Les entreprises françaises en mauvaise posture face aux technologies IT américaines

La France et l’Europe sont en très mauvaise posture face au numérique car celui-ci est surtout délivré par les Etats-Unis. C’est ce constat très pessimiste qui est dressé par Henri d’Agrain, secrétaire général du Cigref, l’association des DSI des grandes entreprises françaises. Il a pris parole le 10 juin à l’occasion de l’événement du G9+ sur le numérique.

Accumulation de mauvaises nouvelles sur les entreprises, françaises

Henri d’Agrain énumère les contraintes qui touchent les entreprises françaises : la ponction sur l’économie européenne infligée par les entreprises technologiques américaines, la réglementation européenne trop lourde, la soumission de la Commission européenne face au chantage politique américain, le manque d’engagement national et européen pour financer des alternatives aux offres américaines et les lois extraterritoriales américaines et chinoises qui donnent accès aux données sensibles des entreprises françaises.

« Il y a eu une efflorescence législative ces dernières années. Ce que nous recommandons, c’est de stabiliser la réglementation et de faire en sorte qu’on puisse l’absorber» débute-t-il. «  On est encore très loin des trois quarts des réglementations qui sont à implémenter dans les entreprises. Je pense à la transposition de NIS 2 [continuité d’activité], à l’AI Act [régulation de l’IA], au Cyber Resilience Act » liste-t-il. « On ne sait pas aujourd’hui, par exemple, sur l’AI Act qui va réguler en France. Donc, cela arrive très vite et les dispositifs de régulation ne sont pas aujourd’hui en place » constate-t-il.

Au passage, il s’inquiète de l’harmonisation de la façon dont ces régulations vont être mises en place dans les États membres. « Notre crainte principale, ce sont les différentiels d’application de ces régulations. On l’avait vu avec le RGPD, avec l’Irlande qui était devenue un pavillon de complaisance de la mise en œuvre du RGPD. Et cela a eu des effets assez délétères en Europe » accuse-t-il. « Lutter contre les pavillons de complaisance de la régulation, cela va être un enjeu absolument essentiel de la prochaine mandature [européenne] » annonce-t-il.

Menace de fermeture du robinet numérique

Les dépendances technologiques de l’Europe le préoccupent au premier plan. « Qu’est-ce qui se passe l’année prochaine si on a un Trump qui arrive à la tête de l’administration américaine et qui décide de mettre en tension les Européens en utilisant le robinet de l’énergie numérique ? » illustre-t-il. « Si Trump décide de cibler une entreprise, comme cela a été le cas par le passé avec d’autres types de mise en tension, comme Alstom, BNP Paribas ou d’autres. Si vous ne vendez pas telle filiale, si vous ne nous livrez pas telles données, on vous ferme le robinet de l’énergie numérique » indique-t-il.

« C’est une arme absolument redoutable » alerte-t-il, tout en rappelant que les Etats-Unis sont un allié mais aussi un concurrent. Deuxième sujet qui le préoccupe, c’est la ponction croissante de la valeur de l’économie européenne vers quelques entreprises aux États-Unis. « Je prendrai un seul exemple. Regardez une entreprise comme Broadcom qui a racheté VMware. C’’est un sujet important. Cette entreprise qui rachète VMware et qui, en quelques semaines, prend des dispositions absolument insupportables. On le savait. Personne ne peut dire qu’il ne savait pas » déplore-t-il.

En Europe, les associations de DSI comme le Cigref sont montées au créneau afin d’avertir la Commission européenne que les prix de la virtualisation des systèmes d’information délivrée par VMware allaient exploser et détruire de la valeur, mais cela n’a pas déclenché de réflexe de protection de la Commission qui a laissé faire. « Cela crée une ponction illégitime et totalement stérile pour la compétitivité des entreprises européennes de 8 milliards d’euros par an sur les trois prochaines années. 8 milliards d’euros par an qui partent directement chez Broadcom » s’insurge-t-il. Il pointe que si personne ne dit rien, il n’y a pas de raison que d’autres fournisseurs de technologie ne fassent pas de même. « Ça, c’est vraiment un risque » prévient-il.

La Commission européenne n’a pas su protéger les entreprises face à Broadcom

Henri d’Agrain rappelle que Broadcom est coutumier du fait. Il explique que les associations de DSI ont expliqué à la Commission européenne ce qui allait se passer. Les associations ont demandé de ne pas autoriser le rachat de VMWare par Broadcom ou de le faire mais avec des réserves assez fermes. « La Commission nous a répondu : vous faites un procès d’intention » sourit amèrement Henri d’Agrain.

Il pointe que l’acquisition de VMWare par Broadcom a été finalisée fin novembre 2023. « Dès le début de janvier 2024, ce qui devait se passer se passa. Broadcom a agi avec une brutalité et un mépris des clients de VMware totalement inédits. Une brutalité qui n’avait pas été vue dans d’autres cas, même s’il y a d’autres voyous sur ce marché » n’en revient-il toujours pas.

Autre sujet d’inquiétude, ce sont les données sensibles et stratégiques mais non personnelles des entreprises françaises. « C’est un sujet de protection vis-à-vis de législations non-européennes à portée extraterritoriale » présente-t-il. Il cite la loi chinoise du 28 juin 2017 sur le renseignement. Cette loi oblige à mettre à la disposition des agences de renseignement chinoises, notamment pour réaliser des actions de renseignement d’intérêt économique, les données des entreprises non-chinoises qui ont confié leurs données à des entreprises chinoises.

Le FISA, arme d’espionnage américain sur les entreprises françaises

Il ajoute qu’il y a exactement le même dispositif aux États-Unis, qui s’appelle le FISA, le Foreign Intelligence Surveillance Act. Dans sa section 702, le FISA oblige les entreprises américaines à mettre à la disposition des agences de renseignement les données des personnes non américaines, que ce soit des personnes physiques ou morales dès lors que l’administration du renseignement en a besoin.

« Il faut savoir que 50% de l’activité d’une agence de renseignement c’est du renseignement d’intérêt économique. Et donc, à partir du moment où l’on confie ses données à une entreprise américaine ou chinoise, on accepte de facto de soumettre ses données à l’administration » prévient Henri d’Agrain. « C’est un accès, certes illégitime de notre point de vue, du point de vue du détenteur des données, mais parfaitement légal » ajoute-t-il.

Le chiffrement des données ne sera pas suffisant face à ces menaces. Henri d’Agrain rappelle qu’il y a trois états pour une donnée. Une donnée peut être stockée, en transit ou calculée. On peut chiffrer la donnée en transit ou en stockage mais elle est toujours en clair dès lors qu’elle est calculée. « Quand vous êtes chez un opérateur dont vous ne maîtrisez pas la législation à laquelle il est soumis, vous acceptez de facto que cette donnée puisse être d’une manière ou d’une autre captée » constate-t-il. « Il faut l’avoir bien en tête parce que c’est la réalité » insiste-t-il.

L’Europe a été plongée dans un état de soumission par ses dirigeants

« Ce sont des risques de nature très géopolitique dans laquelle nous sommes plongés du fait de nos dépendances technologiques » regrette-t-il. Il pointe la responsabilité de nos dirigeants dans cet état de soumission. « Le manque de courage et le manque de clairvoyance ont plongé l’Europe aujourd’hui dans cette situation de dépendance qui va devenir dans un sens insupportable » pense-t-il.

Pour lui, l’Europe doit réagir face à cette toute puissance américaine. « Il faut que l’Europe mette en œuvre les réglementations dont elle s’est dotée. Par exemple, il y a le Digital Market Act, le DMA. La Commission européenne a dévoilé les gatekeepers, les contrôleurs d’accès, En Europe, sur un marché du Cloud qui est préempté à plus de 70% par trois opérateurs américains, Microsoft Azure, Google Cloud et AWS, on n’a pas jugé de définir ces trois opérateurs de services Cloud comme des gatekeepers au titre du DMA. Pourquoi ? Mystère » analyse-t-il.

Il relate qu’il a été dit que les métriques qui sont introduites dans le DMA ne permettraient pas d’être certains que Microsoft, Google et Amazon sont des gatekeepers sur les services de Cloud. « En fait, il y a eu un lobbying absolument effréné avec des menaces extrêmement claires » rétorque-t-il.  « Je pourrais vous faire part de certaines de ces menaces de la part des États-Unis pour éviter que les obligations du DMA ne s’appliquent à ces trois Cloud providers. Aujourd’hui, nous avons une Commission [Européenne] qui a décidé de ne pas s’en occuper et de ne pas mettre en œuvre le DMA sur ce sujet » résume-t-il.

L’Europe menacée par les Etats-Unis sur le sujet de l’EUCS

Toujours sur le sujet du Cloud, Henri d’Agrain se montre critique sur le sujet de l’EUCS (Certification Cloud Européenne), un schéma de certification européen des services Cloud dont il estime que là, aussi il a été miné par les prestataires américains. « Initialement, il était prévu dans ce référentiel qu’il y ait un niveau le plus élevé, non obligatoire, qui permette de garantir une immunité des services Cloud vis-à-vis des législations non européennes dont je vous ai parlé » présente-t-il.

Il s’agit d’assurer la protection vis-à-vis des ingérences non européennes. « Là, il y a eu un matraquage d’influence des États-Unis vis-à-vis de l’Europe pour faire en sorte que ce schéma de certification évacue le sujet de l’immunité des services Cloud vis-à-vis de législations non-européennes » dit-il. Il décrit l’action menée par la CCIA, la Computer Communication Industry Alliance, principale association de la technologie américaine, et la BSA, la Business Software Alliance, qui ont écrit à l’administration Biden en mai 2023 pour dire : « Si vous laissez passer ce niveau haut de l’EUCS, cela ne sera pas sans conséquence sur la sécurité nationale des États-Unis » présente-t-il.

« Cela n’a pas manqué. Anthony Blinken [secrétaire d’Etat américain] a adressé à Ursula von der Leyen [Présidente de la Commission européenne] et aux différentes chancelleries européennes une note diplomatique en septembre 2023 pour dire : si vous adoptez ce niveau haut dans votre schéma de certification, cela ne sera pas sans conséquence sur les relations économiques et sécuritaires entre l’Union européenne et les États-Unis » indique Henri d’Agrain.  

Les grandes entreprises françaises ont besoin d’une immunité face aux lois américaines

Résultat, la dernière version de l’EUCS, ce schéma de certification produit par l’ENISA, a évacué le sujet de l’immunité des services Cloud vis-à-vis des législations non européennes. Ce qui déplaît fortement aux DSI du Cigref. De nombreux adhérents du Cigref déclarent avoir besoin de ce niveau de protection pour mener leurs activités. On peut citer Airbus, EDF ou Orange. Ils expliquent que pour mener leurs activités, ils ont besoin d’un schéma de certification à valeur légale qui garantisse la protection des données vis-à-vis des ingérences non européennes.

« Il est absolument nécessaire que nous ayons un tel niveau de garantie à valeur légale parce que cela permet de valoriser les offres européennes » demande Henri d’Agrain. D’autre part, pour revenir au cas de Broadcom, le responsable exige que les politiques prennent des dispositions pour imposer des pratiques qui soient cohérentes avec les valeurs de marché européennes. «  On me dit souvent que nous sommes dans une économie libérale et que l’on peut faire ce qu’on veut » reprend-il. « Non. On ne fait pas ce qu’on veut dans une économie libérale. Il y a des règles à respecter, il y a des règles de marché, il y a des législations et cela appartient aux politiques » affirme-t-il.

Les politiques ne sont pas à la hauteur des défis. « C’est une action de nature politique qui est attendue pour faire respecter certaines valeurs sur le marché, certains comportements qui doivent être cohérents avec les valeurs que nous portons » poursuit-il.

L’Europe doit financer la tech comme les Etats-Unis

Il appelle la Commission Européenne à faire en sorte qu’un VMWare européen puisse émerger en attribuant correctement les financements. De même, il souhaite l’engagement de financements sur des alternatives Cloud en France. « Ça, ça s’appelle faire de la politique. En fait, sur nos sujets, nous avons affaire essentiellement à des techniciens du droit, du droit de la concurrence, qui se comportent comme tels et qui ne font pas de politique » regrette-t-il.

Pour autant, il n’épargne pas les entreprises françaises qui doivent s’engager sur des offres européennes. « A un moment donné, si les clients, les grands donneurs d’ordres ne commandent pas, il ne va pas se passer grand-chose » dit-il. Il sait cependant que ces grands groupes sont séduits par les fonctionnalités proposées par les fournisseurs américains, et qu’il n’est pas simple de basculer sur d’autres offres.

« Les États ont une place absolument prépondérante. AWS n’est pas sorti de nulle part. Quand on regarde la courbe de croissance des parts de marché d’AWS, jusqu’en 2012, c’est assez plat. Puis l’État fédéral américain passe un contrat de 800 millions de dollars par an auprès d’AWS pour notamment subvenir aux besoins de Cloud des agences de renseignement américaines » se souvient-il. « Et en quelques années, AWS prend un peu plus de 30% du marché mondial » constate-t-il.

Des financements publics trop morcelés dans le Cloud en Europe

« En Europe, quand on regarde la part de financement public dans le marché du Cloud, elle est extrêmement morcelée. D’abord, chaque État est indépendant sur le sujet. Et puis ensuite, au sein des États, par exemple en France, vous avez un complet éclatement entre la dépense publique de l’État, des collectivités territoriales qui sont chacune totalement indépendante, les collectivités hospitalières et ainsi de suite » décrit-il.

Il rêve d’une politique européenne enfin efficace. « Imaginons un dispositif européen avec une agence qui aurait pour mission de flécher obligatoirement toute dépense dans le Cloud, de toutes les administrations publiques, de quelle que nature qu’elles soient, dans les 27 États membres. Ce sont des milliards qu’on mobilise » suggère-t-il. Pour autant, il ne s’agit pas d’évincer les fournisseurs de Cloud américains, mais qu’une agence européenne ait comme responsabilité qu’une part significative de la dépense publique soit réservée à des acteurs européens.

L’enjeu du Cloud demeure d’actualité, surtout à l’heure de l’intelligence artificielle. « Sur le Cloud, on dit que la bataille est perdue et qu’il faut partir sur les autres batailles. Mais ce n’est pas vrai. Il n’y a pas d’IA indépendante, il n’y aura pas d’IA dite souveraine ou de confiance si on ne maîtrise pas les machines sur lesquelles on fait tourner l’IA, parce que ça sera toujours celui qui possède l’usine qui va capter la valeur » avertit-il.

Développer de l’IA nécessite d’avoir du Cloud

Même à l’heure de l’IA, il faut posséder le Cloud. « Le Cloud n’est pas un domaine du numérique parmi d’autres, c’est celui qui sous-tend tous les autres. C’est l’usine » souligne-t-il. Il préconise d’écarter la doctrine de Serge Tchuruk, ancien patron d’Alcatel qui voulait transformer son entreprise en entreprise sans usine, « fabless ». Ce qui a mené au désastre pour Alcatel.

« Aujourd’hui, il ne peut pas y avoir de stratégie pour un continent comme l’Union européenne qui soit une stratégie serverless. Je ne parle pas des entreprises, je parle du continent. C’est très différent » dit-il. Le second levier à actionner selon Henri d’Agrain est celui du réglementaire. « Dans certains cas, pour certaines activités, sur un périmètre qui serait celui du secret des affaires, nous pensons qu’il faut développer une législation non pas coercitive, mais incitative pour que les entreprises privées puissent protéger leurs données sensibles et stratégiques chez des Cloud providers qui soient immunisés aux législations non-européennes » pense-t-il.

Il souhaite une stratégie incitative. Il rappelle l’échec de la stratégie de l’offre comme cela a été le cas avec CloudWatt et Numergy. « On finance des Cloud providers qui derrière n’ont pas de commandes. On a déversé 175 millions d’euros dans Cloudwatt et Numergy. Derrière, rien, pas un client. L’idée, c’est de passer à des stratégies de la demande et de financer le bon de commande » propose-t-il. Afin de dynamiser cette démarche, il propose de l’incitation fiscale, du suramortissement fiscal, à différents dispositifs qui vont financer la demande au niveau de l’Union européenne et que cela aille au-delà de la commande publique car celle-ci est peu importante en pourcentage sur le marché du Cloud.

La nouvelle Commission européenne doit s’emparer de ces sujets

Il faut au final actionner ces différents leviers, financement, réglementation et commande publique, de manière harmonisée. « Ce que l’on ne fait pas. On joue d’un côté sur un levier, puis on l’arrête, on appuie sur l’autre, il ne se passe rien. Évidemment qu’il ne se passe rien. Donc, à un moment, il va falloir harmoniser tout ça » demande-t-il. Avec la mise en place d’une nouvelle Commission européenne, à la suite des élections européennes du 9 juin, celle-ci doit prendre tous ces sujets à bras le corps conclut-il.