Notre commission d'enquête poursuit ses travaux avec l'audition de MM. Thomas Courbe et Mathieu Weill. Cette audition sera diffusée en direct sur le site Internet du Sénat et fera l'objet d'un compte rendu publié. Je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal.

Conformément à la procédure applicable aux commissions d'enquête, MM. Thomas Courbe et Mathieu Weill prêtent serment.

En vos qualités respectives de directeur général des entreprises et chef du service de l'économie numérique de cette direction, au sein du ministère de l'économie et des finances, vos services sont chargés de la réglementation du numérique et de la conception et de la mise en oeuvre des politiques industrielle et d'innovation. Ils produisent donc de la norme, mais ils mettent également en oeuvre des politiques publiques.

De plus, monsieur Courbe, en tant que commissaire à l'information stratégique et à la sécurité économique (« Cissé »), vous êtes chargé de la politique de sécurité économique. Comme le rappelle le décret du 20 mars 2019 relatif à la gouvernance de la politique de sécurité économique, votre mission à ce titre « inclut la défense de la souveraineté numérique ».

Je commencerai donc par vous demander comment vous appréhendez cette notion de souveraineté numérique et, en tant que Cissé, quel est votre plan de bataille sur ce sujet.

S'agissant de la conduite de la politique économique et industrielle, il semble que la notion de souveraineté suppose qu'un État soit souverain sur les technologies clés de l'ensemble de la chaîne du numérique. Le Président de la République a lancé une stratégie nationale au printemps 2018 sur l'une d'entre elles : l'intelligence artificielle. À ce jour, quelle est la feuille de route de la direction générale des entreprises (DGE)sur le sujet ? Où en est la réflexion relative à la création de « communs des données » par secteur économique ?

Le Gouvernement essaie aujourd'hui de créer, avec l'Allemagne, un géant européen des batteries. Menez-vous également des réflexions sur de potentiels géants à faire émerger sur l'ensemble des couches numériques ?

Merci de votre invitation. Avec la numérisation de l'économie, la souveraineté numérique est devenue une part importante de la souveraineté économique. Elle se définit par la capacité d'un pays à maintenir son indépendance dans le monde numérique grâce à deux leviers principaux.

Le premier consiste à définir des règles répondant à un objectif de souveraineté économique en matière de sécurité, de valeurs et de partage de la valeur dans l'économie. Le second consiste à maîtriser les technologies.

La production de règles s'applique d'abord à la sécurité. La DGE a ainsi pris des mesures pour les interceptions légales dans le cadre des objectifs de sécurité et pour la sécurité des infrastructures de télécommunications. C'est un sujet d'actualité au niveau mondial, en particulier avec l'arrivée de la 5G qui va rendre les réseaux beaucoup plus critiques qu'auparavant. En imposant un régime d'autorisation des équipements déployés par les opérateurs, la proposition de loi en cours de discussion sur la sécurité de ces réseaux, sera, si elle est adoptée, une contribution essentielle à notre souveraineté numérique.

La DGE contribue également à la réflexion sur un enjeu relatif aux valeurs fondamentales de notre société appliquées au domaine numérique. Le Président de la République a missionné une équipe pour travailler avec Facebook à des recommandations de régulation des plateformes en ligne. Ses conclusions nous semblent pertinentes et applicables à d'autres champs, en particulier au champ économique.

En effet, la régulation doit permettre d'assurer un partage équitable de la valeur, car le numérique se caractérise par une concentration de celle-ci dans les mains d'un petit nombre d'acteurs qui, à la faveur des effets de réseau, acquièrent une dimension systémique. Le débat sur la régulation a lieu à la fois aux niveaux français, européen et mondial. La présidence française du G7 a ainsi porté certaines propositions dans ce domaine.

Quant à la maîtrise des technologies, second volet de la souveraineté numérique, elle repose en premier lieu sur une politique industrielle du numérique consistant à soutenir les acteurs susceptibles de les développer. La France a un écosystème de l'innovation très riche ; nous nous efforçons de le stimuler en aidant les entreprises à grossir. Le nombre de licornes, ces start ups dont la valorisation est supérieure à un milliard d'euros, a augmenté significativement, mais il reste insuffisant. Nous travaillons à l'accompagnement des entreprises les plus prometteuses, à leur financement pour les aider à atteindre une taille critique et à l'attraction des talents.

En second lieu, l'objectif de maîtrise des technologies repose sur une politique industrielle ciblée sur les technologies identifiées comme essentielles. Première de ces technologies, les semi-conducteurs, secteur dans lequel le maintien d'acteurs de dimension internationale est essentiel. C'est un point traité dans le plan Nano 2022. Deuxième secteur identifié, le super-calcul, élément important de la souveraineté numérique, dont Atos est l'un des leaders et participe au programme européen EuroHPC. Le troisième secteur est l'intelligence artificielle. Le volet économique de la stratégie nationale sera présenté le 3 juillet par le ministère de l'économie et des finances et le secrétariat d'État au numérique.

Dans le cadre du Pacte productif 2025, nous cherchons à compléter l'identification des technologies clés au-delà des domaines cités, en nous assurant que nous aurons des entreprises capables de porter ces technologies. Nous avons d'ores et déjà identifié le cloud de confiance. Dans le domaine du cloud, il est difficile d'envisager une offre française ou européenne susceptible de rivaliser avec ses homologues américains. En revanche, il nous semble possible, comme dans différents autres secteurs, de développer une offre française qui se différencierait par les valeurs qu'elle porte et la sécurité qu'elle garantit en matière de protection des données - c'est le cas du cloud de confiance -, en particulier des données personnelles - c'est le cas des moteurs de recherche intégrant le privacy by design. . Les solutions d'intelligence artificielle pourraient également se différencier dans un certain nombre d'applications par des éléments d'auditabilité et de redevabilité. L'algorithme d'un véhicule autonome devrait ainsi faire l'objet d'une certification pour assurer la confiance des utilisateurs. Sur certains segments, il sera donc possible de rivaliser avec des concurrents plus avancés grâce à cette différenciation de l'offre.

En revanche, il est certains domaines où la France ou l'Europe ne pourront pas rivaliser, en particulier sur les fonderies de microprocesseurs. Dans ce cas, la souveraineté sera garantie par la diversification des sources et la sécurité des approvisionnements.

Cette politique industrielle se complète d'un volet plus défensif consistant à identifier notre patrimoine et nos actifs économiques stratégiques, notamment à travers les technologies maîtrisées. C'est le travail mené par le Service de l'information stratégique et de la sécurité économiques (Sissé), qui anticipe les menaces sur ce patrimoine, à commencer par les projets d'acquisition par des acteurs étrangers, et met en oeuvre des outils de protection. Ceux-ci ont été renforcés, notamment par la loi Pacte grâce à l'élargissement du dispositif de contrôle des investissements étrangers aux domaines de la cybersécurité et du stockage de données. Il faut également faire évoluer nos outils face à l'évolution des menaces. Dans le cadre d'un rapport prochainement présenté sur le Cloud Act américain qui donne aux agences américaines un accès excessivement large aux données hébergées dans le cloud, le député Raphaël Gauvain recommandera une adaptation de la loi de blocage de 1968.

C'est une problématique qui a profondément évolué, dans le sens d'une interpénétration entre des problématiques régaliennes, économiques et sociétales. La place des États est désormais bien acceptée par les acteurs dans ce domaine, comme le montrent les récentes déclarations de Mark Zuckerberg. Enfin, l'executive order pris le 15 mai par le président Trump et les décisions contre Huawei montrent le caractère mondial de ces enjeux.

Vous avez mentionné parmi vos missions la production de règles, notamment pour la sécurité des informations dans les réseaux de télécommunications. En quoi la 5G est-elle différente des générations précédentes ? L'hostilité des États-Unis envers Huawei relève-t-elle à vos yeux du principe de précaution ou s'inscrit-elle dans le cadre de leur relation bilatérale, parfois conflictuelle, avec la Chine ?

Vous avez également évoqué la mission Facebook. La réception de Mark Zuckerberg par le Président de la République a été très médiatisée, à juste titre sans doute mais certaines des personnes que nous avons entendues ne perçoivent pas l'intérêt d'une régulation conjointe entre les États et les plateformes elles-mêmes. Le ministère de l'intérieur négocie-t-il des accords avec les trafiquants de drogue pour une distribution raisonnable de leurs produits ? Ne faudrait-il pas une régulation plus autoritaire ?

Concernant le partage de la valeur, avec la vision transversale de la DGE, que pensez-vous de cette économie insolite du numérique où tout est gratuit en apparence ? En réalité, l'argent rentre, et dans des conditions qui favorisent la concentration de la marge sur un petit nombre de très grands acteurs au détriment des plus petits, notamment à cause d'une politique d'acquisition des start ups au détriment de la concurrence.

Pouvez-vous préciser les propositions de la présidence française du G7 dans le domaine numérique ? De même, pouvez-vous détailler les lignes de force du plan Nano 2022 ?

Concernant le Cloud de confiance, nous ne savons pas bien où nous allons. Le président d'Atos a estimé, lorsque nous l'avons entendu, qu'il représenterait au maximum 20 % du stockage de données ; en revanche, il a évoqué l'edge computing. Pouvez-vous nous éclairer sur cette notion ?

Enfin, quels sont les goulots d'étranglement et les positions de monopole qui pourraient menacer la sécurité des approvisionnements ? Comment les contourner ? La presse se fait abondamment l'écho du contrôle par la Chine de la production de terres rares. Autre exemple, les câbles sous-marins sont-ils considérés comme stratégiques, et les problèmes de sécurité, d'atterrage et de connexion sont-ils assez maîtrisés pour que nous ne dépendions pas des acteurs américains ?

Les réseaux 4G avaient pour vocation de transporter de la voix et des données ; la 5G permettra, grâce à des temps de latence très faibles dans la transmission, la connexion directe d'objets entre eux. Ce temps de latence sera par exemple compatible avec le temps de réaction d'un véhicule autonome en situation de risque. Mais l'intégration de la 5G donnera à de nombreux sites industriels une dimension critique : avec des usines, des hôpitaux connectés, nous ne pourrons nous permettre aucune défaillance de réseau.

Concernant Huawei, je ne pourrai donner qu'une réponse partielle. La France a choisi une option différente de celle des États-Unis, prévue par la proposition de loi que j'ai évoquée. Il s'agit d'un régime d'examen au cas par cas des équipements de 5 G, au regard de nos objectifs de sécurité. Les autorités américaines ont souhaité intégrer ce sujet dans les négociations commerciales, ce qui confirme bien la dimension commerciale du sujet.

La smart regulation ou régulation agile nous semble adaptée aux acteurs systémiques. D'abord, l'expérience montre que la prévention est plus efficace que la répression, qui arrive généralement longtemps après le dommage, sous forme d'amendes peu dissuasives. Il est préférable de fixer des règles, des objectifs, par exemple en matière de mise à disposition des données et de non-discrimination entre les acteurs, avec un régulateur qui s'assure que ces objectifs sont atteints. C'est une régulation par le résultat, et non par les moyens, qui pourrait s'articuler avec un renforcement du droit de la concurrence : une régulation conjointe plutôt qu'autoritaire, dans un contexte de grande asymétrie d'information au bénéfice du régulé.

En l'espèce, le régulé a une dimension mondiale, et nous aurons des accords de régulation nationaux...

Il serait souhaitable de mettre en oeuvre, a minima, une régulation européenne. Le projet de règlement Platform to Business, qui vient d'entrer en vigueur, est un premier pas dans cette voie. Cela n'empêche pas les États membres de mettre en oeuvre de premiers étages de régulation, comme la proposition de loi Avia en France. Nous sommes en discussion avec les plateformes de commerce électronique : une régulation d'équité au plan national dans ce domaine, garantissant à nos PME une absence de discrimination et une transparence satisfaisantes, aurait du sens. Il est également utile d'avancer au niveau national pour convaincre nos partenaires européens de la nécessité d'une régulation.

Deux risques principaux pèsent sur le partage de la valeur. Le premier est celui des acquisitions prédatrices, c'est-à-dire la pratique consistant, pour les grandes plateformes systémiques, à acheter des concurrents pour les fermer quelques mois plus tard. Le second est la publicité en ligne, marquée par un pouvoir de marché croissant des grandes plateformes au détriment d'acteurs plus classiques de l'économie, notamment des médias. Ces enjeux peuvent être systémiques. Chaque champ et chaque modèle économique du numérique appellent une régulation adaptée pour lutter contre les effets de réseau et les positions dominantes. Nous réfléchissons, avec les acteurs de la publicité en ligne et les places de marché, à une régulation de ces deux secteurs. Contre les acquisitions prédatrices, il convient de rendre plus efficaces les règles de la concurrence. Sur ce point, nous sommes en ligne avec la Commission européenne.

La présidence française du G7 a proposé une charte sur les contenus pour obtenir des plateformes un filtrage ou un retrait rapide des contenus haineux par exemple. Elle a également avancé, conjointement avec le Canada, la proposition d'un GIEC (Groupe international des experts sur le climat) de l'intelligence artificielle : un panel d'experts indépendants et reconnus de ce domaine susceptibles de guider les États dans leur réflexion, notamment au plan éthique.

Est-ce une bonne idée ? Ces organismes internationaux finissent par acquérir une autonomie telle que l'on peut s'interroger sur leur responsabilité. Le GIEC mobilise des milliers d'experts, mais leurs conclusions sont filtrées par les représentants des États, qui sont des visions politiques ; cela aboutit à des recommandations où chacun trouve son compte. Un organisme international réfléchissant en autonomie finit par ne rendre compte qu'à lui-même, entretenant une dynamique qui peut tendre vers un discours apocalyptique. Dans le domaine de l'intelligence artificielle, la tentation est de diffuser, via ces experts en totale autonomie, une vulgate obligatoire mondiale.

Ces propos n'engagent que le rapporteur !

J'en conviens sans difficulté.

Ce concept de GIEC de l'intelligence artificielle a été mis en avant pour marquer les esprits. Certains pays sont réservés. Il n'est pas acquis qu'un dispositif de ce type sera adopté, mais nous avons besoin d'un organisme doté d'une assise scientifique forte, susceptible d'anticiper les problématiques économiques et sociales qui émergeront avec le développement de l'intelligence artificielle. Cette réflexion se poursuivra jusqu'au sommet de Biarritz.

Troisième action de la présidence française du G7, un échange sur la sécurisation des réseaux de télécommunications, domaine dans lequel nous voyons les grands pays prendre des options différentes.

L'objectif du plan Nano 2022 consiste, pour conserver la maîtrise de certaines technologies clé, à maintenir en Europe et en France des acteurs stratégiques, comme STMicroelectronics et Soitec pour les semi-conducteurs, en particulier en vue de certaines applications comme l'intelligence artificielle embarquée. Dans ce domaine, qui combine étroitement le logiciel et le physique - au point que l'on parle de systèmes cyberphysiques, nous pensons être en mesure de faire émerger des champions sur ce marché naissant, notamment sur la partie matérielle de cette industrie, alors que nous aurons des difficultés à rivaliser en matière d'intelligence artificielle pure.

L'ordinateur quantique est un enjeu identifié à moyen terme. Une stratégie nationale sera prochainement présentée dans ce domaine où il est important d'investir, à travers le soutien à la recherche et la préparation de l'émergence d'acteurs nationaux.

De plus en plus d'acteurs, particuliers et entreprises, sont sensibles au risque lié à la protection de leurs données sur le cloud. Ces inquiétudes sont aggravées par le Cloud Act qui, en s'appliquant à toute donnée gérée par une entreprise américaine, quelle que soit la localisation du serveur, crée une grande incertitude sur la maîtrise de la donnée. Il y a là un marché qui pourrait répondre aux besoins des entreprises, mais aussi de l'État et des collectivités, et nous avons en France des acteurs susceptibles de développer des offres en ce sens.

Enfin, nous avons pris des mesures fiscales pour rendre plus compétitive la création de data centers en France. Nous travaillons sur ce sujet avec la filière des industries de sécurité, pour développer des solutions répondant à ces enjeux et nous assurer que les investissements des entreprises seront justifiés par l'émergence d'un marché. En l'espèce, nous pensons être dans cette configuration, contrairement à de précédentes initiatives.

La décision du président américain contre Huawei a-t-elle un impact sur notre industrie, en particulier le secteur des semi-conducteurs ? A-t-elle mis en évidence des faiblesses au niveau européen ? L'Europe ne sera-t-elle pas un spectateur de cette guerre économique ? Enfin, je souhaiterais des précisions sur l'idée que l'offre française se distinguera par les valeurs qu'elle porte.

Il faut aussi que le traitement des données soit territorialisé, et que des portes dérobées ne soient pas introduites dans nos machines : le cas s'est produit avec certains microprocesseurs. Voici quelques années, je m'étais étonné de voir que Bpifrance stockait ses données dans un cloud Microsoft ; on m'avait répondu qu'il était trop cher d'aller ailleurs. Peut-on garantir que nos grandes institutions, qui travaillent à la réception, à l'analyse, à l'accompagnement de projets stratégiques, sont protégées ?

L'impact de la décision américaine semble limité, pour les fournisseurs comme les clients français de Huawei. Nous sommes en train d'envisager, avec les entreprises concernées, les moyens de le réduire.

Les valeurs que pourrait porter l'offre française sont la sécurisation des données pour le cloud, le caractère auditable et certifiable et le respect des droits fondamentaux. Pour l'intelligence artificielle ces valeurs seraient intégrées ab initio dans la conception des algorithmes. Nous avons lancé un grand défi d'innovation de rupture sur cette question.

La protection des institutions dans le cadre du cloud sécurisé se décline en plusieurs phases : d'abord la stratégie cloud de l'État, ensuite la définition des données sensibles, avant d'envisager, en concertation avec les acteurs et sous réserve d'une offre française compétitive, d'imposer des obligations en matière de stockage de ces données sensibles - à des acteurs publics ou, éventuellement, privés.