Commission d'enquête Souveraineté numérique

Réunion du 18 juillet 2019 à 14h15

Résumé de la réunion

Les mots clés de cette réunion

  • cisco
  • client
  • europe
  • huawei
  • technologie
  • vulnérabilité
  • équipement

La réunion

Source

Marc Mossé

Dans le même cadre juridique, les mêmes règles s'appliquent.

La réunion est close à 12 h 50.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est close à 12 h 50.

La réunion est ouverte à 14 h 15

Debut de section - PermalienPhoto de Franck Montaugé

Notre commission d'enquête poursuit ses travaux avec l'audition de représentants de l'entreprise Cisco France : Laurent Degré, directeur général, Guillaume de Saint Marc, directeur de l'innovation, Jean-Charles Griviaud, responsable cyber-sécurité, Bruno Bernard, directeur des affaires publiques, et Pascale Serot, responsable sécurité et défense. Cette audition est diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite chacun à prêter serment, chacun à votre tour, de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, MM. Laurent Degré, Guillaume de Saint Marc, Jean-Charles Griviaud et Bruno Bernard, et Mme Pascale Serot prêtent serment.

Cisco, même si elle n'est pas désignée dans l'acronyme Gafam, fait partie des grandes entreprises américaines du numérique, en tant que fournisseur d'équipements réseaux pour internet. Nous souhaitons vous interroger sur des sujets sensibles, sur lesquels, peut-être, vous pourrez nous rassurer.

Comme l'avait noté notre collègue Catherine Morin-Desailly dans son rapport intitulé L'Europe au secours de l'Internet, l'affaire Snowden a révélé que la National Security Agency (NSA) aurait pu utiliser des équipements Cisco pour espionner les alliés des États-Unis. Pouvez-vous nous assurer que vos équipements, très présents dans les coeurs de réseaux de nos opérateurs télécoms, sont désormais exempts de tout risque ?

La portée extraterritoriale de lois comme le Patriot Act ou, plus récemment, le Cloud Act représente un sujet d'inquiétude. Êtes-vous en mesure de garantir que les données sensibles qui passent par des serveurs de Cisco en Europe ne peuvent pas être saisies par les autorités américaines ? Cisco France a-t-il déjà donné suite à de telles demandes en dehors des procédures de coopération judiciaire ? Comment conciliez-vous les obligations contradictoires découlant des normes américaines et de la législation européenne du Règlement général sur la protection des données (RGPD) ? Pouvez-vous nous rassurer sur le fait que le gouvernement américain ne peut vous contraindre à faire primer l'intérêt des États-Unis sur celui de la France ou de l'Europe ?

Debut de section - Permalien
Laurent Degré, directeur général de Cisco France

C'est pour nous un honneur d'être invités en tant que citoyens et représentants d'une entreprise américaine qui contribue à la transformation numérique des entreprises françaises. Nous sommes venus avec des représentants de la cyber-sécurité, de l'innovation et des relations avec le Gouvernement, pour apporter un maximum d'expertise à nos réponses, dans un souci de transparence. Le débat sur la souveraineté numérique apparaît, en effet, aussi important que complexe ; il interroge les notions de territoire et d'application des lois dans un monde numérique fondé sur l'échange de données, en quelques millisecondes, par-delà les frontières. Le numérique représente une source d'innovation, qu'il convient de préserver lorsqu'il s'agit de réfléchir en termes de régulation, de cloisonnement et de sécurité.

Cisco est une société américaine fondée en 1984, dont l'activité initiale consistait à relier les applications connectées des campus universitaires au démarrage de l'Internet. Ont ainsi été créées les fameuses autoroutes de l'information. L'entreprise compte environ 70 000 salariés, dont 26 000 ingénieurs, dans 164 pays et possède 19 000 brevets. Cisco France emploie 650 collaborateurs et travaille avec 1 200 partenaires, auxquels l'entreprise fournit des solutions numériques. Nous disposons également d'un laboratoire de recherche et développement, placé sous la direction de Guillaume de Saint Marc, et d'un trust office chargé de la transparence, du respect des standards et des relations avec l'Agence nationale de la sécurité des systèmes d'information (Anssi) s'agissant de la mise en conformité et de l'autorisation des produits que nous déployons. Nos clients sont des entreprises de toutes tailles, des administrations et des opérateurs télécom - c'est d'ailleurs grâce à ces derniers clients que nous avons développé nos relations avec l'Anssi. La France possède des champions du numérique, des super-calculateurs et de la cyber-sécurité, des acteurs de confiance qui sont nos partenaires. Nous pouvons en être fiers ! De même, l'Anssi représente un modèle pour l'Europe et pour le monde, grâce à la qualité des ingénieurs et de la certification que beaucoup de pays nous envient. La collaboration avec l'Anssi a contribué à faire progresser nos équipes. Enfin, Cisco investit massivement en France pour développer le réseau des start-up, où les talents sont multiples.

Le RGPD représente un élément important de la souveraineté numérique européenne, comme la directive « E-evidence », qui améliorera la transparence. Nous avons mis en place depuis quelques mois une procédure de réponse aux demandes de l'administration américaine qui pourraient intervenir dans le cadre du Cloud Act. À ce jour, cela ne s'est jamais produit. Dans un tel cas, nous regarderons d'abord où se trouvent les données incriminées. Cisco ne fait pas commerce de la donnée, mais la transporte et la sécurise, tandis que nos partenaires installent des solutions applicatives dans le cloud. Dans la majorité des cas, les données se trouvent donc chez le client : nous n'y avons alors pas accès et l'administration américaine devra nouer relation avec ledit client. Lorsque Cisco hébergera les données concernées, la demande sera traitée au cas par cas après une analyse du type de données et de la pertinence et de la légitimité de la requête. Nos juristes et nos avocats entreront alors dans un dialogue avec l'administration américaine et, le cas échéant, une notification sera envoyée au client.

Debut de section - PermalienPhoto de Franck Montaugé

La notification ne sera pas envoyée d'emblée au client ?

Debut de section - Permalien
Laurent Degré

Si, dès lors que nous n'avons pas d'interdiction de communiquer l'information au client.

Debut de section - Permalien
Jean-Charles Griviaud, responsable cyber-sécurité de Cisco France

Nous fournissons différents types de solutions principalement comme équipementier, ainsi que certains services pouvant se trouver dans le cloud pour lesquels les données nous seront accessibles. Cela dépend de la demande du client.

Debut de section - Permalien
Laurent Degré

Vous avez évoqué l'affaire Snowden. Sachez d'abord que nous ne développons que des produits standards, nous ne développons jamais une plateforme ou un logiciel spécifique pour un client donné.

Debut de section - Permalien
Jean-Charles Griviaud, responsable cyber-sécurité de Cisco France

Cisco opère dans 160 pays et développe effectivement les mêmes produits quels que soient la localisation géographique et le client destinataire du service

La confiance est devenue un enjeu majeur pour nos clients, sensibilisés par la médiatisation des faits divers et le travail remarquable réalisé par l'Anssi, avec des conséquences sur le niveau d'exigence attendu des fournisseurs. Nous souhaitons donc être identifié, par nos clients, comme un acteur de confiance. À cet effet, notre stratégie s'appuie sur des doctrines de sécurité qui visent à rendre visibles nos procédures industrielles, de la conception à la réalisation des produits, et à disposer de technologies de protection de ces mêmes produits, notamment des éléments physiques d'identité numérique permettant de vérifier l'authenticité d'un équipement matériel comme d'un logiciel. Nos produits sont construits sur des standards ; Cisco est d'ailleurs un important contributeur de l'open source. En cas de vulnérabilité constatée, nous assurons un traitement transparent selon une procédure centralisée auprès d'une équipe unique. Elle qualifie les mesures de correction nécessaires et communique l'information à l'industrie. Les entreprises et les agences ont, par ailleurs, accès à nos bases de vulnérabilité mises régulièrement à jour.

Debut de section - Permalien
Jean-Charles Griviaud, responsable cyber-sécurité de Cisco France

Quand une défaillance peut entraîner un acte de malveillance, il s'agit d'une vulnérabilité.

Debut de section - PermalienPhoto de Gérard Longuet

Ces vulnérabilités sont découvertes au fil du temps ?

Debut de section - Permalien
Jean-Charles Griviaud, responsable cyber-sécurité de Cisco France

Les vulnérabilités nous sont communiquées par différents canaux - par des tests de régression en interne, par des tests réalisés par nos partenaires sur nos équipements ou par nos clients - et sont ensuite traitées et notifiées de façon centralisée par le computer emergency response team (CERT). Notre trust office peut donner, si nécessaire, des explications plus précises, notamment à l'Anssi.

Le troisième pilier de notre stratégie de transparence concerne la vérification par des audits extérieurs et par des programmes internes d'analyse en profondeur des équipements. Cela permet à une agence ou à un client de contrôler si un équipement est architecturé correctement ou si un service correspond à ses attentes. Nous soumettons aussi nos produits aux autorités de certification, soit l'Anssi en France - nous travaillons également avec l'Agence dans le cadre du régime d'autorisation prévu par l'article R. 226-3 du code pénal. Les certifications internationales permettent d'éviter de dupliquer les efforts et de simplifier la gestion. Certains produits, comme nos routeurs ou nos switchs, ne sont pas soumis aux certifications, mais sont utilisés par des opérateurs d'importance vitale dans leurs infrastructures ; nous sommes donc disponibles pour renseigner les clients, ainsi que l'Anssi, sur les modalités de leur fabrication.

Debut de section - PermalienPhoto de Franck Montaugé

Vous faites allusion à la norme internationale ISO 27000 ?

Debut de section - Permalien
Jean-Charles Griviaud, responsable cyber-sécurité de Cisco France

Notamment, car il existe différents types de certification : par entreprise, comme la norme ISO, ou par produits. Notre mission consiste à répondre aux besoins de certification de nos clients.

Debut de section - PermalienPhoto de Stéphane Piednoir

Pourriez-vous nous fournir un éclairage complémentaire sur les structures qui centralisent les vulnérabilités ? Quel est leur niveau de protection ?

En 2015, Cisco a passé un accord avec le gouvernement français, portant notamment sur un investissement de 200 millions de dollars dans des start-up françaises. Quel montant a été réellement investi par votre entreprise ? Avez-vous pris des participations minoritaires ou majoritaires dans ces sociétés ? En janvier, votre groupe a promis un nouvel investissement à hauteur de 61 millions d'euros. Qu'en est-il ?

Debut de section - Permalien
Jean-Charles Griviaud, responsable cyber-sécurité de Cisco France

Notre point de contact direct, lorsqu'un défaut apparaît, est le centre opérationnel de l'Anssi qui gère les relations avec le CERT. Celui-ci représente, au niveau d'un pays, un guichet unique pour le recensement des vulnérabilités et l'émission de recommandations. C'est un organisme de confiance. Il existe également un CERT européen. Nous souhaitons communiquer sur les vulnérabilités car, en matière de sécurité, le partage des informations fonctionne mieux que l'obscurité.

Debut de section - Permalien
Laurent Degré

La communication sur ces vulnérabilités s'organise sans aucun favoritisme pour une entreprise ou une administration donnée.

S'agissant des investissements, nous avons lancé un programme pluriannuel pour soutenir les nombreux talents français et stimuler l'innovation dans le secteur numérique. Nous avons ainsi investi au travers de fonds - comme Partech ou Idinvest - qui ont sélectionné les start-up en fonction de critères. Via la Cisco Networking Academy, nous avons également formé, depuis 2015, plus de 180 000 personnes aux métiers du numérique - sans se limiter uniquement aux produits Cisco - dans le cadre des programmes universitaires, des écoles d'ingénieurs, des centres de formation des apprentis (CFA) et des collèges. Il est très important de sensibiliser nos jeunes aux notions de cyber-sécurité et de souveraineté, et aux avantages et inconvénients du numérique. Par ailleurs, nous avons directement investi dans quelques start-up, comme Actility qui intervient dans le secteur des objets connectés. Enfin, nous avons créé une chaire avec l'école Polytechnique dans les domaines de la formation et du développement.

Debut de section - Permalien
Guillaume de Saint Marc, directeur de l'innovation de Cisco France

Le Lab Cisco a été inauguré en octobre 2015 par Emmanuel Macron, alors ministre de l'économie. Depuis, les investissements ont été maintenus et intensifiés. Avec la Cisco Networking Academy, nous visons un effet quantitatif de formation des personnes à des technologies standards. Le Lab vise davantage un effet qualitatif ; depuis le début de l'année 2019, trois jeunes doctorant en sont sortis, dotés du diplôme de Polytechnique et de l'école d'application Télécom ParisTech. Ces ingénieurs font partie de l'élite mondiale en matière de réseau et nous sommes heureux que l'un d'entre eux ait intégré notre société.

En ce qui concerne les investissements dans les start-up, nous avions reçu, en 2015, le message clair que leur développement constituait un enjeu national. Nous avons investi via des fonds - ceux déjà cités mais aussi le Paris-Saclay Seed Fund, directement, comme dans la société Actility précitée. Nous avons également l'intention d'acquérir la société Sentryo. Pour autant, notre objectif est davantage de collaborer de manière complémentaire avec les start-up que de les racheter : nous pouvons leur proposer l'accès à des opportunités commerciales, tandis qu'elles nous permettent d'augmenter notre portefeuille de produits avec des solutions pointues.

Debut de section - PermalienPhoto de Franck Montaugé

Je crois savoir que vous essayez d'innover en appuyant votre développement de la 5G sur le réseau 4G existant avec, notamment, des objectifs de déploiement en zone rurale. Pourriez-vous nous en dire davantage ?

Debut de section - Permalien
Guillaume de Saint Marc, directeur de l'innovation de Cisco France

Le projet auquel vous faites référence a été développé sur le territoire anglais. Il s'agit d'un pilote visant à modéliser le déploiement de la 5G. De fait, la 5G représente probablement la première technologie mobile cellulaire qui ne sera pas principalement financée et justifiée économiquement par le grand public, mais par la numérisation des entreprises. L'enjeu consiste donc à mettre la 5G à leur service. C'est le sens de l'appel à projets lancé par le gouvernement britannique, que nous avons gagné avec un consortium. En travaillant sur les seuls secteurs du tourisme, de l'agriculture, de l'énergie et des transports, il s'agissait de trouver un modèle économique pour le déploiement de la 5G dans les territoires ruraux. Des expérimentations techniques ont eu lieu et nous attendons les modélisations économiques confiées à des universités. Le projet semble effectivement prometteur, raison pour laquelle nous l'avons présenté au salon Vivatech.

Debut de section - Permalien
Laurent Degré

S'il était besoin d'évaluer davantage ce type de plateforme, nous le ferions volontiers.

Debut de section - PermalienPhoto de Gérard Longuet

Quel est le pourcentage de votre chiffre d'affaires réalisé dans les différentes régions du monde ? Quels sont, pour vous, les pays leaders ?

Debut de section - Permalien
Laurent Degré

Schématiquement, 60 % de notre chiffre d'affaires provient de l'Amérique du Nord, où est installée la majorité des équipes d'ingénieurs et de développement ; vient ensuite la zone constituée par l'Europe, le Proche et le Moyen-Orient et la Russie, puis la zone Asie et Pacifique. En Europe, les pays moteurs pour le chiffre d'affaires sont l'Allemagne et la Grande-Bretagne, suivies de la France. Notre pays se situe toutefois en tête en matière d'innovation et de recherche : le Lab français représente près d'un quart des ressources en la matière.

La réunion est close à 15 heures.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Debut de section - PermalienPhoto de Franck Montaugé

Notre commission d'enquête poursuit ses travaux avec l'audition de représentants de l'entreprise Huawei France : MM. Weiliang Shi, directeur général, Benjamin Hecker, directeur juridique et de la protection des données, et Gwenaël Rouillec, directeur de la cybersécurité.

Cette audition est diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite donc, à tour de rôle, à prêter serment de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure.». Conformément à la procédure applicable aux commissions, M. Weiliang Shi prête serment.

Debut de section - PermalienPhoto de Franck Montaugé

Monsieur Shi, vous êtes directeur général de la filiale française de Huawei, l'un des géants chinois du numérique avec Baidu, Alibaba, Tencent et Xiaomi. Présente dans les équipements réseaux, mais aussi dans les smartphones ou dans le Cloud, l'entreprise connaît une croissance impressionnante et emploie aujourd'hui nombre de nos concitoyens. Elle est actuellement au coeur de la guerre technologique que se font les États-Unis et la Chine. Notre commission ne pouvait donc faire l'impasse sur votre audition.

Nous devons vous interroger sur des sujets, sur lesquels, peut-être, vous pourrez nous rassurer, alors que nous devrions adopter ce mois-ci définitivement la proposition de loi sur la sécurité des réseaux « 5G » - ce texte, je le rappelle, ne vise aucune entreprise en particulier mais fixe plutôt un cadre général pour garantir la confiance dans la technologie.

La question des liens de votre entreprise avec le Gouvernement chinois ne cesse de défrayer la chronique. Deux points ont particulièrement émergé dans le débat public : qui détient l'entreprise et quel est l'impact de la loi chinoise de 2017 sur le renseignement.

Sur le premier point - qui détient l'entreprise -, dans un article publié en avril dernier, deux chercheurs américains ont montré que la holding de votre entreprise est détenue à 1% par son fondateur Ren Zhengfei et à 99% par une entité appelée « comité syndical », dont on sait peu de choses. Ces chercheurs en tirent la conclusion selon laquelle, au vu du rôle que jouent les syndicats en Chine, Huawei pourrait être considérée comme contrôlée par l'État - ils parlent au conditionnel. Ils affirment, en revanche, qu'il est clair que Huawei n'est pas détenue par ses salariés, lesquels détiennent seulement ce qui est assimilable à un régime d'intéressement et de participation aux bénéfices. Pouvez-vous nous éclairer sur ce point important : qui détient le pouvoir de décision in fine dans l'entreprise Huawei ?

Le second point porte sur la loi chinoise sur le renseignement de 2017, qui génère les mêmes inquiétudes que le Cloud Act aux États-Unis. Son article 14 dispose notamment que les services de renseignement chinois peuvent requérir la coopération de tout citoyen chinois et de toute organisation. Êtes-vous en mesure de garantir que les données qui passent par vos équipements et vos serveurs ne seront pas utilisées par le Gouvernement chinois ? Si vous - en tant que personne physique ou en tant que personne morale - recevez une requête d'assistance du Gouvernement chinois, comment pouvez-vous la refuser ? Ces obligations sont-elles compatibles avec les normes européennes telles que le règlement général sur la protection des données (RGPD) ?

Debut de section - Permalien
Weiliang Shi

Nous vous remercions vivement de nous recevoir dans le cadre des travaux de la commission d'enquête sur la souveraineté numérique. C'est avec plaisir que nous avons accueilli votre invitation à participer à cette audition qui sera, je l'espère, l'occasion de faire tomber quelques barrières.

Je débuterai mon propos par une rapide présentation des activités de notre groupe. Comme vous le savez, Huawei est le leader mondial des équipements télécoms et le deuxième fabricant de smartphones. Basé à Shenzhen, le groupe, créé en 1987, compte aujourd'hui près de 190 000 employés dans plus de 170 pays. Huawei est une entreprise 100% privée, détenue par plus de 96 000 de ses employés et son fondateur, qui ne dispose que de 1,14% des parts de l'entreprise, selon un modèle coopératif.

S'agissant de la filiale française, Huawei Technologies France est une société par actions simplifiée unipersonnelle inscrite au registre de commerce de Nanterre. En France depuis 2003, Huawei emploie près de 1000 personnes réparties entre différents sites implantés à Boulogne Billancourt, Paris, Nice, Lyon et Grenoble. Les activités sont principalement commerciales, mais nous disposons aussi de centres de recherche et développement spécialisés en design, en traitement de l'image, en mathématiques, en standardisation et en capteurs.

L'ADN de Huawei est la recherche et l'innovation. La première valeur de l'entreprise est le client. Spécialisée dans les nouvelles technologies, notre activité ne peut exister ni se pérenniser sans cybersécurité. C'est pourquoi nous appliquons à tous nos produits et procédures les standards internationaux les plus élevés en matière de sécurité, et imposons à tous nos collaborateurs à travers le monde le respect de règles de sécurité et de conformité extrêmement strictes, dont le RGPD est l'un de nos standards au niveau mondial.

Huawei investit 15 % de son chiffre d'affaires annuel dans la recherche et le développement : en 2018, cela représentait près de 13 milliards d'euros.

La stratégie commerciale de Huawei n'est pas fondée sur des acquisitions d'entreprises. Au contraire, elle est basée sur le développement d'écosystèmes à travers le monde, le transfert de notre savoir-faire et la volonté de nous implanter durablement.

Si nous sommes plus compétitifs, c'est parce que nous permettons à nos clients de faire des économies d'échelle en utilisant des produits très innovants adaptés à leurs besoins. Huawei est un acteur de la souveraineté numérique des pays dans lesquels nos matériels sont installés. Nous développons, en effet, des produits adaptés aux demandes des clients, appliquant les standards de sécurité les plus élevés, respectant les normes de chaque pays dans lesquels ils sont installés. Nous incitons aussi nos clients, publics comme privés, à assurer un niveau de sécurité élevé des matériels et réseaux qu'ils opèrent. J'attire, par ailleurs, votre attention sur le fait que Huawei est l'entreprise dont les matériels ont été le plus testés à travers le monde, tant en matière de certification, que par des tests menés par nos clients.

Contrairement à ce qui a pu être dit ou sous-entendu, Huawei a toujours joué la carte de la transparence et compte bien tenir cette ligne de conduite. Il nous appartient de rassurer les pouvoirs publics sur la qualité et la sécurité de nos matériels, comme de nos services. C'est pourquoi nous avons ouverts plusieurs centres de test, le dernier à Bruxelles, afin de permettre aux agences étatiques et à nos clients de pouvoir vérifier et tester nos codes sources.

En outre, Huawei contribue de manière inclusive et transparente avec tous les acteurs du secteur à l'amélioration des standards internationaux. Huawei collabore en effet activement aux travaux du 3GPP (3rd Generation Partnership Project), et échange régulièrement avec les services de l'Agence nationale des fréquences, de l'Autorité de régulation des communications électroniques et des postes ou encore de l'Agence nationale de la sécurité des systèmes d'information (Anssi) et de la direction générale des entreprises.

Notre volonté est de favoriser l'éclosion d'un écosystème de start-ups françaises qui seront, selon nous, les acteurs de la souveraineté numérique de la France de demain. Contrairement à nombres d'acteurs des nouvelles technologies, notre activité n'est pas fondée sur la cession des données à des fins commerciales. Au contraire, Huawei propose des briques technologiques innovantes qui permettent aux acteurs du numérique de pouvoir les intégrer dans les solutions qu'ils développent eux-mêmes.

Vous l'aurez compris, Huawei est un acteur majeur des nouvelles technologies tant au niveau mondial qu'en France. C'est la raison pour laquelle nous signerons dans les tous prochains jours l'Appel de Paris pour la confiance et la sécurité dans le cyberespace.

Accompagné de Gwénaël Rouillec, directeur de la cybersécurité, et Benjamin Hecker, directeur juridique et protection des données de Huawei France, je serais heureux de répondre à vos questions. Je vous remercie de votre attention.

Debut de section - Permalien
Benjamin Hecker

Nous vous remercions de votre question sur la loi de 2017 pour l'analyse de laquelle nous avons missionné plusieurs cabinets d'avocats. Cette loi est liée aux impératifs de sécurité nationale définis par le Gouvernement chinois ; elle a donc vocation à s'appliquer strictement en Chine. À l'inverse du Cloud Act qui présente des effets extraterritoriaux, cette loi s'applique indistinctement à tout individu ou à toute organisation uniquement implantée en Chine, quelle que soit sa nationalité. Il lui est ainsi demandé de collaborer à des enquêtes dont l'objet porte sur des impératifs de sécurité nationale. La demande d'informations sur nos clients français par le Gouvernement, que vous évoquez dans votre question, n'existe donc pas. Elle n'est nullement prévue dans le texte de la loi de 2017, comme nous le confirment d'ailleurs les analyses de ces cabinets d'avocats. Nous nous félicitons également de la récente confirmation, par le premier ministre chinois lui-même, de l'absence d'effet extraterritorial des dispositions de la loi de 2017. Celui-ci a en outre précisé que les individus situés en dehors de la Chine ne devaient pas collaborer à des enquêtes se déroulant en Chine.

Debut de section - Permalien
Weiliang Shi

Nous n'avons jamais reçu, ni du groupe lui-même ou du gouvernement chinois, de demande de transfert de données. D'ailleurs, nous ne pourrions l'accepter, puisque nous n'appliquons que la loi française.

Debut de section - PermalienPhoto de Gérard Longuet

Je souhaiterais mieux comprendre l'entreprise Huawei qui est un remarquable succès mondial. Quelles sont les parts respectives du chiffre d'affaires de votre groupe réalisées en Chine et à l'international ?

Debut de section - Permalien
Weiliang Shi

En 2018, le chiffre d'affaires global a atteint 108 milliards de dollars, dont la moitié est issue de nos activités extérieures à la Chine.

Debut de section - PermalienPhoto de Gérard Longuet

Quelle part représente l'Europe dans ce chiffre d'affaires ?

Debut de section - Permalien
Weiliang Shi

Dans l'organisation de notre groupe, l'Europe est scindée en deux directions régionales distinctes : la première couvre l'Europe de l'Ouest, tandis que la seconde couvre le reste des pays européens, hors Russie ; celle-ci étant considérée comme une région à part entière, à l'instar de la région Pacifique et de la région Afrique.

Debut de section - PermalienPhoto de Gérard Longuet

Vous considérez-vous comme une entreprise d'équipements ou de services qui vend aussi des équipements ? Quelle est la part de services, soit de conception, soit d'hébergement, dans votre chiffre d'affaires ?

Debut de section - Permalien
Weiliang Shi

Notre modèle économique vise à vendre nos infrastructures matérielles, avec un transfert de savoir-faire. Nos services - d'installation, de formation - s'articulent autour de cette activité.

Debut de section - PermalienPhoto de Gérard Longuet

La première question relative à l'actualité est le fait que vous vendez des téléphones en dehors de la Chine dotés du système d'exploitation Android. Pensez-vous qu'il soit possible d'obtenir, en Europe, voire au-dehors de la Chine, des systèmes d'exploitation qui se libéreraient d'Android ?

Debut de section - Permalien
Weiliang Shi

Il n'existe, pour l'heure, que deux systèmes d'exploitation : l'iOS et Android. Pour Huawei, s'il n'est pas difficile de créer un troisième système, il est en revanche plus malaisé d'obtenir l'écosystème des applications, qui est la brique clef. La création d'un nouveau système ne permettrait pas nécessairement de se connecter aux applications existantes sur les autres systèmes. Dès lors, un téléphone doté d'un nouveau système et privé des autres applications ne serait acheté par personne !

Debut de section - PermalienPhoto de Gérard Longuet

Pensez-vous possible de survivre au refus d'un équipement iOS ou Android en Europe ?

Marc Mossé

Dans le même cadre juridique, les mêmes règles s'appliquent.

La réunion est close à 12 h 50.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est close à 12 h 50.

La réunion est ouverte à 14 h 15

Weiliang Shi

Tel n'est pas notre souhait. Notre stratégie est avant tout de nous intégrer à des écosystèmes existants. S'il nous était interdit d'utiliser les systèmes d'exploitation existants, alors il nous faudrait en créer un nouveau, tout en veillant à raccorder les applications issues des écosystèmes préexistants.

Photo de Patrick Chaize

Nous avons auditionné Google qui affirme que l'accès à son système d'exploitation est libre, même si ses mises à jour, notamment de sécurité, ne le sont pas. Si jamais un durcissement de la situation venait à se produire, resteriez-vous dans cet écosystème ou seriez-vous en mesure d'en créer un autre ?

Photo de Franck Montaugé

Notre commission d'enquête poursuit ses travaux avec l'audition de représentants de l'entreprise Cisco France : Laurent Degré, directeur général, Guillaume de Saint Marc, directeur de l'innovation, Jean-Charles Griviaud, responsable cyber-sécurité, Bruno Bernard, directeur des affaires publiques, et Pascale Serot, responsable sécurité et défense. Cette audition est diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite chacun à prêter serment, chacun à votre tour, de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure ».

Conformément à la procédure applicable aux commissions d'enquête, MM. Laurent Degré, Guillaume de Saint Marc, Jean-Charles Griviaud et Bruno Bernard, et Mme Pascale Serot prêtent serment.

Cisco, même si elle n'est pas désignée dans l'acronyme Gafam, fait partie des grandes entreprises américaines du numérique, en tant que fournisseur d'équipements réseaux pour internet. Nous souhaitons vous interroger sur des sujets sensibles, sur lesquels, peut-être, vous pourrez nous rassurer.

Comme l'avait noté notre collègue Catherine Morin-Desailly dans son rapport intitulé L'Europe au secours de l'Internet, l'affaire Snowden a révélé que la National Security Agency (NSA) aurait pu utiliser des équipements Cisco pour espionner les alliés des États-Unis. Pouvez-vous nous assurer que vos équipements, très présents dans les coeurs de réseaux de nos opérateurs télécoms, sont désormais exempts de tout risque ?

La portée extraterritoriale de lois comme le Patriot Act ou, plus récemment, le Cloud Act représente un sujet d'inquiétude. Êtes-vous en mesure de garantir que les données sensibles qui passent par des serveurs de Cisco en Europe ne peuvent pas être saisies par les autorités américaines ? Cisco France a-t-il déjà donné suite à de telles demandes en dehors des procédures de coopération judiciaire ? Comment conciliez-vous les obligations contradictoires découlant des normes américaines et de la législation européenne du Règlement général sur la protection des données (RGPD) ? Pouvez-vous nous rassurer sur le fait que le gouvernement américain ne peut vous contraindre à faire primer l'intérêt des États-Unis sur celui de la France ou de l'Europe ?

Weiliang Shi

L'écosystème représente la clef des systèmes d'exploitation. J'affirme également que le système Android est en open source et Huawei est l'un de ses principaux contributeurs. Le problème réside dans l'utilisation des applications, suite à la décision américaine. Or, personne n'achètera un téléphone privé d'applications !

Laurent Degré, directeur général de Cisco France

C'est pour nous un honneur d'être invités en tant que citoyens et représentants d'une entreprise américaine qui contribue à la transformation numérique des entreprises françaises. Nous sommes venus avec des représentants de la cyber-sécurité, de l'innovation et des relations avec le Gouvernement, pour apporter un maximum d'expertise à nos réponses, dans un souci de transparence. Le débat sur la souveraineté numérique apparaît, en effet, aussi important que complexe ; il interroge les notions de territoire et d'application des lois dans un monde numérique fondé sur l'échange de données, en quelques millisecondes, par-delà les frontières. Le numérique représente une source d'innovation, qu'il convient de préserver lorsqu'il s'agit de réfléchir en termes de régulation, de cloisonnement et de sécurité.

Cisco est une société américaine fondée en 1984, dont l'activité initiale consistait à relier les applications connectées des campus universitaires au démarrage de l'Internet. Ont ainsi été créées les fameuses autoroutes de l'information. L'entreprise compte environ 70 000 salariés, dont 26 000 ingénieurs, dans 164 pays et possède 19 000 brevets. Cisco France emploie 650 collaborateurs et travaille avec 1 200 partenaires, auxquels l'entreprise fournit des solutions numériques. Nous disposons également d'un laboratoire de recherche et développement, placé sous la direction de Guillaume de Saint Marc, et d'un trust office chargé de la transparence, du respect des standards et des relations avec l'Agence nationale de la sécurité des systèmes d'information (Anssi) s'agissant de la mise en conformité et de l'autorisation des produits que nous déployons. Nos clients sont des entreprises de toutes tailles, des administrations et des opérateurs télécom - c'est d'ailleurs grâce à ces derniers clients que nous avons développé nos relations avec l'Anssi. La France possède des champions du numérique, des super-calculateurs et de la cyber-sécurité, des acteurs de confiance qui sont nos partenaires. Nous pouvons en être fiers ! De même, l'Anssi représente un modèle pour l'Europe et pour le monde, grâce à la qualité des ingénieurs et de la certification que beaucoup de pays nous envient. La collaboration avec l'Anssi a contribué à faire progresser nos équipes. Enfin, Cisco investit massivement en France pour développer le réseau des start-up, où les talents sont multiples.

Le RGPD représente un élément important de la souveraineté numérique européenne, comme la directive « E-evidence », qui améliorera la transparence. Nous avons mis en place depuis quelques mois une procédure de réponse aux demandes de l'administration américaine qui pourraient intervenir dans le cadre du Cloud Act. À ce jour, cela ne s'est jamais produit. Dans un tel cas, nous regarderons d'abord où se trouvent les données incriminées. Cisco ne fait pas commerce de la donnée, mais la transporte et la sécurise, tandis que nos partenaires installent des solutions applicatives dans le cloud. Dans la majorité des cas, les données se trouvent donc chez le client : nous n'y avons alors pas accès et l'administration américaine devra nouer relation avec ledit client. Lorsque Cisco hébergera les données concernées, la demande sera traitée au cas par cas après une analyse du type de données et de la pertinence et de la légitimité de la requête. Nos juristes et nos avocats entreront alors dans un dialogue avec l'administration américaine et, le cas échéant, une notification sera envoyée au client.

Photo de Gérard Longuet

Dans un autre secteur tout à fait différent, nous observons que les grands opérateurs du numérique investissent dans les câbles sous-marins de communications électroniques. À l'inverse, votre entreprise a récemment décidé de céder une partie de son activité à Hengtong, un autre acteur chinois du secteur. Pourquoi avoir procédé à une telle cession ?

Photo de Franck Montaugé

La notification ne sera pas envoyée d'emblée au client ?

Weiliang Shi

Notre stratégie s'est focalisée sur ses trois piliers fondateurs : les connectivités, en particulier les technologies mobiles - de la 2G à la 5G, en passant par la fibre optique et les réseaux télécoms -, le stockage des données et les terminaux. Nous nous sommes donc recentrés.

Laurent Degré

Si, dès lors que nous n'avons pas d'interdiction de communiquer l'information au client.

Photo de Gérard Longuet

Vous n'estimez donc pas la propriété des réseaux comme décisifs ?

Photo de Gérard Longuet

Vous êtes à la fois équipementier et hébergeur ?

Weiliang Shi

Tout dépend de la nature des réseaux. Alors que les réseaux télécoms fournissent notre coeur d'activité, le câble sous-marin ne figure plus dans notre stratégie.

Jean-Charles Griviaud, responsable cyber-sécurité de Cisco France

Nous fournissons différents types de solutions principalement comme équipementier, ainsi que certains services pouvant se trouver dans le cloud pour lesquels les données nous seront accessibles. Cela dépend de la demande du client.

Photo de Gérard Longuet

Dans votre présentation, vous avez indiqué que Huawei appartenait pour partie à ses 96 000 salariés, soit près de la moitié de ses personnels. Comment fonctionne une telle démocratie économique au sein de votre entreprise ?

Laurent Degré

Vous avez évoqué l'affaire Snowden. Sachez d'abord que nous ne développons que des produits standards, nous ne développons jamais une plateforme ou un logiciel spécifique pour un client donné.

Jean-Charles Griviaud, responsable cyber-sécurité de Cisco France

Cisco opère dans 160 pays et développe effectivement les mêmes produits quels que soient la localisation géographique et le client destinataire du service

La confiance est devenue un enjeu majeur pour nos clients, sensibilisés par la médiatisation des faits divers et le travail remarquable réalisé par l'Anssi, avec des conséquences sur le niveau d'exigence attendu des fournisseurs. Nous souhaitons donc être identifié, par nos clients, comme un acteur de confiance. À cet effet, notre stratégie s'appuie sur des doctrines de sécurité qui visent à rendre visibles nos procédures industrielles, de la conception à la réalisation des produits, et à disposer de technologies de protection de ces mêmes produits, notamment des éléments physiques d'identité numérique permettant de vérifier l'authenticité d'un équipement matériel comme d'un logiciel. Nos produits sont construits sur des standards ; Cisco est d'ailleurs un important contributeur de l'open source. En cas de vulnérabilité constatée, nous assurons un traitement transparent selon une procédure centralisée auprès d'une équipe unique. Elle qualifie les mesures de correction nécessaires et communique l'information à l'industrie. Les entreprises et les agences ont, par ailleurs, accès à nos bases de vulnérabilité mises régulièrement à jour.

Photo de Gérard Longuet

Le gouvernement chinois, ou les banques chinoises, sont-ils créanciers de l'entreprise ? S'il est vrai que la participation des salariés contribue fortement à la cohésion de la société, elle n'est pas en mesure de soutenir le développement, fortement capitalistique, de vos activités. Comment faîtes-vous pour vous développer en termes de capitaux ?

Jean-Charles Griviaud, responsable cyber-sécurité de Cisco France

Quand une défaillance peut entraîner un acte de malveillance, il s'agit d'une vulnérabilité.

Benjamin Hecker

Les 96 000 salariés sont regroupés dans une coopérative gérée par un comité élu de 115 représentants qui eux-mêmes s'organisent avec un bureau qui gère l'entité. Aujourd'hui, ce comité est l'organe le plus élevé de la société. Il assure la désignation des membres du conseil d'administration et du conseil de surveillance de Huawei.

Photo de Gérard Longuet

Ces vulnérabilités sont découvertes au fil du temps ?

Photo de Gérard Longuet

Sur le financement de ce secteur aux technologies extrêmement évolutives, l'appel aux capitaux extérieurs est une nécessité. Vos salariés, quand bien même ils seraient nombreux et bien payés, ne peuvent soutenir de tels investissements.

Jean-Charles Griviaud, responsable cyber-sécurité de Cisco France

Les vulnérabilités nous sont communiquées par différents canaux - par des tests de régression en interne, par des tests réalisés par nos partenaires sur nos équipements ou par nos clients - et sont ensuite traitées et notifiées de façon centralisée par le computer emergency response team (CERT). Notre trust office peut donner, si nécessaire, des explications plus précises, notamment à l'Anssi.

Le troisième pilier de notre stratégie de transparence concerne la vérification par des audits extérieurs et par des programmes internes d'analyse en profondeur des équipements. Cela permet à une agence ou à un client de contrôler si un équipement est architecturé correctement ou si un service correspond à ses attentes. Nous soumettons aussi nos produits aux autorités de certification, soit l'Anssi en France - nous travaillons également avec l'Agence dans le cadre du régime d'autorisation prévu par l'article R. 226-3 du code pénal. Les certifications internationales permettent d'éviter de dupliquer les efforts et de simplifier la gestion. Certains produits, comme nos routeurs ou nos switchs, ne sont pas soumis aux certifications, mais sont utilisés par des opérateurs d'importance vitale dans leurs infrastructures ; nous sommes donc disponibles pour renseigner les clients, ainsi que l'Anssi, sur les modalités de leur fabrication.

Benjamin Hecker

En effet, la société s'autofinance, en réinvestissant ses revenus dans son développement. Néanmoins, 70 à 80 % des banques qui nous soutiennent sont d'origine non chinoise, parmi lesquelles se trouvent des banques françaises.

Photo de Franck Montaugé

Vous faites allusion à la norme internationale ISO 27000 ?

Photo de Franck Montaugé

Compte tenu de l'organisation politique souveraine qui est la vôtre, le Parti communiste chinois est présent dans chaque entreprise et influence le choix de ses dirigeants qui peuvent par ailleurs être élus. Huawei fait-elle exception par rapport à cette règle ?

Jean-Charles Griviaud, responsable cyber-sécurité de Cisco France

Notamment, car il existe différents types de certification : par entreprise, comme la norme ISO, ou par produits. Notre mission consiste à répondre aux besoins de certification de nos clients.

Weiliang Shi

La loi chinoise oblige les entreprises à avoir un comité du Parti en son sein. Huawei ne fait pas exception. Celui-ci joue un rôle analogue à celui d'un comité d'entreprise en France et ne prend pas part à la décision stratégique.

Photo de Stéphane Piednoir

Pourriez-vous nous fournir un éclairage complémentaire sur les structures qui centralisent les vulnérabilités ? Quel est leur niveau de protection ?

En 2015, Cisco a passé un accord avec le gouvernement français, portant notamment sur un investissement de 200 millions de dollars dans des start-up françaises. Quel montant a été réellement investi par votre entreprise ? Avez-vous pris des participations minoritaires ou majoritaires dans ces sociétés ? En janvier, votre groupe a promis un nouvel investissement à hauteur de 61 millions d'euros. Qu'en est-il ?

Photo de Gérard Longuet

Je reviens sur le rôle de l'État chinois. Le département d'État aux États-Unis est un acteur du secteur des hautes technologies, en agissant sous forme d'achats préférentiels ou de subventions. Comme j'ai pu le constater comme ministre de l'industrie ou de la défense, les entreprises françaises savent également se tourner vers l'État pour obtenir des soutiens et des financements. Ma question est importante : Huawei s'efforce-t-elle, comme les autres entreprises américaines ou françaises, de bénéficier des subventions, de ligne de crédits ou d'achats prioritaires de son propre gouvernement ? Ce ne serait pas choquant, puisque les autres pays le font.

Jean-Charles Griviaud, responsable cyber-sécurité de Cisco France

Notre point de contact direct, lorsqu'un défaut apparaît, est le centre opérationnel de l'Anssi qui gère les relations avec le CERT. Celui-ci représente, au niveau d'un pays, un guichet unique pour le recensement des vulnérabilités et l'émission de recommandations. C'est un organisme de confiance. Il existe également un CERT européen. Nous souhaitons communiquer sur les vulnérabilités car, en matière de sécurité, le partage des informations fonctionne mieux que l'obscurité.

Weiliang Shi

Nos produits sont destinés uniquement à l'usage civil et sont ainsi développés selon des standards civils. Ils ne sont donc pas voués à équiper la défense chinoise. Nous participons ainsi à la définition des normes du 3GPP et du GSM Association (GSMA) uniquement pour le secteur civil.

Laurent Degré

La communication sur ces vulnérabilités s'organise sans aucun favoritisme pour une entreprise ou une administration donnée.

S'agissant des investissements, nous avons lancé un programme pluriannuel pour soutenir les nombreux talents français et stimuler l'innovation dans le secteur numérique. Nous avons ainsi investi au travers de fonds - comme Partech ou Idinvest - qui ont sélectionné les start-up en fonction de critères. Via la Cisco Networking Academy, nous avons également formé, depuis 2015, plus de 180 000 personnes aux métiers du numérique - sans se limiter uniquement aux produits Cisco - dans le cadre des programmes universitaires, des écoles d'ingénieurs, des centres de formation des apprentis (CFA) et des collèges. Il est très important de sensibiliser nos jeunes aux notions de cyber-sécurité et de souveraineté, et aux avantages et inconvénients du numérique. Par ailleurs, nous avons directement investi dans quelques start-up, comme Actility qui intervient dans le secteur des objets connectés. Enfin, nous avons créé une chaire avec l'école Polytechnique dans les domaines de la formation et du développement.

Photo de Gérard Longuet

Les pouvoirs publics chinois sont-ils vos clients ?

Guillaume de Saint Marc, directeur de l'innovation de Cisco France

Le Lab Cisco a été inauguré en octobre 2015 par Emmanuel Macron, alors ministre de l'économie. Depuis, les investissements ont été maintenus et intensifiés. Avec la Cisco Networking Academy, nous visons un effet quantitatif de formation des personnes à des technologies standards. Le Lab vise davantage un effet qualitatif ; depuis le début de l'année 2019, trois jeunes doctorant en sont sortis, dotés du diplôme de Polytechnique et de l'école d'application Télécom ParisTech. Ces ingénieurs font partie de l'élite mondiale en matière de réseau et nous sommes heureux que l'un d'entre eux ait intégré notre société.

En ce qui concerne les investissements dans les start-up, nous avions reçu, en 2015, le message clair que leur développement constituait un enjeu national. Nous avons investi via des fonds - ceux déjà cités mais aussi le Paris-Saclay Seed Fund, directement, comme dans la société Actility précitée. Nous avons également l'intention d'acquérir la société Sentryo. Pour autant, notre objectif est davantage de collaborer de manière complémentaire avec les start-up que de les racheter : nous pouvons leur proposer l'accès à des opportunités commerciales, tandis qu'elles nous permettent d'augmenter notre portefeuille de produits avec des solutions pointues.

Weiliang Shi

Ils peuvent l'être, en achetant les serveurs et les capacités de stockage pour leur utilisation, avec les standards civils. Nous ne concevons pas d'équipements spécifiquement destinés aux pouvoirs publics. En outre, nous ne bénéficions d'aucune subvention du gouvernement chinois ou de la banque chinoise.

Photo de Franck Montaugé

Je crois savoir que vous essayez d'innover en appuyant votre développement de la 5G sur le réseau 4G existant avec, notamment, des objectifs de déploiement en zone rurale. Pourriez-vous nous en dire davantage ?

Photo de Pierre Ouzoulias

Sur un plan géostratégique, nous avons l'impression que deux grands blocs se constituent et ce, pour des motifs essentiellement capitalistiques : l'un autour des Gafam, soutenus par le gouvernement américain - qui n'hésite à brandir des menaces de représailles économiques à l'occasion notamment de l'annonce, par Paris, du projet de taxer ces Gafam - et un autre qui rassemble les autres acteurs du numérique. L'Europe semble ainsi être le champ de bataille de ces deux blocs, comme nous ne pouvons que le constater, en raison de la modicité de nos investissements dans la technologie numérique qui nous prive des premiers rôles dans ce secteur. D'ailleurs, nous le regrettons tous collectivement et c'est sans doute l'une des raisons de la constitution de cette commission ! Dans ce conflit qui touche l'Europe, estimez-vous que le RGPD, l'open source et l'interopérabilité, fournissent des moyens de défense contre les Gafam et l'opportunité de proposer aux consommateurs européens un modèle numérique concurrentiel offrant une sécurité accrue par rapport à ce que proposent les Gafam ?

Guillaume de Saint Marc, directeur de l'innovation de Cisco France

Le projet auquel vous faites référence a été développé sur le territoire anglais. Il s'agit d'un pilote visant à modéliser le déploiement de la 5G. De fait, la 5G représente probablement la première technologie mobile cellulaire qui ne sera pas principalement financée et justifiée économiquement par le grand public, mais par la numérisation des entreprises. L'enjeu consiste donc à mettre la 5G à leur service. C'est le sens de l'appel à projets lancé par le gouvernement britannique, que nous avons gagné avec un consortium. En travaillant sur les seuls secteurs du tourisme, de l'agriculture, de l'énergie et des transports, il s'agissait de trouver un modèle économique pour le déploiement de la 5G dans les territoires ruraux. Des expérimentations techniques ont eu lieu et nous attendons les modélisations économiques confiées à des universités. Le projet semble effectivement prometteur, raison pour laquelle nous l'avons présenté au salon Vivatech.

Weiliang Shi

Personne n'aime la guerre économique et ou numérique pour investir. Nous investissons, notamment en France où, depuis 2003, nous avons créé trois bureaux de recherche, dans le coeur de nos activités, ainsi qu'un Open Lab qui permet de travailler avec nos clients et partenaires en faveur de l'innovation. Nous allons ainsi poursuivre nos investissements, comme l'a annoncé notre président Ken Hu, à hauteur de 35 millions de dollars dans cet Open Lab.

Laurent Degré

S'il était besoin d'évaluer davantage ce type de plateforme, nous le ferions volontiers.

Benjamin Hecker

Il est sans doute opportun de changer de modèle et d'assurer une plus grande protection des données. De ce fait, Huawei a décidé d'appliquer les règles du RGDP et d'en faire un standard au niveau mondial. Nous appliquons donc les programmes de conformité indistinctement dans nos différentes filiales. Nous pensons que le RGPD, à l'instar de la loi de 1978, est un formidable levier pour protéger les consommateurs et leurs données, dans leur transit à travers des réseaux ou des applications. La protection des données dépasse la simple obligation légale pour participer à la responsabilité sociale de l'entreprise, au même titre que les problématiques éthiques. Huawei est principalement un fournisseur d'équipements. Il importe donc que leur niveau de sécurité assure la protection des données de nos clients. En ce sens, nous avons mis en place des procédures très strictes de développement, autour notamment de la notion de « privacy by design » qui vous est familière. Cette dernière, qui est l'un des éléments du RGPD, permet, dès la réflexion à l'origine de la conception d'un équipement, de prendre en compte la problématique de la protection des données et de l'intégrer à ce stade. C'est pour nous une chance, en tant qu'entreprise chinoise implantée dans différents pays et notamment en Europe.

Photo de Gérard Longuet

Quel est le pourcentage de votre chiffre d'affaires réalisé dans les différentes régions du monde ? Quels sont, pour vous, les pays leaders ?

Photo de Gérard Longuet

Je suis votre raisonnement. Quel type de certifications mettez-vous en oeuvre pour épauler cette démarche ?

Gwenaël Rouillec, directeur de la cybersécurité. - Tous nos produits, en grande partie, sont certifiés « critères communs. » Si nous appliquons déjà toutes les normes européennes, nous avons, avec l'Anssi, engagé des démarches en vue d'obtenir des certifications de sécurité de premier niveau (CSPN) pour les produits 5G qui vont arriver demain. Sur l'open source, qui est utilisée par Huawei dans la conception de ses produits, dans un souci de transparence et de conformité, la finalité demeure nos clients, au-delà des fournisseurs que nous choisissons.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est close à 17 heures.

Laurent Degré

Schématiquement, 60 % de notre chiffre d'affaires provient de l'Amérique du Nord, où est installée la majorité des équipes d'ingénieurs et de développement ; vient ensuite la zone constituée par l'Europe, le Proche et le Moyen-Orient et la Russie, puis la zone Asie et Pacifique. En Europe, les pays moteurs pour le chiffre d'affaires sont l'Allemagne et la Grande-Bretagne, suivies de la France. Notre pays se situe toutefois en tête en matière d'innovation et de recherche : le Lab français représente près d'un quart des ressources en la matière.

La réunion est close à 15 heures.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

Debut de section - PermalienPhoto de Franck Montaugé

Notre commission d'enquête poursuit ses travaux avec l'audition de représentants de l'entreprise Huawei France : MM. Weiliang Shi, directeur général, Benjamin Hecker, directeur juridique et de la protection des données, et Gwenaël Rouillec, directeur de la cybersécurité.

Cette audition est diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite donc, à tour de rôle, à prêter serment de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure.». Conformément à la procédure applicable aux commissions, M. Weiliang Shi prête serment.

Debut de section - PermalienPhoto de Franck Montaugé

Monsieur Shi, vous êtes directeur général de la filiale française de Huawei, l'un des géants chinois du numérique avec Baidu, Alibaba, Tencent et Xiaomi. Présente dans les équipements réseaux, mais aussi dans les smartphones ou dans le Cloud, l'entreprise connaît une croissance impressionnante et emploie aujourd'hui nombre de nos concitoyens. Elle est actuellement au coeur de la guerre technologique que se font les États-Unis et la Chine. Notre commission ne pouvait donc faire l'impasse sur votre audition.

Nous devons vous interroger sur des sujets, sur lesquels, peut-être, vous pourrez nous rassurer, alors que nous devrions adopter ce mois-ci définitivement la proposition de loi sur la sécurité des réseaux « 5G » - ce texte, je le rappelle, ne vise aucune entreprise en particulier mais fixe plutôt un cadre général pour garantir la confiance dans la technologie.

La question des liens de votre entreprise avec le Gouvernement chinois ne cesse de défrayer la chronique. Deux points ont particulièrement émergé dans le débat public : qui détient l'entreprise et quel est l'impact de la loi chinoise de 2017 sur le renseignement.

Sur le premier point - qui détient l'entreprise -, dans un article publié en avril dernier, deux chercheurs américains ont montré que la holding de votre entreprise est détenue à 1% par son fondateur Ren Zhengfei et à 99% par une entité appelée « comité syndical », dont on sait peu de choses. Ces chercheurs en tirent la conclusion selon laquelle, au vu du rôle que jouent les syndicats en Chine, Huawei pourrait être considérée comme contrôlée par l'État - ils parlent au conditionnel. Ils affirment, en revanche, qu'il est clair que Huawei n'est pas détenue par ses salariés, lesquels détiennent seulement ce qui est assimilable à un régime d'intéressement et de participation aux bénéfices. Pouvez-vous nous éclairer sur ce point important : qui détient le pouvoir de décision in fine dans l'entreprise Huawei ?

Le second point porte sur la loi chinoise sur le renseignement de 2017, qui génère les mêmes inquiétudes que le Cloud Act aux États-Unis. Son article 14 dispose notamment que les services de renseignement chinois peuvent requérir la coopération de tout citoyen chinois et de toute organisation. Êtes-vous en mesure de garantir que les données qui passent par vos équipements et vos serveurs ne seront pas utilisées par le Gouvernement chinois ? Si vous - en tant que personne physique ou en tant que personne morale - recevez une requête d'assistance du Gouvernement chinois, comment pouvez-vous la refuser ? Ces obligations sont-elles compatibles avec les normes européennes telles que le règlement général sur la protection des données (RGPD) ?

Debut de section - Permalien
Weiliang Shi

Nous vous remercions vivement de nous recevoir dans le cadre des travaux de la commission d'enquête sur la souveraineté numérique. C'est avec plaisir que nous avons accueilli votre invitation à participer à cette audition qui sera, je l'espère, l'occasion de faire tomber quelques barrières.

Je débuterai mon propos par une rapide présentation des activités de notre groupe. Comme vous le savez, Huawei est le leader mondial des équipements télécoms et le deuxième fabricant de smartphones. Basé à Shenzhen, le groupe, créé en 1987, compte aujourd'hui près de 190 000 employés dans plus de 170 pays. Huawei est une entreprise 100% privée, détenue par plus de 96 000 de ses employés et son fondateur, qui ne dispose que de 1,14% des parts de l'entreprise, selon un modèle coopératif.

S'agissant de la filiale française, Huawei Technologies France est une société par actions simplifiée unipersonnelle inscrite au registre de commerce de Nanterre. En France depuis 2003, Huawei emploie près de 1000 personnes réparties entre différents sites implantés à Boulogne Billancourt, Paris, Nice, Lyon et Grenoble. Les activités sont principalement commerciales, mais nous disposons aussi de centres de recherche et développement spécialisés en design, en traitement de l'image, en mathématiques, en standardisation et en capteurs.

L'ADN de Huawei est la recherche et l'innovation. La première valeur de l'entreprise est le client. Spécialisée dans les nouvelles technologies, notre activité ne peut exister ni se pérenniser sans cybersécurité. C'est pourquoi nous appliquons à tous nos produits et procédures les standards internationaux les plus élevés en matière de sécurité, et imposons à tous nos collaborateurs à travers le monde le respect de règles de sécurité et de conformité extrêmement strictes, dont le RGPD est l'un de nos standards au niveau mondial.

Huawei investit 15 % de son chiffre d'affaires annuel dans la recherche et le développement : en 2018, cela représentait près de 13 milliards d'euros.

La stratégie commerciale de Huawei n'est pas fondée sur des acquisitions d'entreprises. Au contraire, elle est basée sur le développement d'écosystèmes à travers le monde, le transfert de notre savoir-faire et la volonté de nous implanter durablement.

Si nous sommes plus compétitifs, c'est parce que nous permettons à nos clients de faire des économies d'échelle en utilisant des produits très innovants adaptés à leurs besoins. Huawei est un acteur de la souveraineté numérique des pays dans lesquels nos matériels sont installés. Nous développons, en effet, des produits adaptés aux demandes des clients, appliquant les standards de sécurité les plus élevés, respectant les normes de chaque pays dans lesquels ils sont installés. Nous incitons aussi nos clients, publics comme privés, à assurer un niveau de sécurité élevé des matériels et réseaux qu'ils opèrent. J'attire, par ailleurs, votre attention sur le fait que Huawei est l'entreprise dont les matériels ont été le plus testés à travers le monde, tant en matière de certification, que par des tests menés par nos clients.

Contrairement à ce qui a pu être dit ou sous-entendu, Huawei a toujours joué la carte de la transparence et compte bien tenir cette ligne de conduite. Il nous appartient de rassurer les pouvoirs publics sur la qualité et la sécurité de nos matériels, comme de nos services. C'est pourquoi nous avons ouverts plusieurs centres de test, le dernier à Bruxelles, afin de permettre aux agences étatiques et à nos clients de pouvoir vérifier et tester nos codes sources.

En outre, Huawei contribue de manière inclusive et transparente avec tous les acteurs du secteur à l'amélioration des standards internationaux. Huawei collabore en effet activement aux travaux du 3GPP (3rd Generation Partnership Project), et échange régulièrement avec les services de l'Agence nationale des fréquences, de l'Autorité de régulation des communications électroniques et des postes ou encore de l'Agence nationale de la sécurité des systèmes d'information (Anssi) et de la direction générale des entreprises.

Notre volonté est de favoriser l'éclosion d'un écosystème de start-ups françaises qui seront, selon nous, les acteurs de la souveraineté numérique de la France de demain. Contrairement à nombres d'acteurs des nouvelles technologies, notre activité n'est pas fondée sur la cession des données à des fins commerciales. Au contraire, Huawei propose des briques technologiques innovantes qui permettent aux acteurs du numérique de pouvoir les intégrer dans les solutions qu'ils développent eux-mêmes.

Vous l'aurez compris, Huawei est un acteur majeur des nouvelles technologies tant au niveau mondial qu'en France. C'est la raison pour laquelle nous signerons dans les tous prochains jours l'Appel de Paris pour la confiance et la sécurité dans le cyberespace.

Accompagné de Gwénaël Rouillec, directeur de la cybersécurité, et Benjamin Hecker, directeur juridique et protection des données de Huawei France, je serais heureux de répondre à vos questions. Je vous remercie de votre attention.

Debut de section - Permalien
Benjamin Hecker

Nous vous remercions de votre question sur la loi de 2017 pour l'analyse de laquelle nous avons missionné plusieurs cabinets d'avocats. Cette loi est liée aux impératifs de sécurité nationale définis par le Gouvernement chinois ; elle a donc vocation à s'appliquer strictement en Chine. À l'inverse du Cloud Act qui présente des effets extraterritoriaux, cette loi s'applique indistinctement à tout individu ou à toute organisation uniquement implantée en Chine, quelle que soit sa nationalité. Il lui est ainsi demandé de collaborer à des enquêtes dont l'objet porte sur des impératifs de sécurité nationale. La demande d'informations sur nos clients français par le Gouvernement, que vous évoquez dans votre question, n'existe donc pas. Elle n'est nullement prévue dans le texte de la loi de 2017, comme nous le confirment d'ailleurs les analyses de ces cabinets d'avocats. Nous nous félicitons également de la récente confirmation, par le premier ministre chinois lui-même, de l'absence d'effet extraterritorial des dispositions de la loi de 2017. Celui-ci a en outre précisé que les individus situés en dehors de la Chine ne devaient pas collaborer à des enquêtes se déroulant en Chine.

Debut de section - Permalien
Weiliang Shi

Nous n'avons jamais reçu, ni du groupe lui-même ou du gouvernement chinois, de demande de transfert de données. D'ailleurs, nous ne pourrions l'accepter, puisque nous n'appliquons que la loi française.

Debut de section - PermalienPhoto de Gérard Longuet

Je souhaiterais mieux comprendre l'entreprise Huawei qui est un remarquable succès mondial. Quelles sont les parts respectives du chiffre d'affaires de votre groupe réalisées en Chine et à l'international ?

Debut de section - Permalien
Weiliang Shi

En 2018, le chiffre d'affaires global a atteint 108 milliards de dollars, dont la moitié est issue de nos activités extérieures à la Chine.

Debut de section - PermalienPhoto de Gérard Longuet

Quelle part représente l'Europe dans ce chiffre d'affaires ?

Debut de section - Permalien
Weiliang Shi

Dans l'organisation de notre groupe, l'Europe est scindée en deux directions régionales distinctes : la première couvre l'Europe de l'Ouest, tandis que la seconde couvre le reste des pays européens, hors Russie ; celle-ci étant considérée comme une région à part entière, à l'instar de la région Pacifique et de la région Afrique.

Debut de section - PermalienPhoto de Gérard Longuet

Vous considérez-vous comme une entreprise d'équipements ou de services qui vend aussi des équipements ? Quelle est la part de services, soit de conception, soit d'hébergement, dans votre chiffre d'affaires ?

Debut de section - Permalien
Weiliang Shi

Notre modèle économique vise à vendre nos infrastructures matérielles, avec un transfert de savoir-faire. Nos services - d'installation, de formation - s'articulent autour de cette activité.

Debut de section - PermalienPhoto de Gérard Longuet

La première question relative à l'actualité est le fait que vous vendez des téléphones en dehors de la Chine dotés du système d'exploitation Android. Pensez-vous qu'il soit possible d'obtenir, en Europe, voire au-dehors de la Chine, des systèmes d'exploitation qui se libéreraient d'Android ?

Debut de section - Permalien
Weiliang Shi

Il n'existe, pour l'heure, que deux systèmes d'exploitation : l'iOS et Android. Pour Huawei, s'il n'est pas difficile de créer un troisième système, il est en revanche plus malaisé d'obtenir l'écosystème des applications, qui est la brique clef. La création d'un nouveau système ne permettrait pas nécessairement de se connecter aux applications existantes sur les autres systèmes. Dès lors, un téléphone doté d'un nouveau système et privé des autres applications ne serait acheté par personne !

Debut de section - PermalienPhoto de Gérard Longuet

Pensez-vous possible de survivre au refus d'un équipement iOS ou Android en Europe ?

Debut de section - Permalien
Weiliang Shi

Tel n'est pas notre souhait. Notre stratégie est avant tout de nous intégrer à des écosystèmes existants. S'il nous était interdit d'utiliser les systèmes d'exploitation existants, alors il nous faudrait en créer un nouveau, tout en veillant à raccorder les applications issues des écosystèmes préexistants.

Debut de section - PermalienPhoto de Patrick Chaize

Nous avons auditionné Google qui affirme que l'accès à son système d'exploitation est libre, même si ses mises à jour, notamment de sécurité, ne le sont pas. Si jamais un durcissement de la situation venait à se produire, resteriez-vous dans cet écosystème ou seriez-vous en mesure d'en créer un autre ?

Debut de section - Permalien
Weiliang Shi

L'écosystème représente la clef des systèmes d'exploitation. J'affirme également que le système Android est en open source et Huawei est l'un de ses principaux contributeurs. Le problème réside dans l'utilisation des applications, suite à la décision américaine. Or, personne n'achètera un téléphone privé d'applications !

Debut de section - PermalienPhoto de Gérard Longuet

Dans un autre secteur tout à fait différent, nous observons que les grands opérateurs du numérique investissent dans les câbles sous-marins de communications électroniques. À l'inverse, votre entreprise a récemment décidé de céder une partie de son activité à Hengtong, un autre acteur chinois du secteur. Pourquoi avoir procédé à une telle cession ?

Debut de section - Permalien
Weiliang Shi

Notre stratégie s'est focalisée sur ses trois piliers fondateurs : les connectivités, en particulier les technologies mobiles - de la 2G à la 5G, en passant par la fibre optique et les réseaux télécoms -, le stockage des données et les terminaux. Nous nous sommes donc recentrés.

Debut de section - PermalienPhoto de Gérard Longuet

Vous n'estimez donc pas la propriété des réseaux comme décisifs ?

Debut de section - Permalien
Weiliang Shi

Tout dépend de la nature des réseaux. Alors que les réseaux télécoms fournissent notre coeur d'activité, le câble sous-marin ne figure plus dans notre stratégie.

Debut de section - PermalienPhoto de Gérard Longuet

Dans votre présentation, vous avez indiqué que Huawei appartenait pour partie à ses 96 000 salariés, soit près de la moitié de ses personnels. Comment fonctionne une telle démocratie économique au sein de votre entreprise ?

M. Weiliang Shi. - L'entreprise est détenue à la fois par ses employés et son fondateur, lequel n'en possède qu'1,14 %. Elle est donc à 100 % privée. Le gouvernement chinois ne dispose ainsi d'aucun pouvoir ni d'aucune action dans Huawei.

Debut de section - PermalienPhoto de Gérard Longuet

Le gouvernement chinois, ou les banques chinoises, sont-ils créanciers de l'entreprise ? S'il est vrai que la participation des salariés contribue fortement à la cohésion de la société, elle n'est pas en mesure de soutenir le développement, fortement capitalistique, de vos activités. Comment faîtes-vous pour vous développer en termes de capitaux ?

Debut de section - Permalien
Benjamin Hecker

Les 96 000 salariés sont regroupés dans une coopérative gérée par un comité élu de 115 représentants qui eux-mêmes s'organisent avec un bureau qui gère l'entité. Aujourd'hui, ce comité est l'organe le plus élevé de la société. Il assure la désignation des membres du conseil d'administration et du conseil de surveillance de Huawei.

Debut de section - PermalienPhoto de Gérard Longuet

Sur le financement de ce secteur aux technologies extrêmement évolutives, l'appel aux capitaux extérieurs est une nécessité. Vos salariés, quand bien même ils seraient nombreux et bien payés, ne peuvent soutenir de tels investissements.

Debut de section - Permalien
Benjamin Hecker

En effet, la société s'autofinance, en réinvestissant ses revenus dans son développement. Néanmoins, 70 à 80 % des banques qui nous soutiennent sont d'origine non chinoise, parmi lesquelles se trouvent des banques françaises.

Debut de section - PermalienPhoto de Franck Montaugé

Compte tenu de l'organisation politique souveraine qui est la vôtre, le Parti communiste chinois est présent dans chaque entreprise et influence le choix de ses dirigeants qui peuvent par ailleurs être élus. Huawei fait-elle exception par rapport à cette règle ?

Debut de section - Permalien
Weiliang Shi

La loi chinoise oblige les entreprises à avoir un comité du Parti en son sein. Huawei ne fait pas exception. Celui-ci joue un rôle analogue à celui d'un comité d'entreprise en France et ne prend pas part à la décision stratégique.

Debut de section - PermalienPhoto de Gérard Longuet

Je reviens sur le rôle de l'État chinois. Le département d'État aux États-Unis est un acteur du secteur des hautes technologies, en agissant sous forme d'achats préférentiels ou de subventions. Comme j'ai pu le constater comme ministre de l'industrie ou de la défense, les entreprises françaises savent également se tourner vers l'État pour obtenir des soutiens et des financements. Ma question est importante : Huawei s'efforce-t-elle, comme les autres entreprises américaines ou françaises, de bénéficier des subventions, de ligne de crédits ou d'achats prioritaires de son propre gouvernement ? Ce ne serait pas choquant, puisque les autres pays le font.

Debut de section - Permalien
Weiliang Shi

Nos produits sont destinés uniquement à l'usage civil et sont ainsi développés selon des standards civils. Ils ne sont donc pas voués à équiper la défense chinoise. Nous participons ainsi à la définition des normes du 3GPP et du GSM Association (GSMA) uniquement pour le secteur civil.

Debut de section - Permalien
Weiliang Shi

Ils peuvent l'être, en achetant les serveurs et les capacités de stockage pour leur utilisation, avec les standards civils. Nous ne concevons pas d'équipements spécifiquement destinés aux pouvoirs publics. En outre, nous ne bénéficions d'aucune subvention du gouvernement chinois ou de la banque chinoise.

Debut de section - PermalienPhoto de Pierre Ouzoulias

Sur un plan géostratégique, nous avons l'impression que deux grands blocs se constituent et ce, pour des motifs essentiellement capitalistiques : l'un autour des Gafam, soutenus par le gouvernement américain - qui n'hésite à brandir des menaces de représailles économiques à l'occasion notamment de l'annonce, par Paris, du projet de taxer ces Gafam - et un autre qui rassemble les autres acteurs du numérique. L'Europe semble ainsi être le champ de bataille de ces deux blocs, comme nous ne pouvons que le constater, en raison de la modicité de nos investissements dans la technologie numérique qui nous prive des premiers rôles dans ce secteur. D'ailleurs, nous le regrettons tous collectivement et c'est sans doute l'une des raisons de la constitution de cette commission ! Dans ce conflit qui touche l'Europe, estimez-vous que le RGPD, l'open source et l'interopérabilité, fournissent des moyens de défense contre les Gafam et l'opportunité de proposer aux consommateurs européens un modèle numérique concurrentiel offrant une sécurité accrue par rapport à ce que proposent les Gafam ?

Debut de section - Permalien
Weiliang Shi

Personne n'aime la guerre économique et ou numérique pour investir. Nous investissons, notamment en France où, depuis 2003, nous avons créé trois bureaux de recherche, dans le coeur de nos activités, ainsi qu'un Open Lab qui permet de travailler avec nos clients et partenaires en faveur de l'innovation. Nous allons ainsi poursuivre nos investissements, comme l'a annoncé notre président Ken Hu, à hauteur de 35 millions de dollars dans cet Open Lab.

Debut de section - Permalien
Benjamin Hecker

Il est sans doute opportun de changer de modèle et d'assurer une plus grande protection des données. De ce fait, Huawei a décidé d'appliquer les règles du RGDP et d'en faire un standard au niveau mondial. Nous appliquons donc les programmes de conformité indistinctement dans nos différentes filiales. Nous pensons que le RGPD, à l'instar de la loi de 1978, est un formidable levier pour protéger les consommateurs et leurs données, dans leur transit à travers des réseaux ou des applications. La protection des données dépasse la simple obligation légale pour participer à la responsabilité sociale de l'entreprise, au même titre que les problématiques éthiques. Huawei est principalement un fournisseur d'équipements. Il importe donc que leur niveau de sécurité assure la protection des données de nos clients. En ce sens, nous avons mis en place des procédures très strictes de développement, autour notamment de la notion de « privacy by design » qui vous est familière. Cette dernière, qui est l'un des éléments du RGPD, permet, dès la réflexion à l'origine de la conception d'un équipement, de prendre en compte la problématique de la protection des données et de l'intégrer à ce stade. C'est pour nous une chance, en tant qu'entreprise chinoise implantée dans différents pays et notamment en Europe.

Debut de section - PermalienPhoto de Gérard Longuet

Je suis votre raisonnement. Quel type de certifications mettez-vous en oeuvre pour épauler cette démarche ?

Gwenaël Rouillec, directeur de la cybersécurité. - Tous nos produits, en grande partie, sont certifiés « critères communs. » Si nous appliquons déjà toutes les normes européennes, nous avons, avec l'Anssi, engagé des démarches en vue d'obtenir des certifications de sécurité de premier niveau (CSPN) pour les produits 5G qui vont arriver demain. Sur l'open source, qui est utilisée par Huawei dans la conception de ses produits, dans un souci de transparence et de conformité, la finalité demeure nos clients, au-delà des fournisseurs que nous choisissons.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est close à 17 heures.