Philippe Latombe (député) "De plus en plus de parlementaires souhaitent un small business act et un buy european act"
Le député Modem et président de la commission spéciale chargée d'examiner le projet de loi de transposition de la directive NIS 2 estime que la commande publique doit privilégier les entreprises européennes en matière de numérique et de cybersécurité.
JDN. Vous dénoncez le recours à des solutions numériques extra-européennes par les services de l'Etat. Quels sont les exemples récents ?
Philippe Latombe. Il y a le Health Data Hub qui héberge les données de santé chez Microsoft. Nous attendons depuis maintenant quatre ans un nouvel appel d'offres dit "intercalaire" qui permettrait de remplacer le géant américain. Le ministère de l'Education nationale et l'Ecole polytechnique recourent aussi à Microsoft. Plus récemment, le Service d'information du gouvernement a décidé d'écarter l'entreprise française Visibrain pour son activité de veille sur les réseaux sociaux au profit d'une société américaine. Enfin, il y a quelques semaines, nous avons appris que l'Agence nationale de la sécurité des systèmes d'information a décidé que les sondes d'origine étrangère pouvaient être utilisées dans les systèmes d'information des opérateurs d'importance vitale, ce qui n'était pas le cas auparavant.
L'Europe ne manque-t-elle pas d'outils numériques adaptés aux exigences des services de l'Etat ?
Non, nous avons toutes les solutions numériques nécessaires en Europe. Mais l'Etat préfère parfois les solutions extra-européennes et en particulier américaine pour deux raisons. La première est qu'elles sont connues et faciles à déployer. La deuxième est qu'elles sont bon marché. Aussi, les entreprises américaines comme Microsoft mettent tout en œuvre pour remporter des marchés publics afin de légitimer et renforcer leur marque et leur présence en France et gagner d'autres marchés plus lucratifs.
N'existe-t-il pas de règles favorisant les solutions européennes et françaises auprès des marchés publics ?
En principe non car les règles des marchés publics sont européennes et imposent aux appels d'offre d'être le plus ouverts possible à la libre concurrence. Les solutions extra-européennes peuvent donc concourir sans difficulté à ces marchés. Toutefois, il existe des exceptions. Dans le secteur de la défense, il est possible de réserver les marchés publics à des solutions souveraines pour des raisons de sécurité nationale.
Souhaitez-vous réserver les marchés publics uniquement aux acteurs européens et français ?
Nous sommes de plus en plus de sénateurs et de députés à vouloir mieux encadrer les marchés publics au profit de solutions européennes. Beaucoup d'entre nous souhaitent convaincre l'Union européenne d'adopter un small business act et un buy european act. Ces deux règlements auraient pour but de prioriser les petites et moyennes entreprises (PME) et les entreprises de taille intermédiaire (ETI) européennes et françaises pour la commande publique. Les Etats-Unis ont les mêmes dispositifs au niveau fédéral et cela fonctionne.
Aujourd'hui, les appels d'offre en matière de numérique et de cybersécurité sont souvent dimensionnés pour les grandes entreprises comme celles américaines et pour les entreprises de services du numérique (ESN). Une fois les contrats remportés, les ESN font appel à des sous-traitants pour réaliser les projets tout en conservant une grande part de la valeur ajoutée. Résultat : les petites entreprises qu'elles utilisent n'ont plus la capacité d'innover. En outre, les ESN utilisent souvent des solutions extra-européennes pour réaliser des projets de commande publique. Par exemple, le logiciel de gestion de la relation client Salesforce est proposé par la plupart des ESN en France au secteur public. Problème : il fonctionne avec AWS comme support cloud, ce qui pose des problèmes en termes de souveraineté des données.
Enfin, il faut faire émerger une véritable base industrielle et technologique de cybersécurité (BITC) calquée sur le modèle de la base industrielle et technologique de défense (BITD). Cela permettrait de faire de la cybersécurité une composante de la sécurité nationale. A travers la BITC, l'industrie cyber française serait donc favorisée pour la commande publique relative à la sécurité et à la défense. Cela contribuerait également à l'émergence de champions européens et français dans le domaine de la cybersécurité.
Comment comptez-vous porter ces propositions en faveur d'une cybersécurité souveraine ?
Actuellement, les députés et pays européens sont de plus en plus convaincus de la nécessité d'une cybersécurité souveraine. En Hollande, les parlementaires ont demandé à leur gouvernement de bâtir un cloud souverain. En Allemagne, un ministère du numérique a été créé. A sa tête, Karsten Wildberger se montre sensible aux enjeux de souveraineté numérique. Il faut donc profiter de ce changement de cap pour porter auprès du Parlement européen ces projets de small business act et de buy european act. Toutefois, la Commission européenne ne semble pas prête à accueillir de tels projets. En effet, elle ne souhaite pas raviver des conflits économiques avec les Etats-Unis.
En outre, dans le cadre du projet de loi de transposition de la directive NIS 2 actuellement débattu à l'Assemblée nationale, des députés souhaitent proposer des amendements favorisant l'industrie cyber française et européenne. L'idée est que l'élévation du niveau de cybersécurité de certaines entités visées par la directive s'opère en priorité avec des entreprises européennes.