiper la défense chinoise. Nous participons ainsi à la définition des normes du 3GPP et du GSM Association (GSMA) uniquement pour le secteur civil.

La communication sur ces vulnérabilités s'organise sans aucun favoritisme pour une entreprise ou une administration donnée.

S'agissant des investissements, nous avons lancé un programme pluriannuel pour soutenir les nombreux talents français et stimuler l'innovation dans le secteur numérique. Nous avons ainsi investi au travers de fonds - comme Partech ou Idinvest - qui ont sélectionné les start-up en fonction de critères. Via la Cisco Networking Academy, nous avons également formé, depuis 2015, plus de 180 000 personnes aux métiers du numérique - sans se limiter uniquement aux produits Cisco - dans le cadre des programmes universitaires, des écoles d'ingénieurs, des centres de formation des apprentis (CFA) et des collèges. Il est très important de sensibiliser nos jeunes aux notions de cyber-sécurité et de souveraineté, et aux avantages et inconvénients du numérique. Par ailleurs, nous avons directement investi dans quelques start-up, comme Actility qui intervient dans le secteur des objets connectés. Enfin, nous avons créé une chaire avec l'école Polytechnique dans les domaines de la formation et du développement.

Les pouvoirs publics chinois sont-ils vos clients ?

Le Lab Cisco a été inauguré en octobre 2015 par Emmanuel Macron, alors ministre de l'économie. Depuis, les investissements ont été maintenus et intensifiés. Avec la Cisco Networking Academy, nous visons un effet quantitatif de formation des personnes à des technologies standards. Le Lab vise davantage un effet qualitatif ; depuis le début de l'année 2019, trois jeunes doctorant en sont sortis, dotés du diplôme de Polytechnique et de l'école d'application Télécom ParisTech. Ces ingénieurs font partie de l'élite mondiale en matière de réseau et nous sommes heureux que l'un d'entre eux ait intégré notre société.

En ce qui concerne les investissements dans les start-up, nous avions reçu, en 2015, le message clair que leur développement constituait un enjeu national. Nous avons investi via des fonds - ceux déjà cités mais aussi le Paris-Saclay Seed Fund, directement, comme dans la société Actility précitée. Nous avons également l'intention d'acquérir la société Sentryo. Pour autant, notre objectif est davantage de collaborer de manière complémentaire avec les start-up que de les racheter : nous pouvons leur proposer l'accès à des opportunités commerciales, tandis qu'elles nous permettent d'augmenter notre portefeuille de produits avec des solutions pointues.

Ils peuvent l'être, en achetant les serveurs et les capacités de stockage pour leur utilisation, avec les standards civils. Nous ne concevons pas d'équipements spécifiquement destinés aux pouvoirs publics. En outre, nous ne bénéficions d'aucune subvention du gouvernement chinois ou de la banque chinoise.

Je crois savoir que vous essayez d'innover en appuyant votre développement de la 5G sur le réseau 4G existant avec, notamment, des objectifs de déploiement en zone rurale. Pourriez-vous nous en dire davantage ?

Sur un plan géostratégique, nous avons l'impression que deux grands blocs se constituent et ce, pour des motifs essentiellement capitalistiques : l'un autour des Gafam, soutenus par le gouvernement américain - qui n'hésite à brandir des menaces de représailles économiques à l'occasion notamment de l'annonce, par Paris, du projet de taxer ces Gafam - et un autre qui rassemble les autres acteurs du numérique. L'Europe semble ainsi être le champ de bataille de ces deux blocs, comme nous ne pouvons que le constater, en raison de la modicité de nos investissements dans la technologie numérique qui nous prive des premiers rôles dans ce secteur. D'ailleurs, nous le regrettons tous collectivement et c'est sans doute l'une des raisons de la constitution de cette commission ! Dans ce conflit qui touche l'Europe, estimez-vous que le RGPD, l'open source et l'interopérabilité, fournissent des moyens de défense contre les Gafam et l'opportunité de proposer aux consommateurs européens un modèle numérique concurrentiel offrant une sécurité accrue par rapport à ce que proposent les Gafam ?

Le projet auquel vous faites référence a été développé sur le territoire anglais. Il s'agit d'un pilote visant à modéliser le déploiement de la 5G. De fait, la 5G représente probablement la première technologie mobile cellulaire qui ne sera pas principalement financée et justifiée économiquement par le grand public, mais par la numérisation des entreprises. L'enjeu consiste donc à mettre la 5G à leur service. C'est le sens de l'appel à projets lancé par le gouvernement britannique, que nous avons gagné avec un consortium. En travaillant sur les seuls secteurs du tourisme, de l'agriculture, de l'énergie et des transports, il s'agissait de trouver un modèle économique pour le déploiement de la 5G dans les territoires ruraux. Des expérimentations techniques ont eu lieu et nous attendons les modélisations économiques confiées à des universités. Le projet semble effectivement prometteur, raison pour laquelle nous l'avons présenté au salon Vivatech.

Personne n'aime la guerre économique et ou numérique pour investir. Nous investissons, notamment en France où, depuis 2003, nous avons créé trois bureaux de recherche, dans le coeur de nos activités, ainsi qu'un Open Lab qui permet de travailler avec nos clients et partenaires en faveur de l'innovation. Nous allons ainsi poursuivre nos investissements, comme l'a annoncé notre président Ken Hu, à hauteur de 35 millions de dollars dans cet Open Lab.

S'il était besoin d'évaluer davantage ce type de plateforme, nous le ferions volontiers.

Il est sans doute opportun de changer de modèle et d'assurer une plus grande protection des données. De ce fait, Huawei a décidé d'appliquer les règles du RGDP et d'en faire un standard au niveau mondial. Nous appliquons donc les programmes de conformité indistinctement dans nos différentes filiales. Nous pensons que le RGPD, à l'instar de la loi de 1978, est un formidable levier pour protéger les consommateurs et leurs données, dans leur transit à travers des réseaux ou des applications. La protection des données dépasse la simple obligation légale pour participer à la responsabilité sociale de l'entreprise, au même titre que les problématiques éthiques. Huawei est principalement un fournisseur d'équipements. Il importe donc que leur niveau de sécurité assure la protection des données de nos clients. En ce sens, nous avons mis en place des procédures très strictes de développement, autour notamment de la notion de « privacy by design » qui vous est familière. Cette dernière, qui est l'un des éléments du RGPD, permet, dès la réflexion à l'origine de la conception d'un équipement, de prendre en compte la problématique de la protection des données et de l'intégrer à ce stade. C'est pour nous une chance, en tant qu'entreprise chinoise implantée dans différents pays et notamment en Europe.

Quel est le pourcentage de votre chiffre d'affaires réalisé dans les différentes régions du monde ? Quels sont, pour vous, les pays leaders ?

Je suis votre raisonnement. Quel type de certifications mettez-vous en oeuvre pour épauler cette démarche ?

Gwenaël Rouillec, directeur de la cybersécurité. - Tous nos produits, en grande partie, sont certifiés « critères communs. » Si nous appliquons déjà toutes les normes européennes, nous avons, avec l'Anssi, engagé des démarches en vue d'obtenir des certifications de sécurité de premier niveau (CSPN) pour les produits 5G qui vont arriver demain. Sur l'open source, qui est utilisée par Huawei dans la conception de ses produits, dans un souci de transparence et de conformité, la finalité demeure nos clients, au-delà des fournisseurs que nous choisissons.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est close à 17 heures.

Schématiquement, 60 % de notre chiffre d'affaires provient de l'Amérique du Nord, où est installée la majorité des équipes d'ingénieurs et de développement ; vient ensuite la zone constituée par l'Europe, le Proche et le Moyen-Orient et la Russie, puis la zone Asie et Pacifique. En Europe, les pays moteurs pour le chiffre d'affaires sont l'Allemagne et la Grande-Bretagne, suivies de la France. Notre pays se situe toutefois en tête en matière d'innovation et de recherche : le Lab français représente près d'un quart des ressources en la matière.

La réunion est close à 15 heures.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Notre commission d'enquête poursuit ses travaux avec l'audition de représentants de l'entreprise Huawei France : MM. Weiliang Shi, directeur général, Benjamin Hecker, directeur juridique et de la protection des données, et Gwenaël Rouillec, directeur de la cybersécurité.

Cette audition est diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite donc, à tour de rôle, à prêter serment de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure.». Conformément à la procédure applicable aux commissions, M. Weiliang Shi prête serment.

Monsieur Shi, vous êtes directeur général de la filiale française de Huawei, l'un des géants chinois du numérique avec Baidu, Alibaba, Tencent et Xiaomi. Présente dans les équipements réseaux, mais aussi dans les smartphones ou dans le Cloud, l'entreprise connaît une croissance impressionnante et emploie aujourd'hui nombre de nos concitoyens. Elle est actuellement au coeur de la guerre technologique que se font les États-Unis et la Chine. Notre commission ne pouvait donc faire l'impasse sur votre audition.

Nous devons vous interroger sur des sujets, sur lesquels, peut-être, vous pourrez nous rassurer, alors que nous devrions adopter ce mois-ci définitivement la proposition de loi sur la sécurité des réseaux « 5G » - ce texte, je le rappelle, ne vise aucune entreprise en particulier mais fixe plutôt un cadre général pour garantir la confiance dans la technologie.

La question des liens de votre entreprise avec le Gouvernement chinois ne cesse de défrayer la chronique. Deux points ont particulièrement émergé dans le débat public : qui détient l'entreprise et quel est l'impact de la loi chinoise de 2017 sur le renseignement.

Sur le premier point - qui détient l'entreprise -, dans un article publié en avril dernier, deux chercheurs américains ont montré que la holding de votre entreprise est détenue à 1% par son fondateur Ren Zhengfei et à 99% par une entité appelée « comité syndical », dont on sait peu de choses. Ces chercheurs en tirent la conclusion selon laquelle, au vu du rôle que jouent les syndicats en Chine, Huawei pourrait être considérée comme contrôlée par l'État - ils parlent au conditionnel. Ils affirment, en revanche, qu'il est clair que Huawei n'est pas détenue par ses salariés, lesquels détiennent seulement ce qui est assimilable à un régime d'intéressement et de participation aux bénéfices. Pouvez-vous nous éclairer sur ce point important : qui détient le pouvoir de décision in fine dans l'entreprise Huawei ?

Le second point porte sur la loi chinoise sur le renseignement de 2017, qui génère les mêmes inquiétudes que le Cloud Act aux États-Unis. Son article 14 dispose notamment que les services de renseignement chinois peuvent requérir la coopération de tout citoyen chinois et de toute organisation. Êtes-vous en mesure de garantir que les données qui passent par vos équipements et vos serveurs ne seront pas utilisées par le Gouvernement chinois ? Si vous - en tant que personne physique ou en tant que personne morale - recevez une requête d'assistance du Gouvernement chinois, comment pouvez-vous la refuser ? Ces obligations sont-elles compatibles avec les normes européennes telles que le règlement général sur la protection des données (RGPD) ?

Nous vous remercions vivement de nous recevoir dans le cadre des travaux de la commission d'enquête sur la souveraineté numérique. C'est avec plaisir que nous avons accueilli votre invitation à participer à cette audition qui sera, je l'espère, l'occasion de faire tomber quelques barrières.

Je débuterai mon propos par une rapide présentation des activités de notre groupe. Comme vous le savez, Huawei est le leader mondial des équipements télécoms et le deuxième fabricant de smartphones. Basé à Shenzhen, le groupe, créé en 1987, compte aujourd'hui près de 190 000 employés dans plus de 170 pays. Huawei est une entreprise 100% privée, détenue par plus de 96 000 de ses employés et son fondateur, qui ne dispose que de 1,14% des parts de l'entreprise, selon un modèle coopératif.

S'agissant de la filiale française, Huawei Technologies France est une société par actions simplifiée unipersonnelle inscrite au registre de commerce de Nanterre. En France depuis 2003, Huawei emploie près de 1000 personnes réparties entre différents sites implantés à Boulogne Billancourt, Paris, Nice, Lyon et Grenoble. Les activités sont principalement commerciales, mais nous disposons aussi de centres de recherche et développement spécialisés en design, en traitement de l'image, en mathématiques, en standardisation et en capteurs.

L'ADN de Huawei est la recherche et l'innovation. La première valeur de l'entreprise est le client. Spécialisée dans les nouvelles technologies, notre activité ne peut exister ni se pérenniser sans cybersécurité. C'est pourquoi nous appliquons à tous nos produits et procédures les standards internationaux les plus élevés en matière de sécurité, et imposons à tous nos collaborateurs à travers le monde le respect de règles de sécurité et de conformité extrêmement strictes, dont le RGPD est l'un de nos standards au niveau mondial.

Huawei investit 15 % de son chiffre d'affaires annuel dans la recherche et le développement : en 2018, cela représentait près de 13 milliards d'euros.

La stratégie commerciale de Huawei n'est pas fondée sur des acquisitions d'entreprises. Au contraire, elle est basée sur le développement d'écosystèmes à travers le monde, le transfert de notre savoir-faire et la volonté de nous implanter durablement.

Si nous sommes plus compétitifs, c'est parce que nous permettons à nos clients de faire des économies d'échelle en utilisant des produits très innovants adaptés à leurs besoins. Huawei est un acteur de la souveraineté numérique des pays dans lesquels nos matériels sont installés. Nous développons, en effet, des produits adaptés aux demandes des clients, appliquant les standards de sécurité les plus élevés, respectant les normes de chaque pays dans lesquels ils sont installés. Nous incitons aussi nos clients, publics comme privés, à assurer un niveau de sécurité élevé des matériels et réseaux qu'ils opèrent. J'attire, par ailleurs, votre attention sur le fait que Huawei est l'entreprise dont les matériels ont été le plus testés à travers le monde, tant en matière de certification, que par des tests menés par nos clients.

Contrairement à ce qui a pu être dit ou sous-entendu, Huawei a toujours joué la carte de la transparence et compte bien tenir cette ligne de conduite. Il nous appartient de rassurer les pouvoirs publics sur la qualité et la sécurité de nos matériels, comme de nos services. C'est pourquoi nous avons ouverts plusieurs centres de test, le dernier à Bruxelles, afin de permettre aux agences étatiques et à nos clients de pouvoir vérifier et tester nos codes sources.

En outre, Huawei contribue de manière inclusive et transparente avec tous les acteurs du secteur à l'amélioration des standards internationaux. Huawei collabore en effet activement aux travaux du 3GPP (3rd Generation Partnership Project), et échange régulièrement avec les services de l'Agence nationale des fréquences, de l'Autorité de régulation des communications électroniques et des postes ou encore de l'Agence nationale de la sécurité des systèmes d'information (Anssi) et de la direction générale des entreprises.

Notre volonté est de favoriser l'éclosion d'un écosystème de start-ups françaises qui seront, selon nous, les acteurs de la souveraineté numérique de la France de demain. Contrairement à nombres d'acteurs des nouvelles technologies, notre activité n'est pas fondée sur la cession des données à des fins commerciales. Au contraire, Huawei propose des briques technologiques innovantes qui permettent aux acteurs du numérique de pouvoir les intégrer dans les solutions qu'ils développent eux-mêmes.

Vous l'aurez compris, Huawei est un acteur majeur des nouvelles technologies tant au niveau mondial qu'en France. C'est la raison pour laquelle nous signerons dans les tous prochains jours l'Appel de Paris pour la confiance et la sécurité dans le cyberespace.

Accompagné de Gwénaël Rouillec, directeur de la cybersécurité, et Benjamin Hecker, directeur juridique et protection des données de Huawei France, je serais heureux de répondre à vos questions. Je vous remercie de votre attention.

Nous vous remercions de votre question sur la loi de 2017 pour l'analyse de laquelle nous avons missionné plusieurs cabinets d'avocats. Cette loi est liée aux impératifs de sécurité nationale définis par le Gouvernement chinois ; elle a donc vocation à s'appliquer strictement en Chine. À l'inverse du Cloud Act qui présente des effets extraterritoriaux, cette loi s'applique indistinctement à tout individu ou à toute organisation uniquement implantée en Chine, quelle que soit sa nationalité. Il lui est ainsi demandé de collaborer à des enquêtes dont l'objet porte sur des impératifs de sécurité nationale. La demande d'informations sur nos clients français par le Gouvernement, que vous évoquez dans votre question, n'existe donc pas. Elle n'est nullement prévue dans le texte de la loi de 2017, comme nous le confirment d'ailleurs les analyses de ces cabinets d'avocats. Nous nous félicitons également de la récente confirmation, par le premier ministre chinois lui-même, de l'absence d'effet extraterritorial des dispositions de la loi de 2017. Celui-ci a en outre précisé que les individus situés en dehors de la Chine ne devaient pas collaborer à des enquêtes se déroulant en Chine.

Nous n'avons jamais reçu, ni du groupe lui-même ou du gouvernement chinois, de demande de transfert de données. D'ailleurs, nous ne pourrions l'accepter, puisque nous n'appliquons que la loi française.

Je souhaiterais mieux comprendre l'entreprise Huawei qui est un remarquable succès mondial. Quelles sont les parts respectives du chiffre d'affaires de votre groupe réalisées en Chine et à l'international ?

En 2018, le chiffre d'affaires global a atteint 108 milliards de dollars, dont la moitié est issue de nos activités extérieures à la Chine.

Quelle part représente l'Europe dans ce chiffre d'affaires ?

Dans l'organisation de notre groupe, l'Europe est scindée en deux directions régionales distinctes : la première couvre l'Europe de l'Ouest, tandis que la seconde couvre le reste des pays européens, hors Russie ; celle-ci étant considérée comme une région à part entière, à l'instar de la région Pacifique et de la région Afrique.

Vous considérez-vous comme une entreprise d'équipements ou de services qui vend aussi des équipements ? Quelle est la part de services, soit de conception, soit d'hébergement, dans votre chiffre d'affaires ?

Notre modèle économique vise à vendre nos infrastructures matérielles, avec un transfert de savoir-faire. Nos services - d'installation, de formation - s'articulent autour de cette activité.

La première question relative à l'actualité est le fait que vous vendez des téléphones en dehors de la Chine dotés du système d'exploitation Android. Pensez-vous qu'il soit possible d'obtenir, en Europe, voire au-dehors de la Chine, des systèmes d'exploitation qui se libéreraient d'Android ?

Il n'existe, pour l'heure, que deux systèmes d'exploitation : l'iOS et Android. Pour Huawei, s'il n'est pas difficile de créer un troisième système, il est en revanche plus malaisé d'obtenir l'écosystème des applications, qui est la brique clef. La création d'un nouveau système ne permettrait pas nécessairement de se connecter aux applications existantes sur les autres systèmes. Dès lors, un téléphone doté d'un nouveau système et privé des autres applications ne serait acheté par personne !

Pensez-vous possible de survivre au refus d'un équipement iOS ou Android en Europe ?

Tel n'est pas notre souhait. Notre stratégie est avant tout de nous intégrer à des écosystèmes existants. S'il nous était interdit d'utiliser les systèmes d'exploitation existants, alors il nous faudrait en créer un nouveau, tout en veillant à raccorder les applications issues des écosystèmes préexistants.

Nous avons auditionné Google qui affirme que l'accès à son système d'exploitation est libre, même si ses mises à jour, notamment de sécurité, ne le sont pas. Si jamais un durcissement de la situation venait à se produire, resteriez-vous dans cet écosystème ou seriez-vous en mesure d'en créer un autre ?

L'écosystème représente la clef des systèmes d'exploitation. J'affirme également que le système Android est en open source et Huawei est l'un de ses principaux contributeurs. Le problème réside dans l'utilisation des applications, suite à la décision américaine. Or, personne n'achètera un téléphone privé d'applications !

Dans un autre secteur tout à fait différent, nous observons que les grands opérateurs du numérique investissent dans les câbles sous-marins de communications électroniques. À l'inverse, votre entreprise a récemment décidé de céder une partie de son activité à Hengtong, un autre acteur chinois du secteur. Pourquoi avoir procédé à une telle cession ?

Notre stratégie s'est focalisée sur ses trois piliers fondateurs : les connectivités, en particulier les technologies mobiles - de la 2G à la 5G, en passant par la fibre optique et les réseaux télécoms -, le stockage des données et les terminaux. Nous nous sommes donc recentrés.

Vous n'estimez donc pas la propriété des réseaux comme décisifs ?

Tout dépend de la nature des réseaux. Alors que les réseaux télécoms fournissent notre coeur d'activité, le câble sous-marin ne figure plus dans notre stratégie.

Dans votre présentation, vous avez indiqué que Huawei appartenait pour partie à ses 96 000 salariés, soit près de la moitié de ses personnels. Comment fonctionne une telle démocratie économique au sein de votre entreprise ?

Qui possède, au final, votre entreprise ?

Le gouvernement chinois, ou les banques chinoises, sont-ils créanciers de l'entreprise ? S'il est vrai que la participation des salariés contribue fortement à la cohésion de la société, elle n'est pas en mesure de soutenir le développement, fortement capitalistique, de vos activités. Comment faîtes-vous pour vous développer en termes de capitaux ?

Les 96 000 salariés sont regroupés dans une coopérative gérée par un comité élu de 115 représentants qui eux-mêmes s'organisent avec un bureau qui gère l'entité. Aujourd'hui, ce comité est l'organe le plus élevé de la société. Il assure la désignation des membres du conseil d'administration et du conseil de surveillance de Huawei.

Sur le financement de ce secteur aux technologies extrêmement évolutives, l'appel aux capitaux extérieurs est une nécessité. Vos salariés, quand bien même ils seraient nombreux et bien payés, ne peuvent soutenir de tels investissements.

En effet, la société s'autofinance, en réinvestissant ses revenus dans son développement. Néanmoins, 70 à 80 % des banques qui nous soutiennent sont d'origine non chinoise, parmi lesquelles se trouvent des banques françaises.

Compte tenu de l'organisation politique souveraine qui est la vôtre, le Parti communiste chinois est présent dans chaque entreprise et influence le choix de ses dirigeants qui peuvent par ailleurs être élus. Huawei fait-elle exception par rapport à cette règle ?

La loi chinoise oblige les entreprises à avoir un comité du Parti en son sein. Huawei ne fait pas exception. Celui-ci joue un rôle analogue à celui d'un comité d'entreprise en France et ne prend pas part à la décision stratégique.

Je reviens sur le rôle de l'État chinois. Le département d'État aux États-Unis est un acteur du secteur des hautes technologies, en agissant sous forme d'achats préférentiels ou de subventions. Comme j'ai pu le constater comme ministre de l'industrie ou de la défense, les entreprises françaises savent également se tourner vers l'État pour obtenir des soutiens et des financements. Ma question est importante : Huawei s'efforce-t-elle, comme les autres entreprises américaines ou françaises, de bénéficier des subventions, de ligne de crédits ou d'achats prioritaires de son propre gouvernement ? Ce ne serait pas choquant, puisque les autres pays le font.

Nos produits sont destinés uniquement à l'usage civil et sont ainsi développés selon des standards civils. Ils ne sont donc pas voués à équiper la défense chinoise. Nous participons ainsi à la définition des normes du 3GPP et du GSM Association (GSMA) uniquement pour le secteur civil.

Les pouvoirs publics chinois sont-ils vos clients ?

Ils peuvent l'être, en achetant les serveurs et les capacités de stockage pour leur utilisation, avec les standards civils. Nous ne concevons pas d'équipements spécifiquement destinés aux pouvoirs publics. En outre, nous ne bénéficions d'aucune subvention du gouvernement chinois ou de la banque chinoise.

Sur un plan géostratégique, nous avons l'impression que deux grands blocs se constituent et ce, pour des motifs essentiellement capitalistiques : l'un autour des Gafam, soutenus par le gouvernement américain - qui n'hésite à brandir des menaces de représailles économiques à l'occasion notamment de l'annonce, par Paris, du projet de taxer ces Gafam - et un autre qui rassemble les autres acteurs du numérique. L'Europe semble ainsi être le champ de bataille de ces deux blocs, comme nous ne pouvons que le constater, en raison de la modicité de nos investissements dans la technologie numérique qui nous prive des premiers rôles dans ce secteur. D'ailleurs, nous le regrettons tous collectivement et c'est sans doute l'une des raisons de la constitution de cette commission ! Dans ce conflit qui touche l'Europe, estimez-vous que le RGPD, l'open source et l'interopérabilité, fournissent des moyens de défense contre les Gafam et l'opportunité de proposer aux consommateurs européens un modèle numérique concurrentiel offrant une sécurité accrue par rapport à ce que proposent les Gafam ?

Personne n'aime la guerre économique et ou numérique pour investir. Nous investissons, notamment en France où, depuis 2003, nous avons créé trois bureaux de recherche, dans le coeur de nos activités, ainsi qu'un Open Lab qui permet de travailler avec nos clients et partenaires en faveur de l'innovation. Nous allons ainsi poursuivre nos investissements, comme l'a annoncé notre président Ken Hu, à hauteur de 35 millions de dollars dans cet Open Lab.

Il est sans doute opportun de changer de modèle et d'assurer une plus grande protection des données. De ce fait, Huawei a décidé d'appliquer les règles du RGDP et d'en faire un standard au niveau mondial. Nous appliquons donc les programmes de conformité indistinctement dans nos différentes filiales. Nous pensons que le RGPD, à l'instar de la loi de 1978, est un formidable levier pour protéger les consommateurs et leurs données, dans leur transit à travers des réseaux ou des applications. La protection des données dépasse la simple obligation légale pour participer à la responsabilité sociale de l'entreprise, au même titre que les problématiques éthiques. Huawei est principalement un fournisseur d'équipements. Il importe donc que leur niveau de sécurité assure la protection des données de nos clients. En ce sens, nous avons mis en place des procédures très strictes de développement, autour notamment de la notion de « privacy by design » qui vous est familière. Cette dernière, qui est l'un des éléments du RGPD, permet, dès la réflexion à l'origine de la conception d'un équipement, de prendre en compte la problématique de la protection des données et de l'intégrer à ce stade. C'est pour nous une chance, en tant qu'entreprise chinoise implantée dans différents pays et notamment en Europe.

Je suis votre raisonnement. Quel type de certifications mettez-vous en oeuvre pour épauler cette démarche ?

Gwenaël Rouillec, directeur de la cybersécurité. - Tous nos produits, en grande partie, sont certifiés « critères communs. » Si nous appliquons déjà toutes les normes européennes, nous avons, avec l'Anssi, engagé des démarches en vue d'obtenir des certifications de sécurité de premier niveau (CSPN) pour les produits 5G qui vont arriver demain. Sur l'open source, qui est utilisée par Huawei dans la conception de ses produits, dans un souci de transparence et de conformité, la finalité demeure nos clients, au-delà des fournisseurs que nous choisissons.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est close à 17 heures.