Cloud : l’Europe veut-elle faire sa révolution ? FIC2023 - Séance plénière - Table ronde

Julia Sieger : Vous êtes au complet pour cette table ronde.
François Pellegrini, vous êtes vice-président de CNIL, merci infiniment d’être là.
Tariq Krim, qu’on a entendu tout à l’heure.
Dimitri Van Zantvliet, hello and welcome, vous êtes le CISO [Chief information security officer] des chemins de fer néerlandais.
Vous avez commencé à y répondre, Alain Issarni [1], mais la première question que j’ai pour ce panel qui s’articule autour de l’Europe : pourquoi fallait-il un acteur du cloud 100 % français et non européen ?

Alain Issarni : Est-ce qu’il faut un acteur 100 % français ? Il se trouve que toutes les initiatives qui ont été lancées en France sont plutôt 100 % françaises. La réglementation est un peu différente, je ne l’ai pas évoqué, le SecNumCloud [2] est en France mais n’est pas ailleurs. Le fait est qu’il peut y avoir des initiatives en France, qui démarrent en France, mais l’ambition est forcément d’aller en Europe. Compte-tenu du niveau d’exigence qui existe en France, je pense que c’est une bonne passerelle pour pouvoir aller à l’Europe. Et assurément, quand on est sur ces sujets – SecNumCloud, RGPD [3] – on parle d’Europe et si on arrive à vendre le service en France, on vendra le service en Europe, c’est donc effectivement un sujet européen.

Julia Sieger : Je voudrais qu’on fasse un état des lieux avant de commencer cette table ronde : où en est-on ? On parle de retard technologique. Certains disent, à l’inverse – on a entendu Tariq Krim [4] tout à l’heure – « pas du tout, on a toutes les briques, le problème est ailleurs ». Quelle est votre opinion là-dessus ? Peut-être François Pellegrini.

François Pellegrini : Je rejoindrai ce que disait Tariq Krim.
D’abord, la CNIL [Commission nationale de l’informatique et des libertés] parle d’une position qui est assez particulière par rapport au Cloud. Le rôle de la CNIL c’est de faire respecter la loi sur la protection des données à caractère personnel, qui n’est qu’un des versants de l’ensemble de la problématique cloud puisque, au-delà des données à caractère personnel, il y a les données à caractère non personnel, en particulier les données stratégiques des entreprises.
De ce point de vue-là, comme il a été rappelé, les briques existent, les compétences sont présentes et il faudra, plutôt sur la partie prospective, c’est-à-dire au-delà de l’état de lieux, définir des politiques qui permettront de mettre en mouvement ces différents acteurs.
Pour nous, pour parler du point de vue de la CNIL, on constate, bien évidemment, qu’il y a un mouvement vers l’infonuage de façon à, comme l’a dit Monsieur Issarni, mutualiser les coûts, parce que dans le domaine du numérique, où, justement, les effets de réseau sont considérables et, j’allais dire, le coût marginal est extrêmement faible, il faut absolument mutualiser les coûts et se focaliser sur sa valeur ajoutée, c’est là qu’on fait les marges qui permettent de s’étendre.
Comme ça a été dit également, on est attiré par des fonctionnalités, on est aussi attiré par une facilité d’usage parce qu’il y a énormément d’argent qui est mis dans l’ergonomie et c’est vrai que c’est un élément. Tariq citait Linux et autres : les libristes, pendant longtemps, ont été un peu rétifs à l’ergonomie et ça a fait des couches basses extrêmement performantes, mais qui n’ont pas nécessairement pu susciter l’adhésion des personnes pour qui la ligne de commande était quand même un univers totalement étrange.

La question de la sécurité a aussi été évoquée. On peut considérer que ces acteurs mettent beaucoup d’argent dans la sécurité. Comme on l’a vu, la sécurité s’exprime à différents niveaux : il y a le niveau de subsidiarité, il y a la sécurité du système informatique, ce sont des visions à court terme et, pour la vision à plus long terme, il y a la sécurité des infrastructures et puis des enjeux de souveraineté, c’est-à-dire la sécurité des populations qui peuvent être, du jour au lendemain, coupées de leurs activités, donc réduites au chômage avec des troubles sociaux qui peuvent effectivement être considérables. L’attaque peut concerner des entreprises high-tech, mais le meilleur moyen de mettre un pays par terre c’est d’attaquer ses services sociaux et, à partir de là, les gens seront très rapidement dans la rue parce qu’ils n’auront plus les moyens de vivre.
Le rôle de la CNIL c’est celui du gardien de la protection des données, donc, puisque il y a un alignement entre la protection des droits et libertés fondamentales et ces enjeux de souveraineté, nous prenons part au débat à la place qui est la nôtre, mais les enjeux sont effectivement extrêmement vastes. Nous y apportons notre pierre, mais ça suppose, évidemment, des activités concertées avec plein d’autres acteurs.

Julia Sieger : Merci beaucoup.
Dimitri, many say that Europe is lagging behind when it comes to the cloud. What is your assessment of the situation and, maybe more specifically, is it a technological problem or is it a lack of political will to see a robust resilient European cloud actor ?

Dimitri, beaucoup disent que l’Europe est en retard en ce qui concerne le cloud. Comment évaluez-vous cette situation et, peut-être plus précisément, le problème est-il d’origine technique ou est-il dû à un manque de volonté politique de voir advenir un acteur européen du cloud robuste et résilient ?

Dimitri Van Zantvliet : Well, I won’t repeat whatever I already said, because we already are living in a hyperconnected society, and I think – to put something extra in the mix – that for a society to thrive, you need to be reliant and you need to rely on critical services. Public transport, for one, is a critical service, and we saw that during the pandemic, where we had to transport the doctors and nurses to the hospitals, just as well as energy and water. And I think sometimes we are a bit naive, because we need to rely on those services, and on the other hand we’re not making too much progress in building the right fundamental building blocks to support those services. So, we are talking about the overall internet, but also the fundamental building blocks of the internet : the cables that go into Europe for example, the DNS that needs to be resolved so, sometimes, we have services that are very local, but then the data goes everywhere all over the world ; and that’s part of the resilience that I think we need to take more account into, and build more services ourselves, more sovereignty into our critical services that we need so much to be a thriving Europe.

Je ne vais pas répéter ce que j’ai déjà dit. Déjà, nous vivons dans une société hyperconnectée et je pense – pour jeter au pot quelque chose de plus – que l’épanouissement d’une société nécessite de la confiance, nécessite de pouvoir compter sur des services critiques. Les transports publics, par exemple, sont un service critique — nous l’avons constaté pendant la pandémie, où il nous a fallu transporter les docteurs et les infirmières vers les hôpitaux — tout comme l’énergie et l’eau. Je pense que parfois nous sommes un peu naïfs, parce que, d’une part, nous devons compter sur ces services et, d’autre part, nous ne progressons pas vraiment dans la construction des composants de bases qui leur permettent de fonctionner. On parle d’Internet en général, mais aussi de ses composants de base : par exemple les câbles qui arrivent en Europe, le DNS [Domain Name System] qui doit être résolu afin que nos services, parfois très locaux, envoient des données partout dans le monde. C’est une part de la résilience dont, je pense, nous devons davantage tenir compte en construisant plus de services par nous-mêmes, en mettant plus de souveraineté dans les services critiques qui nous sont si nécessaires pour être une Europe épanouie.

Julia Sieger : Je vais être assez directe, Tariq Krim : pourquoi sommes-nous là ? Je suis désolée, mais ça fait plusieurs années qu’on soulève cette même question : qu’est-ce qui fait qu’on n’arrive pas à sortir de cette situation ? Qu’est-ce qui fait qu’on n’arrive pas à concurrencer les Américains ? Quels sont précisément les leviers qu’il faut enclencher ?

Tariq Krim : Ça a été dit juste à l’instant par les différents intervenants. Est-ce que c’est une question de concurrence ?, c’est une question que je pose ouvertement ou est-ce que nous ne vivons pas dans un système de valeurs qui est différent, un héritage de valeurs qui est différent ? Je m’explique.
C’est toujours très drôle de voir les États-Unis en rouge sur la carte, d’habitude sur les cartes que j’avais quand j’avais plus jeune, c’était les Soviets ou la Chine maintenant. Je dis ça en rigolant, mais une grande partie des questions de l’extraterritorialité et des lois dont on parle, si on met de côté le CLOUD Act [5] et aussi le PATRIOT Act [6] qui est arrivé à la suite d’un événement horrible aux États-Unis, la plupart de cet héritage vient de la guerre froide : les lois FISA [7], toutes les lois qui autorisent ce genre d’extraterritorialité ont été inventées à une époque où il y avait l’Union soviétique ; on les écoutait, on était donc dans un cadre différent. C’est vrai qu’avec l’arrivée du cloud, la combinaison du cloud et des GAFAM, ces lois sont devenues extrêmement utiles parce qu’elles apportent un niveau supplémentaire.

Quand je parlais de valeur, il y a deux/trois choses intéressantes.
La première c’est qu’il y a un antagonisme absolu entre la vision de la vie privée en Europe et aux États-Unis. On a un des experts du domaine juste à côté, donc je n’irai pas plus loin. Nous sommes fondamentalement sur des visions différentes, mais également sur la vision du cloud.
J’ai eu des conversations avec Alain il y a quelques jours. Ce que je trouve intéressant – et j’imagine que c’est la même chose vu les responsabilités que vous avez  : quand on me dit que le cloud c’est plus vite, plus fort, plus gros ; Non ! Quand on travaille notamment avec les services publics, votre métier c’est la stabilité, c’est la qualité de service, c’est déployer sans encombre, surtout quand on est sur les infrastructures critiques qui ont été gérées par nos deux intervenants. Il y a donc obligatoirement une question entre le cloud des startups qui ont besoin de grandir très vite, qui ont besoin de beaucoup de capital, parce que, éventuellement un jour, winner takes all et puis il y a le cloud des entreprises et là, on est dans des problématiques vraiment très différentes, ce que l’on veut c’est l’horloge suisse : ça marche tout seul, il n’y a pas de problèmes, il n’y a pas, comme tu disais, de bugs informatiques.
Donc dans les visions de la manière dont on va implémenter le cloud et dans les options de services, il y a effectivement les clouds qui sont plutôt adaptés à des entreprises pour qui la vélocité et la croissance est le Graal et il y a une place absolue pour des entreprises qui veulent des choses très stables et de la qualité de service sur le long terme.

Julia Sieger : Alain Issarni.

Alain Issarni : Juste un commentaire ou un complément là-dessus. Est-ce que nous sommes devancés ou est-ce que nous sommes en retard ? Oui, nous sommes en retard. Est-ce que, pour autant, il faut en faire un complexe ? La réponse est assurément non, comme s’il suffisait d’être en retard pour abandonner une bataille. Les éléments sont là.

Julia Sieger : Oui, mais on est souvent en retard quand même, comme s‘il y avait peut-être un problème un peu structurel.

Alain Issarni : Il y a un état d’esprit, une volonté qu’il faut changer, c’est ce qu’il faut impulser, assurément. Il faut arrêter et sortir de ce mode-là : on est en retard donc on fait du bashing, c’est-à-dire qu’il n’y a plus rien à faire, il faut être défaitiste ! Non, pas du tout ! Comme je le disais et ce n’est pas moi qui l’ai dit en premier : les gros acteurs, les gros inventeurs sont plutôt en France et en Europe sur ces sujets-là. Il faut en prendre conscience, il faut utiliser ces compétences et ces capacités pour rattraper le retard et probablement dépasser, il n’y a rien d’insurmontable là-dessus.

François Pellegrini : Je pense effectivement que le problème du positionnement et de la mentalité est essentiel.
Par rapport à votre question sur comment on peut propulser les choses, la réponse est au niveau stratégique : il faut d’abord se doter d’une vraie stratégie tenue dans la durée avec, ensuite, des moyens de l’opérationnaliser. Ça suppose une constance politique, d’abord une identification politique du sujet qui est nécessaire, ce qui n’était pas nécessairement évident aux échelons décisionnels, et ensuite une mise en œuvre qui soit holistique. On voit, par exemple, que la question de l’approvisionnement en processeurs est une condition sine qua non de l’ensemble du déploiement d’une stratégie de souveraineté numérique, mais c’était passé sous le radar avec toutes les politiques de désindustrialisation et de transfert à l’étranger des usines. C’était la doxa des années 1990/2000 et c’était difficile à remettre en cause, alors même que les arguments de souveraineté étaient déjà présents ; on l’avait vu au niveau des lanceurs spatiaux et, déjà à cette époque, les États-Unis mettaient en œuvre une politique agressive de brevets pour détruire la supériorité du Japon sur la construction des puces. Dès les années 1980, la maîtrise des puces a été l’objet d’un programme stratégique des États-Unis, de façon à conserver le contrôle sur cette chaîne qui avait été considérée comme essentielle, notamment pour les équipements militaires.

Pour la mise en œuvre politique, je pense que la question c’est effectivement de faire arriver à faire croître les PME innovantes. Il faut rappeler que ceux dont on parle – les Google, les Amazon et autres – ont été des PME dans un garage. La question c’est comment on arrive à passer de cet état-là à une position d’entreprise mature et stable sur son secteur. Depuis longtemps, des personnes plaident pour un Small Business Act [8] à l’européenne ou à la française. Les États-Unis l‘ont ; il ne faut pas ignorer que ça crée une position de déséquilibre.

Ensuite, à des moments où un acteur rentre effectivement sur le marché — on l’a bien vu dans les business plans du numérique —, on crame du cash pour pouvoir gagner de la clientèle parce que ces clients ensuite, par l’effet de réseau, deviendront à leur tour des prescripteurs. Il y a donc un effet d’entraînement très fort, il faut en tenir compte, il faut donc imaginer des modèles économiques dans lesquels on va pouvoir aller conquérir ces territoires. Le fait est qu’une fois qu’un acteur est installé, on a un dumping sur les services.
Une stratégie qui n’est pas protectionniste mais juste de maintien de concurrence libre et non faussée, pour éviter ce fameux « la première dose est gratuite » et ces questions de crédit et de dette qu’on commence à se faire, c’est justement d’arriver à mettre en place, on en parlera sur le versant réglementaire, des lois qui vont empêcher ce verrouillage.
Rappelez-vous dans les années 90, l’Europe a été la première à créer une loi pour la rétro-ingénierie pour l’interopérabilité. Donc, déjà dès les années 90, dans le secteur du logiciel, on avait identifié le fait qu’il ne fallait pas qu’il y ait de verrouillage sur les formats de fichiers.
Maintenant, et c’est l’article 20 du RGPD [3] pour les données seulement à caractère personnel malheureusement, il y a la portabilité des données qui dit que le coût de la rétro-ingénierie doit porter, finalement, sur celui qui fournit le service.
L’article 5 du DATA Act [9], c’est aussi l’extension de ce principe aux données non à caractère personnel de façon à maintenir la concurrence libre et non faussée. Il faut aussi qu’il y ait des enquêtes en concurrence sur les tarifs parce que, effectivement, une fois qu’on a une position dominante dans le monde du numérique, la concurrence est extrêmement difficile.
Excusez-moi, je suis un peu bavard, mais je reviens sur cette mentalité de colonisé. Dès le moment où on considère par préjugé, sans justification, que les produits importés sont toujours meilleurs que les produits locaux, de toute façon on n’arrivera pas à mettre l’argent au bon endroit. Comme le disait Monsieur Issarni, si la réponse des prescripteurs c’est de dire « faites ça dans votre coin et si vous faites bien on vous donnera de l’argent », le problème est à l’envers. Il faut financer, et c’est pour cela que le Small Business Act [8] est utile dans ce domaine-là, il faut faire aller l’argent vers les produits parce que, s’il n’y a pas d’investissement, la qualité des produits ne montera pas et il n’y aura pas de possibilité de contrer les sommes phénoménales qui sont extraites des marchés existants. Il faut donc renverser cette tendance, il faut arrêter de faire du European bashing ou du French bashing ; il y a eu des propos politiques quand même assez dramatiques qui ont pu être tenus par le passé.

Dans ta liste, finalement, je retrouve cités les gens d’EUCLIDIA [European Cloud Industrial Alliance]. On a des initiatives européennes, il s’agit justement de faire en sorte de les promouvoir avec la commande publique : les administrations sont des grands prescripteurs en termes stratégiques, en termes de format de données – la guerre des formats est toujours ouverte. Il y a des choses à faire au niveau politique, il y a le Référentiel général d’interopérabilité [10], il faut le mettre en application. Un certain nombre de moyens peuvent être mis en œuvre à peu de frais parce qu’il faut éviter cette adhérence : le vendor lock-in n’est pas sur les données, il est aussi sur les technologies et les effets d’adoption.

Julia Sieger : Et la recherche.

François Pellegrini : La recherche, je pourrai en parler peut-être plus tard.

Julia Sieger : On en parlera un petit peu plus tard dans cette table ronde également.

Alain Issarni : Juste un complément et rebondir sur ce qui a été dit sur les logiciels libres. C’est vrai que c’est assez agaçant ou frustrant de constater que ce sont souvent les logiciels libres qui guident l’état de l’art mais que, bien souvent, on va vers des éditeurs. C’est vrai que, malheureusement, il y a un réflexe, j’allais dire de riche, c’est-à-dire qu’on préfère aller acheter la belle boîte cadeau qui se trouve sur les étagères parce qu’elle est toute packagée et tout est fait, et on ne prête aucune attention aux petites briques individuelles qui, malheureusement, ne sont pas très bien assemblées, mais qui, si on arrivait à les assembler pourraient être très bien. Tariq disait qu’il faut être dans la durée. Beaucoup de décisions sont effectivement prises uniquement sur le critère d’immédiateté : on a besoin de quelque chose, on le veut tout de suite. Investir pour être dans la durée et faire émerger des vraies solutions et des alternatives, ça nécessite de la volonté et de la stratégie. In fine, tout le monde est convaincu que ça devrait coûter moins cher, mais, dans les faits, c’est difficile et c’est souvent extrêmement compliqué d’aller convaincre des décideurs à dire « prenons l’alternative qui est prometteuse au lieu de quelque chose qui coûte très cher ».

Au début des années 2000, on avait coutume de dire qu’il était facile, pour un DSI [Directeur des Services Informatiques], de faire un gros projet et de se planter — pardon de l’expression — en prenant les solutions que tout le monde prenait, plutôt que d’aller sur de l’innovation, typiquement le Libre, et de prendre le risque de se tromper. Aujourd’hui on a la même chose avec le cloud : il est extrêmement facile et satisfaisant en termes de risque pour un DSI de dire « je vais prendre les gros, ce sont les meilleurs fonctionnellement parlant. Si ça ne marche pas, je pourrai toujours dire que j’ai pris la meilleure des décisions et que j’ai fait comme les autres. » Alors que l’initiative d’aller prendre d’autres acteurs, même si c’est la bonne réponse, la bonne solution, c’est un risque supplémentaire qui effraie un certain nombre d’acteurs.

Julia Sieger : Parlons à présent de souveraineté. Comment peut-on échapper au CLOUD Act [5], d’ailleurs peut-on y échapper ? Et, par exemple, est-ce que la procédure d’adéquation qui est en cours actuellement ici en Europe c’est suffisant, à votre avis ?

François Pellegrini : Je vais repositionner un peu les termes de la question. Comme je l’ai dit, la CNIL ne s’occupe que des données à caractère personnel et le mécanisme d’adéquation aussi en fait. C’est-à-dire que la question globale de la préservation du patrimoine informationnel des organisations, que ce soient les entreprises ou les organes de la Nation, déborde de cette question de l’adéquation puisque l’adéquation ne concerne que la préservation des droits et libertés fondamentaux et la création d’un espace. Il faut voir que le RGPD [3] est aussi un règlement qui vise aussi à la libre circulation des données, mais dans un espace où les droits et libertés fondamentaux des personnes sont respectés ; ça ne vise que cet aspect-là. L’adéquation peut être une solution pour garantir des droits et des libertés aux personnes, mais ça ne traite pas le problème plus global de l’interception, de l’espionnage industriel, qui est une autre problématique.
Est-ce que c’est suffisant pour garantir le patrimoine industriel d’une entreprise ? Clairement, ce n’est pas dans les textes, la réponse a tendance à être non.

Maintenant, qu’y a-t-il dans ces législations ? Ces législations visent à organiser l’accès sous condition de réciprocité, il ne faut pas l’oublier non plus : le CLOUD Act [5] est une proposition dans laquelle il va y avoir là-aussi des États partenaires qui peuvent être identifiés pour que ce mécanisme d’accès fonctionne dans les deux sens, pour l’accès qui est situé sur le territoire d’États tiers. On pose ça sur la table et on dit : si on ne veut pas que vos données puissent être accédées par ce biais, il faut au moins les localiser sur un territoire qui n’y est pas soumis. Il y aura quand même des conditions de réciprocité, mais, surtout, il faut avoir le contrôle et la maîtrise sur ces accès, donc il faut en particulier que les entités juridiques soient exclusivement soumises à la législation de l’Union européenne puisque, sinon, des législations tierces peuvent être activées.

Je dirais que ce n’est pas tout. Par exemple, dans un transfert d’un État de l‘Union européenne à un autre État de l’Union européenne — Tariq a évoqué la question du routage —, si vos données passent par Singapour, Tokyo ou Baltimore, alors cette idée d’un espace purement européen est juste une fiction juridique. Il y a la réalité technique, le diable est dans les détails, le diable est dans les routages, il faut donc envisager l’intégralité des menaces qui peuvent peser sur le dispositif.
Je me permets juste, parce qu’il y a eu cette présentation vidéo qui dit que le chiffrement de bout en bout est la solution. Si c’est pour qu’à l’arrivée les données soient en clair et puissent être aspirées, eh bien non, c’est un élément de solution, c’est utile contre un certain nombre d’attaques mais pas nécessairement toutes.

Il faut vraiment remettre cette question de l’adéquation et la question de ces instruments de ce point de vue-là uniquement dans le périmètre des données à caractère personnel qui ne sont, là encore, qu’une des pièces du puzzle.

Julia Sieger : Merci beaucoup.
Dimitri, on this question – talking about sovereignty and data protection – how can we better perhaps protect the data of European citizens and the European Union, and maybe, you know, not be constrained by foreign interference ? And is the European Commission’s adequacy decision going far enough, do you think ?

Dimitri, sur cette question – la souveraineté et la protection des données – comment pouvons-nous mieux protéger, éventuellement, les données des citoyens européens et l’Union européenne et peut-être ne pas être contraints par les interférences de l’étranger  ? Et la décision d’adéquation de l’Union européenne va-t-elle assez loin à votre avis  ?

Dimitri Van Zantvliet : It’s a layered question. So let me answer the sovereignty first.
If you look at the policies in the governance that we have in our critical infrastructure, we look at sovereignty in four domains actually.
The first one is the geographical sovereignty. We are looking into “Do we want to do business with foreign states with an aggression against us ?” for example. Obviously not. But also, do we want to look at process sovereignty ? For us, it’s very important to have a holistic view on the attack surface ; so it’s important to have, also, insight in the control data that our processes use, and to be able to withstand all the attacks that are going in the supply chain.
I think the technical sovereignty is the third layer. It’s very important to be able to pull back your stuff. What we see now is that we have three hundred fifty development teams, and some of them are building stuff in AWS. Thus for example if you build it with no JS and you build it with Python, it’s heavily integrated into the AWS stack ; it’s almost impossible to shift it out of AWS, so the technical sovereignty needs to be thought of when you design new functionality.
And the last part – I think it’s an answer also to the Data Sovereignty Act – is that for data sovereignty, as a final element, you need to know where your data is. You have a lot of shadow data nowadays ; you need to encrypt it, but you need to contain the key yourself. So, for the encryption and the key management, it’s, I think, crucial for the coming years that we develop new innovations that allow us to really contain the key ourselves, and not store it somewhere in the vault on Azure, on AWS, somewhere in the cloud where someone else can reach it. But we own the data, we have the key, and nobody else can touch it.

Cette question comporte plusieurs étages. Permettez-moi de répondre d’abord sur la souveraineté.
Si l’on regarde les règles de gouvernance concernant nos infrastructures critiques, on voit en fait quatre domaines de souveraineté.
Le premier est la souveraineté géographique. On se demande, par exemple, si l’on veut faire des affaires avec des États étrangers auteurs d’une agression contre nous. Évidemment non.
Ensuite, la souveraineté dans les processus. Pour nous, il est très important d’avoir une vue holistique de la surface d’attaque. Il est donc important d’avoir également une connaissance des données de contrôle que nos processus utilisent et d’être capables de résister à toutes les attaques qui affectent la chaîne logistique.
Je pense que la souveraineté technique est le troisième étage. Il est très important de pouvoir récupérer nos billes. Nous constatons actuellement que nous avons 350 équipes de développement et que certaines travaillent dans AWS [Amazon Web Services]. Ainsi, les produits fabriqués sans JavaScript et avec Python sont fortement intégrés dans la pile AWS et il est presque impossible de les en sortir. Par conséquent, la souveraineté technique demande à être prise en compte quand on conçoit une nouvelle fonctionnalité.
Enfin – et je pense que c’est également une réponse à la Directive sur la souveraineté des données – on a besoin de savoir où sont nos données. De nos jours, il y a beaucoup de shadow data [Données inconnues ou non gérées par le service de sécurité informatique de l’entreprise, NdT]  ; elles doivent être chiffrées, mais on doit conserver nous-mêmes la clé. Pour le chiffrement et la gestion des clés il est donc à mon avis essentiel que nous développions dans les prochaines années des innovations qui nous permettent effectivement de conserver nous-mêmes la clé et ne plus la stocker quelque part dans un coffre sur Azure, sur AWS, quelque part dans le cloud où quelqu’un d’autre peut s’en emparer. Ainsi nous posséderons les données, nous aurons la clé et personne d’autre ne pourra y toucher.

Julia Sieger : Là, je voudrais peut-être l’avis de tout le panel également. Ça fait cinq ans que le RGPD [3] est entré en vigueur. Quel bilan dressez-vous de ce règlement européen ? Est-il encore à propos ? Faudrait-il le modifier ? Quel est votre bilan Monsieur Issarni ?

Alain Issarni : Le bilan du RGPD. Le RGPD [3] a été un peu un choc pour les DSI parce que ça a été quand même pas mal de travail. Je pense avoir peut-être fait partie, à un moment donné, des gens j’allais dire agacés par le RGPD, ce n’est pas le bon terme, parce que c’était un concept nouveau. Une fois que j’ai dit ça, c’est juste un concept nécessaire et indispensable. On peut se plaindre de pas mal de choses, mais je pense que c’est quelque chose de très bien et on peut s’en réjouir.
Je vais peut-être rebondir sur le sujet de l’adéquation qui a été évoqué tout à l’heure. Si l’adéquation est définie, je ne sais pas si tout le monde est familier avec ça : Schrems 2 [11], sous contrôle, a remis en cause l’adéquation RGPD [3] entre les États-Unis et l’Europe. Une nouvelle procédure d’adéquation est en route, qui va peut-être conduire à une adéquation RGD entre les États-Unis et l’Europe.

Julia Sieger : Un Schrems 3, peut-être ?

Alain Issarni : Exactement. C’est en chemin et déjà beaucoup prétendent qu’il va y avoir du Schrems 3. Ce que je voulais dire par là c’est que s’il y a un Schrems 3 on aura encore perdu cinq ans de plus à essayer de se réfugier derrière : tout cela va être éventuellement sécurisé à um moment et va pouvoir être compatible, du coup on ne bouge pas ; ça fait perdre du temps. Pour le coup ce n’est pas RGPD [3], mais, dans les faits, si je prends l’impact qu’a pu avoir Schrems 2, honnêtement il n’est pas très fort de mon point de vue. Quelles sont les décisions réellement contraignantes qui ont été prises au point d’interdire des outils qui n’étaient pas compatibles RGPD suite à Schrems 2 ? Finalement il n’y en pas énormément. Il y en a une qui est Google Analytics. La CNIL, comme certaines CNIL européennes, a dit « Google Analytics n’est pas compatible RGPD, arrêtez de l’utiliser ». À part cela, à ma connaissance, au Danemark aussi il y a eu une tentative de la CNIL danoise d’avoir une contrainte forte dans le monde de l’éducation scolaire qui utilise énormément la Google Suite et les Chromebooks et elle avait décidé l’été dernier, suite à pas mal d’avertissements, de dire à un certain nombre de collectivités locales « dorénavant vous ne pouvez plus utiliser cela ». Ils ont tenu bon jusqu’au début de la rentrée, je crois qu’ils ont tenu un mois et demi. Depuis, sauf erreur de ma part, il y a des dérogations pour pouvoir l’utiliser.

Ce que je veux dire par là c’est que la réglementation RGPD [3], tout cela, c’est très bien. Est-ce que c’est suffisant ? Probablement pas, parce que, en fait, le niveau de contrainte que ça impose est très fort pour les responsables de traitement sur les mauvais comportements qu’ils peuvent avoir. Est-ce que ça va influencer le marché et un certain nombre d’acteurs qui sont déjà en place ? La réponse est difficile et je comprends qu’elle soit difficile parce que, tant qu’il n’y a pas d’alternative, c’est difficile d’aller dire « on interdit complètement l’utilisation de tel cloud, de tel outil ou autre ». C’est compliqué et, malheureusement, ça n’y suffit pas. Il faut donc trouver le moyen, j’allais dire, de pouvoir faire émerger des alternatives et peut-être, je vais le dire comme ça, alors donner la possibilité à la CNIL ou aux autres autorités d’être plus contraignantes vis-à-vis d’un certain nombre de choses.

Julia Sieger : Tariq.

Tariq Krim : Ce qui est à fois la force mais aussi le drame du RGPD [3] c’est qu’il est arrivé à un moment où l’Internet, avec les réseaux sociaux, était totalement en train de changer, avec des conséquences dont on commence à peine à voir véritablement les effets néfastes. D’une certaine manière, on a commencé à réfléchir non pas aux causes, mais on a essentiellement essayé de modérer les conséquences.
Une chose m’amuse toujours quand on demande aux gens : qu’est-ce qu’a apporté le RGPD [3] pour vous ?, et qu’ils disent « des popups sur tous les sites ». C’est assez anecdotique en apparence, mais on n’a pas réfléchi à une offre complète qui intègre le design, qui intègre le fait qu’à un moment donné il fallait obliger les keepers, que ce soit les navigateurs, que ce soit les plateformes mobiles, à intégrer cela de manière intelligente. D’une certaine manière, on nous fait payer le fait que c’est quelque chose dont beaucoup de gens ne veulent pas.
Fondamentalement, ça ne répond pas à tous les problèmes et, parce que ça ne répond pas à tous les problèmes, on s’est retrouvé ensuite avec une pléthore de lois : je crois que le commissaire Thierry Breton nous a ajouté de nouvelles propositions avec le Cyber Resilience Act [12] ; je crois qu’il y a le Cyber Solidarity Act [13], mais aussi le Data Governance Act [9], le AI Act [14], il y a le DMA [15], il y a DSA [16]. On a l’impression qu’il va y avoir une sorte de complexité régulatoire et, fondamentalement, le temps de les mettre en œuvre, le marché va encore évoluer, on le voit déjà aujourd’hui avec ChatGPT et toutes les IA génératives.

Julia Sieger : Justement, les entreprises françaises ne sont-elles pas en train de crouler sous la bureaucratie ? Est-ce que ça ne met pas des freins à l’innovation ?

Tariq Krim : C’est compliqué. Je pense que la force c’est quand on a une forme de clarté. Les lois importantes des États-Unis sont assez anciennes : la « section 230 » [17] sur la question de la régulation des réseaux sociaux, c’est 1997 ; le DMCA [18] ça fait un petit moment déjà, et on a laissé une forme d’innovation un peu sauvage se construire et, évidemment, des monopoles autour de ces innovations un peu sauvages.
En Europe les valeurs, c’est-à-dire la manière dont on construit les logiciels, n’est pas forcément la même : si la vision que l’on a de la vie privée n’est pas la même, le logiciel n’est pas le même. Quand on prend, par exemple, la vision de la nourriture, je donne toujours cela, j’ai confiance quand on me dit que les produits, en Europe, sont organisés ; quand je vais aux États-Unis, que j’achète des boîtes dans les supermarchés, je ne suis pas toujours certain de ce que je vais trouver dedans.
Pour le logiciel je pense qu’on a peut-être raté cette opportunité de dire qu’on a un mieux-disant, une façon différente, et de soutenir l’innovation aussi sur cette qualité de service. Je me permets juste de rappeler que l’Europe a été un leader, et la France, dans les infrastructures. Dans l’eau, par exemple, on a une école française de l’eau, on a appris à gérer l’eau d’une manière extraordinaire qui va être essentielle quand elle va commencer à manquer ; dans tous les domaines, que ce soit dans le nucléaire, dans l’électricité, le spatial, le train, il n’y a pas un domaine, en Europe, où on n’a pas été quand même extrêmement bons. Finalement, tous ces services c’est la nouvelle infrastructure avec ce savoir-faire, cette compétence d’un point de vue des valeurs et d’un point de vue de l’envie de les faire, et je trouve dommage, je dirais, que la régulation européenne se positionne beaucoup plus en réaction à ce qui se passe aux États-Unis plutôt qu’en accompagnement d’une vision proprement européenne.

Julia Sieger : On va prendre votre réaction dans un instant.

Julia Sieger : Dimitri, what is your take on GDPR five years after it was voted in ?

Dimitri, quelle est votre position sur le RGPD [3], cinq ans après son adoption  ?

Dimitri Van Zantvliet : Being in season for many years, the question was asked to us : at first to [me], when I became a DPO (Data Protection Officer) as well, and later on to people that learned for it, that took over the helm. It was quite some work to do it, but I think it was great. I think GDPR really showed the world, on a world stage, what needed to be done to protect data. If you look at the implementation, I think it’s not going fast enough if you look at the fines. I think it’s now starting to – you know, the big companies are now being fined, but the first years they were a toothless tiger, so to say. So, that’s picking up, but it’s not picking up fast enough, and GDPR is just one aspect.
If we look at for example AI – you mentioned it already – we are lagging behind in legislation and enforcing legislation. So, I think we need a more experimental governance. Once new technology comes into place, we need to be willing to, as a society, experiment with allowing things to happen, make mistakes, and even make policies that are not one hundred percent valid and workable. It’s like being agile in your governance. We talked too long and too much about policies at a European stage. I think we should shorten those lead times.

Cette question, qui est d’actualité depuis plusieurs années, nous a été posée, d’abord à moi lorsque j’ai pris la fonction supplémentaire de DPO [Data Protection Officer] et, plus tard, aux personnes qui l’ont étudié et ont repris la barre. C’était beaucoup de travail, mais je pense que c’était super. Je pense que le RGPD [3] a vraiment montré au monde, sur la scène mondiale, ce qu’il était nécessaire de faire pour protéger les données. Je pense que sa mise en œuvre ne va pas assez vite si l’on se base sur les amendes ; cela a commencé — les grandes entreprises reçoivent désormais des amendes —, mais, pendant les premières années, c’était en quelque sorte des tigres de papier. Donc cela démarre, mais cela ne démarre pas assez vite et le RGPD [3] n’est qu’un des aspects.
Si l’on considère, par exemple, l’IA – que vous avez déjà mentionnée – nous sommes en retard dans la législation et dans l’application de cette législation. Je pense que nous avons besoin de politiques publiques plus expérimentales. Lorsqu’une nouvelle technologie se met en place, nous devons être disposés, en tant que société, à laisser les choses se produire sur un mode expérimental, à faire des erreurs, et même à établir des règles qui ne sont pas 100 % valables et applicables. Autrement dit, mettre de l’agilité dans notre gouvernance. Nous avons trop discuté, trop longtemps, de régulation au niveau européen. Je pense que nous devrions raccourcir ces étapes préliminaires.

Julia Sieger : We’ll actually come back to AI in just a moment, because I think it’s an important factor to talk about as well.

Nous reviendrons effectivement à l’IA dans un instant. Je pense que c’est aussi un facteur important à discuter.

Julia Sieger : Monsieur Pellegrini, sur le RGPD [3] cinq ans plus tard ?

François Pellegrini : Je vais bien évidemment parler en tant que régulateur avec juste un petit commentaire. Quand j’entends dire que le RGD a demandé une charge de travail importante aux organisations, je me dis que s’il fallait vraiment cet effort-là pour se mettre en conformité avec le RGPD, cela veut dire qu’il y avait peut-être une violation de la loi Informatique et Libertés [19] qui existe depuis 40 ans. Le RGPD est une évolution, ce n’est pas une révolution. Ce que le RGPD a changé, bien évidemment, c’est la taille du gourdin, selon le célèbre théorème d’Al Capone qui dit que pour obtenir quelque chose il vaut mieux être armé et poli que juste poli. Effectivement, avant on n’avait pas nécessairement les moyens de pouvoir imposer des niveaux d’attention suffisants de la part des acteurs du marché.

Notez bien aussi, par rapport à cette notion de bureaucratie que je veux combattre également  : l’idée, c’est que l’ancienne directive de 1995 s’imposait uniquement aux acteurs, aux entreprises qui étaient situées sur le territoire de l’Union. Le RGPD [3] a pris la même argumentation que celle que Tariq citait pour la nourriture, c’est-à-dire que si vous voulez vous adresser à des consommateurs qui sont dans l’Union, vous devez les protéger. Par rapport à l’ancienne législation, le RGPD est un texte qui est donc beaucoup plus équitable parce que tous les acteurs qui veulent interagir sur le territoire européen doivent respecter cette réglementation, c’est la même chose pour la nourriture, c’est la même chose pour la qualité des vêtements. Le RGPD est donc une vraie avancée parce que cette bureaucratie supposée, en fait, s’applique à tout le monde alors qu’avant les acteurs européens étaient défavorisés par rapport aux fournisseurs tiers. Bien sûr, comme ça a été cité, il ne suffit pas qu’une réglementation existe, il faut l’appliquer.

J’aimerais quand même préciser ce qu’introduit le RGPD [3]. Avant, il y avait des autorités de protection des données nationales, qui intervenaient sur leur territoire. Le RGPD a créé un mécanisme d’interdépendance avec cette notion de guichet unique qui fait qu’un résident de l’Union peut porter plainte dans son pays et, ensuite, ce sera traité par un mécanisme de coordination européenne, ce fameux guichet unique, pour les cas dits transfrontaliers. C’est un mécanisme compliqué parce que, avant le RGPD, certaines autorités de protection des données n’avaient pas de pouvoir de sanction, donc un certain nombre d’autorités ont dû apprendre de nouveaux métiers qu’elles n’avaient pas. On est cinq ans après. Bien sûr qu’au temps de la techno c’est un temps extrêmement long, mais au temps de la transformation des organisations, pour arriver à avoir un dispositif qui fonctionne, c’est assez court.

Ça marche quand même déjà, c’est-à-dire qu’aujourd’hui plus de 2000 décisions ont déjà été rendues au titre du guichet unique ; il y a eu quelques goulots d’étranglement dont on espère, bien sûr, qu’ils sont en voie de résolution rapide parce qu’il faut apprendre, justement, à travailler ensemble. Il y a, en particulier, des mécanismes sur l’analyse des décisions contraignantes faites par une autorité – pour les juristes : c’est l’article 65 du RGPD. Au départ, les gens étaient un peu hésitants sur ce mécanisme en disant « si je l’utilise contre une autorité, est-ce qu’elle ne va pas le prendre mal ? » Non. Ce sont des instruments de la coordination que le législateur a prévus. On commence à les utiliser, ça prend un peu de temps. Je rappelle que dans le domaine de la concurrence, il a fallu 12 ans après que le mécanisme européen de régulation de la concurrence soit mis en œuvre pour que la première décision soit rendue. Là, quatre ans après, on commence à avoir des décisions, on apprend en marchant, on discute les uns avec les autres. Il faut aussi aplanir certaines problématiques de législations nationales, et c’est pour cela que nous sommes aussi en train de travailler avec la Commission européenne pour mettre d’équerre un certain nombre d’éléments de procédures nationales qui retardent le bon traitement des plaintes au niveau européen.
Je pense que ça va dans le bon sens. Ça demande du temps de mise en route, mais je crois que maintenant ça commence à fonctionner de façon correcte.

Soyons clairs, c’est une peu comme l’écologie, Tariq le citait le cas de l’eau. Avec le RGPD, on a quand même réussi, sans les moyens des grands majors de la communication, à créer une marque globale. Ce qui est très intéressant, avec cet effet d’une extraterritorialité basée sur les fournisseurs — une territorialité toujours de marché —, c’est que maintenant cette marque globale s’impose à tous. Quand vous avez un prestataire, par exemple aux États-Unis, qui doit respecter le RGPD pour les résidents européens et qui ne le fournit pas à ses propres nationaux, les nationaux sont en droit de se dire « que faites-vous ? Pourquoi les étrangers sont-ils mieux protégés que moi ? ». J’insiste en l’occurrence sur ce plan-là : la loi Informatique et Libertés, c’est le 6 janvier 1978 ; il y avait une loi suédoise avant, en 1972 ; aux États-unis ils n’en sont pas encore là ! Bien sûr, ça commence à discuter.

Julia Sieger : D’ailleurs, certains États aux États-Unis, comme la Californie, s’inspirent du RGPD.

François Pellegrini : Absolument. Ça montre bien que la distorsion de concurrence existe quand des acteurs sont capables de produire des produits de moins bonne qualité et d’arriver à les mettre sur le marché. Le rôle du régulateur c’est de faire en sorte que l’égalité de concurrence soit respectée sur le marché en question entre tous les acteurs qui participent au marché. Comme je le dis, ça prend du temps. Le temps du droit n’est pas le temps de la technique, mais je pense que la trajectoire est bonne.

Julia Sieger : Tariq.

Tariq Krim : On parlait de nourriture, une anecdote : la NASA invente un système de tests de produits parce que, pour des raisons que tout le monde comprend, il est évident que les astronautes ne peuvent pas avoir mal au ventre, on va dire pour être poli, lorsqu’ils sont dans l’espace ; c’est le système inventé aux États-Unis que va choisir l’Europe ! En fait, il y a toujours une volonté, que je trouve intéressante, de construire une certaine exigence de qualité et ensuite, de construire les services qui vont avec, qui s’associent à cette exigence de qualité.
On a les capacités, dans le numérique, de faire ce genre de choses — on aura la capacité de le faire également dans les services de l’intelligence artificielle. Ce que je trouve dommage, c’est que, pour l’instant, vous en parliez tous avant, il y a ce marketing qui a été travaillé à la fois dans la Silicon Valley et en France, cette expertise absolument extraordinaire, cette idée qui dit que les produits sont tout faits, tout simples, qu’il n’y a rien à faire ! La réalité c’est que quand on veut faire des choses de qualité ce n’est pas facile.
Je crois que la très grande erreur de la France a été de dire « on ne fabrique plus les produits, on les fait ailleurs » et on oublie la chose essentielle : pourquoi une Tesla, pourquoi un iPhone ont de la valeur ? Parce que ce sont des engins extrêmement complexes à fabriquer. Tesla fabrique ses propres batteries, désormais Apple fabrique ses propres microprocesseurs, son propre modem, il n’y a quasiment plus rien qui ne soit pas fabriqué par Apple. C’est extrêmement complexe. Ensuite, en Chine, il y a que l’assemblage qui est fait. On a oublié que si on veut créer de la valeur, donc des services de qualité, il faut intégrer des composants de qualité et ce n’est pas simple. Il faut arrêter ce culte de la simplification où on appuie sur un bouton et tout va se faire de manière magique, comme les licornes dans la tech ; les licornes n’existent que dans les contes de fée ! Il faut revenir un peu dans la réalité et réapprendre cette complexité.

Il y a quand même une spécialité française. On a appris à faire des choses extrêmement complexes. Je parlais récemment avec un pilote qui m’expliquait que quand on fait des vols en Concorde on n’en croit pas ses yeux, on se demande comment on a réussi à faire une chose pareille. L’Europe est capable : il y a cette potentialité de refaire des choses complexes à fabriquer et simples pour les utilisateurs. Il faut qu’on le fasse.

Julia Sieger : C’est aussi un appel à la réindustrialisation de la France.

Tariq Krim : Je crois que la réindustrialisation est un objectif que tout le monde a compris. La question c’est qu’on ne réindustrialisera pas comme avant  ; on va devoir apprendre de nouvelles choses. Il y a de nouvelles complexités  : l’écologie, la question des terres rares. On doit aussi se poser la question de reprendre tous les déchets qu’on a construits, tous ces téléphones – vous savez qu’il y a une petite icône qui dit qu’on ne doit pas les jeter à la poubelle, ils doivent être repensés : comment récupérer les éléments, comment on va créer de nouvelles chaînes de valeur. Il y a tout un ensemble de choses nouvelles à construire et ça devrait être, au contraire, une force pour les jeunes ingénieurs qui vont se lancer. Il y a un vrai défi qui me semble très excitant.

Julia Sieger : Vous vouliez réagir François, rapidement.

François Pellegrini : Je crois qu’avoir perdu l’acte de fabrication, c’est effectivement avoir perdu une source de connaissance importante. Un proverbe en Asie dit en quatre mots : « regarder, copier, comprendre, faire mieux » ; comprendre va même après copier, c’est-à-dire qu’on regarde et on extrait de la compétence et de la connaissance de l’acte de faire les choses et de les fabriquer soi-même. Réindustrialiser, en tout cas ramener sur le territoire, c’est permettre à ce savoir de revenir dans la chaîne de valeur et de production.

Je reviens aussi sur un autre point, sur ce que disait Alain : on a les logiciels libres, oui, mais les gens veulent des services. C’est-à-dire qu’avoir le Libre, si on n’a pas la société qui est capable de fournir les services compétents, alors ça devient problématique. Or, dans le Libre, on est face à de toutes petites structures, des TPE et c’est très compliqué : quand un ministère régalien dit « pour avoir de la maintenance sur le support, j’écris à toto83 chez lulu.com », ça défrise un peu les gens.
Il faut justement apprendre, dans ce nouvel écosystème, à pouvoir faire émerger les sociétés de support de services et réfléchir au partage de la valeur : une société qui ne fournit que du support ne contribue pas au patrimoine logiciel. Il faut donc être capable d’intégrer. Les sociétés éditrices de logiciels privatifs font en sorte que le support soit directement dans le modèle financier qui crée le logiciel. Il faut faire très attention avec le Libre, c’est une vraie problématique de comprendre la valeur stratégique du Libre pour que le support nourrisse le développement ; ce sont des modèles à favoriser, ce sont des modèles à comprendre. Le Libre est un facteur de puissance économique considérable. D’ailleurs ce n’est pas une entreprise privée qui a concurrencé Microsoft, c’est Linux, un étudiant finlandais un jour et 10 000 personnes dans le monde qui se sont jointes à lui. C’est cette puissance et cet effet de levier-là qu’il faut comprendre et ça suppose une compréhension des modèles économiques du numérique.

Julia Sieger : Dimitri voulait réagir, puis Tariq juste après.

Dimitri Van Zantvliet : Tariq talks about unicorns, and I think you’re spot on if you look at the ecosystem. For example, in the Netherlands we have a lot of startups, and we are able to fund them with angel funds. We go to the A round, to the E round, and to get into the unicorn stage I think that’s very difficult for European countries. There, I think the ecosystems should also provide the maximum funding for companies to grow, because what we see right now is that, over the last decades, we were looking at state-owned companies, and that was a big problem. We liberalize the organizations, and now we are owned by the big tech. So, we need to get back control in Europe, and make sure that funds are available for scale-ups to become unicorns as well.

Tariq parle des licornes et je pense qu’on est en plein dans le sujet si l’on s’intéresse à l’écosystème. Par exemple, aux Pays-Bas, nous avons de nombreuses start-ups et nous sommes capables de les financer avec des angel funds [20]. Nous passons les premières étapes, mais je pense qu’il est très difficile d’atteindre l’étape licorne dans les pays européens.
Je pense que les écosystèmes devraient aussi fournir un financement maximum pour permettre aux entreprises de grandir. Pendant les dernières décennies, nous avions des entreprises publiques et c’était très problématique. Nous avons libéralisé les organisations et nous constatons maintenant que nous sommes la propriété des géants de la tech. En Europe, nous avons donc besoin de reprendre le contrôle et de faire en sorte que des fonds soient disponibles pour que les scale-ups deviennent des licornes.

Tariq krim : Je voulais juste me permettre de faire un aparté sur le Libre. On entend souvent « le Libre c’est fantastique, c’est gratuit, c’est disponible partout ». La majorité du code des logiciels libres, souvent inventés en Europe, on a notamment parlé du Web et de Linux, donc le front-end et le back-end pour simplifier, sont désormais dans des fondations de droit américain. Comme vous le savez, parmi les prérogatives que le président américain a, il y a la question du droit à l’export, la limitation du droit à l’export.
Dans la situation iranienne, ce qui était fascinant au-delà du fait qu’on bloquait les plateformes de développeurs, donc GitHub et GitLab, c’est que ça a été le début, pour certaines personnes, de comprendre que, d’une certaine manière, la production de logiciels — ce qu’on appelle souvent des communs à mon avis à tort — était désormais formalisée dans des entités de droit américain et que ça devenait un avantage commercial. C’est pour ça que la Chine, depuis des années, a décidé de redévelopper des logiciels libres avec des licences locales. C’est pour ça qu’il va falloir travailler sur la relocalisation de fondations en Europe ou même, peut-être, en droit suisse, quelque chose d’un peu international, qui ne soit pas une arme géopolitique. Je parlais, tout à l’heure, de la complexité dans laquelle on est : désormais, on a à la fois une guerre économique, mais on a aussi ce qu’on appelle souvent la low fare, c’est-à-dire que le droit devient une arme d’extraterritorialité, mais également des possibilités de limitation des usages. On parlait de complexité tout à l’heure, il y a également ce sujet qu’il faudra laisser. Je voulais juste faire un petit aparté là-dessus.

Julia Sieger : Merci.
Michel Paulin, le directeur général d’OVH, devait être avec nous lors de cette plénière, il n’a pas pu se libérer, mais on a pu lui parler et il évoquera un peu tous les thèmes qu’on vient d’évoquer ici sur cette table ronde. Je vous propose de l’écouter.

[Virgule musicale]

Julia Sieger : Michel Paulin, bonjour.

Michel Paulin : Bonjour.

Julia Sieger : Pouvez-vous nous expliquer si, à vos yeux, l’Europe accuse un retard technologique en termes de cloud, en termes de sécurité et d’interopérabilité ou uniquement en termes d’usages technologiques ?

Michel Paulin : Ni l’un ni l’autre. Je pense qu’aujourd’hui l’Europe n’a aucun retard technologique sur plein de domaines. Si on prend l’ensemble de l’écosystème des acteurs européens dans le domaine de la cybersécurité, dans le domaine du cloud, dans le domaine du logiciel, nous avons aujourd’hui toutes les briques pour pouvoir le faire. Ce que nous n’avons peut-être pas, ce sont des acteurs d’une taille aussi importante que sont en particulier les écosystèmes chinois ou les écosystèmes américains qui permettent de faire, excusez-moi l’anglicisme, du one-stop shopping dans lequel vous pouvez avoir le bénéfice d’avoir à un seul endroit la totalité des solutions. L’enjeu n’est pas un enjeu de retard technologique, il n’existe pas.

Julia Sieger : Justement, dans le cadre du comité stratégique de filière numérique de confiance, quels sont selon vous les atouts différenciateurs des fournisseurs de cloud français qui permettront de faire émerger une offre compétitive française ?

Michel Paulin : Le premier acte de différenciation c’est clairement aujourd’hui le fait que les acteurs européens, de droit européen, ont une conception du rapport à la donnée qui est totalement différente de celle des écosystèmes chinois ou américains. On voit bien qu’en Chine la conception des données est une conception où le tiers de confiance c’est l’État qui contrôle tout et on a une conception américaine qui est une conception marchande des données.
En Europe, parce qu’il y a un droit européen, en particulier avec l’initiative du RGPD, on voit bien que la protection des données est au cœur des écosystèmes autour de la donnée. Les acteurs européens, parce qu’ils ont commencé sur ce modèle-là, ont donc une spécificité totale, c’est-à-dire que les notions de cloud de confiance, les notions de cloud souverain, sont une réalité pour l’Europe alors que les autres acteurs ne peuvent pas y prétendre. Pourquoi ? Parce qu’ils sont soumis à des droits comme le CLOUD Act [5], comme le FISA [7], toutes ces lois extraterritoriales qui imposent à tout le monde, en particulier hors de leurs frontières, des droits qui ne sont pas des droits locaux.
Je pense, au contraire, qu’aujourd’hui l’Europe est avance sur tous ces autres acteurs sur ces notions protection des données. Nous sommes des leaders, clairement.

Julia Sieger : L’EUCS [European Cybersecurity Certification Scheme for Cloud Services], le schéma de certification cloud européen [21] et leDigital Market Act [15] peuvent-ils, à votre avis, générer des opportunités pour les fournisseurs de cloud européens ?

Michel Paulin : Je pense que le premier bénéfice, indépendamment de l’avantage pour des acteurs européens, c’est de clarifier les conditions dans lesquelles les marchés sont faits. Quand vous êtes dans le domaine de l’agriculture, vous voulez avoir une traçabilité et une transparence pour savoir l’origine de tel aliment. De la même façon, dans le cloud, il est indispensable que nous ayons une clarification et une transparence. C’est un des enjeux de Gaïa-X [22], c’est un des enjeux du DMA [15], c’est un des enjeux, aujourd’hui, de l’ensemble du DATA Act [9] et je pense que c’est d’abord pour le marché, c’est d’abord pour les utilisateurs, c’est d’abord, aujourd’hui, pour les clients. Bien entendu, parce que les opérateurs européens, justement, sont conformes à ces lois-là, nous pensons que c’est aussi un avantage concurrentiel, mais c’est un avantage concurrentiel pour le bénéfice des clients.

Julia Sieger : Au niveau européen, des initiatives comme le PIIEC [Projets Importants d’Intérêt Européen Commun] seront-elles suffisantes, à votre avis, pour créer un écosystème commun, capable justement de rivaliser, vous l’avez dit, notamment avec la Chine, avec les États-Unis ?

Michel Paulin : Je pense que c’est nécessaire. Est-ce que c’est suffisant ? Non. Si vous regardez ce qui se passe aujourd’hui dans les écosystèmes comme la Corée ou, dans le domaine de la cybersécurité, en Israël ou en Chine et, bien sûr, aux États-Unis, en fin de compte, on voit que ces écosystèmes créent des champions mondiaux parce qu’il y a eu quatre facteurs qui se sont rassemblés.
Un, clairement, un État stratège qui définit une réglementation, des certifications, des financements qui vont permettre de définir là où on le souhaite une ambition à long terme. Il faut donc que l’Europe soit stratège, mais ce n’est pas suffisant. L’IPCEI [Important Projects of Common European Interest] que vous mentionnez est un des éléments de financement qui le permettra. Est-ce que l’ordre de grandeur est suffisant ? On peut avoir tous ces débats, mais je pense qu’il faut aller un cran plus loin : il faut la réglementation, la certification, on en a parlé. Il faut la commande publique. Aujourd’hui, la commande publique, mais la commande aussi des grands groupes, est un des enjeux majeurs pour développer un écosystème européen.
Je pense qu’il y a aussi trois autres sujets.
Il y a un autre sujet qui est le financement cette fois-ci en equity, donc les startups, les scale-ups, l’accès aux marchés. Nous n’avons pas de Nasdaq ? Comment va-t-on aider les entreprises à être capables de se doter en fonds propres d’une capacité de financement pour pouvoir se développer ?
La recherche et développement. On voit bien que les écosystèmes aujourd’hui de recherche et développement sont autour de Standford Université, autour de Harvard, autour du MIT [Massachusetts Institute of Technology], mais on les voit aussi en Corée, en Israël. Tous les échanges entre public et privé sont aujourd’hui capitaux pour pouvoir développer une recherche et de l’innovation.
Et, dernier point, le caractère humain, les ressources humaines. On sait que c’est un problème, aujourd’hui le recrutement est un problème : nous n’avons pas assez d’ingénieurs en Europe. J’avais dit, de manière un peu provocatrice, « plutôt que disperser des subventions partout, il vaut mieux investir dans les universités pour faire en sorte qu’il y ait plus d’ingénieurs, avec plus de mixité d’ailleurs et avec des doctorants qui auront intérêt à rester sur le territoire européen ».

Julia Sieger : Merci beaucoup.

Michel Paulin : C’est moi que vous remercie.

[Virgule musicale]

Julia Sieger : Vous vous rejoignez effectivement sur beaucoup de sujets. On a un dessin de notre dessinateur qui s’appelle Nicolas Caruso, je vous laisse le découvrir.
On va revenir, dans un instant, sur tout le côté RH. Avant ça, je voudrais peut-être creuser un petit plus la question de la commande publique, commande privée : est-ce qu’il faut un Buy European Act ?

Alain Issarni : Très belle question. Buy European Act, déjà il y a buy, ça veut dire aussi qu’il faut quand même acheter. C’est une décision, une stratégie à avoir. Il pourrait y avoir le réflexe de dire que quand on est dans la sphère publique, on obtient la souveraineté parce qu’on fait tout seul et on fait en interne. C’est pour ça que je dis que dans Buy European Act il y a « acheter ». Il faut se positionner stratégiquement pour savoir ce que l’on fait en propre et ce que l’on achète. La souveraineté ne veut pas dire uniquement faire en propre. Dans le domaine de l’armement, il y a maintenant plus de 30 ans que les navires de guerre ou les chars ne sont plus construits par la Direction générale de l’armement. Ce sont des entreprises à part entière et, pour autant, je ne suis pas sûr que l’on ait abandonné, à un quelconque moment, la souveraineté sur ces sujets-là. La stratégie qui est de savoir ce que l’on fait et ce que l’on fait faire est donc absolument indispensable.

Un Buy European Act, oui. Je pense que ça soulève une autre question qui est, si je le dis comme ça, sous forme d’humour, est-ce qu’on a la souveraineté suffisante pour pouvoir le décider ? C’est une bonne question. Je ne sais pas si on l’a, mais si jamais on ne l’avait pas ou si jamais il y avait une volonté politique pour ne pas tout à fait le faire, alors il me semble que dans la logique même qui est de savoir quels sont les acteurs qui doivent intervenir — ça rejoint un peu le sujet RGPD — il y a, in fine, l’utilisateur final. Je pense qu’il faut bien mettre dans le paysage que l’utilisateur final doit intervenir.
Il y a un sujet de sensibilisation à avoir et il faut donner la visibilité à l’utilisateur final pour savoir ce qui est fait de ses données et savoir comment c’est fait. Il y aura alors les deux leviers : il y aura la réglementation, certes, qui agira, mais il y aura l’utilisateur final et, in fine, c’est l’utilisateur final qui décide le business si on veut faire ça. Donc sensibiliser l’utilisateur final à toutes ces problématiques est indispensable, c’est un volet qu’il faut absolument avoir.

Et, dans cette logique-là, qu’y a-t-il ? Dans les cartons doit venir le CyberScore, l’équivalent du Nutri-Score que l’on voit maintenant sur tous les paquets, qui n’est pas contraignant, la seule contrainte c’est de devoir l’afficher. Je ne sais pas quelle est votre pratique, il vous arrive de regarder : quand c’est plutôt sur A ou plutôt sur E, peut-être que vous faites un peu de choix, donc vous dirigez un peu le marché.
Je ne sais pas si c’est le CyberScore qui pourra y répondre, c’est la finalité, en tout état de cause, je pense qu’il faudrait que l’utilisateur, quand il va utiliser n’importe quel service – parce que c’est un utilisateur au sens de client, parce que c’est un utilisateur interne au sein d’une entreprise –, ait la possibilité de savoir sur quelle échelle se trouve le niveau de confiance qu’il peut avoir sur l’utilisation de sa donnée. Je veux croire que cela va influencer le marché, c’est-à-dire qu’il ne faut pas toujours s’en remettre uniquement à la réglementation qui dit « c’est ça et rien d’autre », des fois on voit que ce n’est pas tout à fait le cas ! Par contre, aussi, et c’est complémentaire, sensibiliser l’utilisateur qui va guider le marché. Ça fait partie, de mon point de vue, des axes forts qu’il faudra approfondir.

Julia Sieger : Tariq sur cette question et je vais aussi reprendre celle de Monsieur Issarni : est-ce qu’il faut un Buy European Act et est-ce qu’on a la souveraineté pour le faire ?

Tariq Krim : Dans l’absolu oui. Il faut un mécanisme de ce type, c’est évident. Mais il y a, à mon avis, d’autres choses autour de ce Buy European Act, notamment en France qu’il faudrait développer.
J’aime bien citer l’économiste Mariana Mazzucato parce qu’elle a cette phrase incroyable, elle dit « il n’y a pas une technologie dans l’iPhone qui n’ait été, à un moment ou à un autre, financée par le gouvernement américain ». Il est vrai qu’aux États-Unis, quand on regarde la commande publique, notamment la commande dans le domaine militaire, les chiffres donnent le vertige, ce qui est d’ailleurs fascinant. Ça été vrai avec, par exemple, un des projets les plus hallucinants de l’histoire, Saturn V, cette fusée incroyable : il y a des grands contractors et il y avait également des petites sociétés dans tous les États-Unis, quasiment tous les États-Unis ont travaillé, même si c’est pour faire des boulons du deuxième étage, pour dire « on a fait partie de ce projet ». Et nous, d’une certaine manière, nous n’avons pas forcément la capacité de travailler avec les petits. Un des grands problèmes de l’Europe ce sont souvent les gros. Or, dans le numérique, les gros sont devenus les GAFAM, donc ce sont les interlocuteurs de facto.

Une deuxième chose dont on parle assez peu. Moi qui ai travaillé à la fois aux États-Unis et en France, qui regarde ce qui se passe dans l’innovation en Allemagne, j’ai toujours pensé, peut-être à tort, que l’informatique – parce que ce qu’on fait c’est finalement de l’informatique – est quelque chose de très méritocratique : il y a des gens qui sont très bons et puis il y a des gens qui essayent. J’ai trouvé qu’aux États-unis on avait toujours la possibilité de prouver sa valeur, on avait toujours des tickets d’entrée, moi le premier, c’est facile, je connais plein de startups ; d’ailleurs, avec Netvibes [23], mon premier partenaire c’était Disney, je ne les connaissais pas, la boîte existait depuis quatre jours ; il m’a fallu un mois pour avoir mon premier service français ! Ça montre la vitesse, « ça a l’air sympa, on va travailler avec vous. »
En Allemagne, on a des écosystèmes locaux, on aime bien travailler entre petites PME, mais c’est quelque chose qui est assez historique.
Nous, malheureusement, je trouve qu’on a parfois, je devrais même dire souvent, qui fait qu’on travaille avec des connaissances qu’on aime bien et la valeur de la preuve n’est pas souvent mise en avant. C’est également le problème dans le financement. En tant qu’ancien startupeur, on va dire, en tout cas entrepreneur, il n’y a pas que recevoir des subsides qui est important. On vous donne un peu d’argent, c’est super, tout le monde reçoit de l’argent de la BPI [Banque publique d’investissement] ou des différentes aides. On veut avoir un client, on veut que ce client soit content et on veut, par ce retour, améliorer le produit. Derrière le Buy European Act, la question qui est posée n’est pas de savoir si on va donner de l’argent ou acheter telle ou telle solution parce qu’on a juste dit qu’il faut qu’il y ait un pourcentage alloué. Ce que les gens veulent c’est progresser grâce à ce financement, c’est-à-dire que ce financement doit aussi permettre aux acteurs de passer à l’étape suivante de leur développement, puis à l’étape suivante. On confond souvent le fait que parce qu’on a donné des subventions qui sont, faut-il le rappeler, assez complexes à obtenir en Europe, c’est très bureaucratique, il y a aussi cette dimension de « c’est mon client ». Quand vous allez voir quelqu’un vous dites « c’est mon client », vous avez un respect pour ce client, vous avez envie de le servir, vous envie de lui donner le meilleur service, donc ça crée une émulation. Je pense qu’il faut combiner ce Buy European Act avec cette idée qu’il faut permettre aux entreprises, notamment les jeunes, de faire leurs preuves.

Julia Sieger : Dimitri, on this question, the Buy European Act, does this sound like a good idea ?

Dimitri, sur cette question du Buy European Act, est-ce que ça semble être une bonne idée  ?

Dimitri Van Zantvliet : I think for some parts it’s thus, but I think if you look at the critical infrastructure again, there’s a necessity for a stable and resilient sovereign solution. So perhaps that’s on the underlying structure that we could perhaps more impose some rules. But in the end, I think it’s about trust again, and it’s a question of demand and supply.
In the Netherlands, we have this expression that users vote with their feet. They vote by leaving if they don’t trust the service any more. I think if we don’t build that ecosystem, that European ecosystem where you invest in the new innovation and the scale-ups to come, you can have a mandate to buy European, but then if the ecosystem isn’t there, there’s nothing to buy.

Je pense que pour partie c’en est une, mais que si l’on tient compte à nouveau des infrastructures critiques, il est nécessaire d’avoir une solution souveraine stable et résiliente. C’est peut-être plus à la structure sous-jacente que nous pourrions imposer des règles. En fin de compte, je pense qu’il s’agit encore de confiance et que c’est une question d’offre et de demande.
Aux Pays-Bas, nous disons que les utilisateurs votent avec leurs pieds. Ils votent en quittant un service auquel ils ne font plus confiance. Je pense que si nous ne construisons pas cet écosystème, cet écosystème européen où l’on investit dans l’innovation et dans les scale-ups à venir, on peut avoir une injonction d’acheter européen, mais si l’écosystème n’est pas là, il n’y a rien à acheter.

Julia Sieger : Vous vouliez aussi réagir Monsieur Pellegrini.

François Pellegrini : Oui, volontiers. J’avais déjà parlé du Buy European Act. Je pense que la commande publique est essentielle et monsieur Paulin, dans son intervention, a parlé d’État stratège, qui est un mot qu’on n’a pas prononcé ; on l’avait dit de façon indirecte, mais je pense qu’il faut vraiment poser les termes.
Comme l’a rappelé Tariq, les produits sont de plus en plus complexes. Si on fait produire par du privé, ce qui est pertinent – pour qu’un produit existe, il ne faut pas qu’il soit un éléphant blanc, que son coût soit supportable, il faut que ce produit, s’il est à double usage, puisse aussi être rentabilisé par le secteur privé et les usages génériques, d’ailleurs les processeurs sont des technologies duales de cette nature –, il faut garantir que les entreprises en question ne soient pas rachetées plus tard par des entités tierces. On a en Europe un track record assez saignant de pépites stratégiques qui se sont fait racheter sans que ça émeuve beaucoup.

J’en reviens à la question de la complexité des produits et des intégrateurs, puisqu’on parlait des produits complexes. Les gens de Dassault m’avaient dit à l’époque qu’il y a 10 000 sous-traitants directs et indirects dans le Rafale, y compris des gens qui font les boulons. Ce qui est très compliqué pour le numérique, en particulier avec le Libre, c’est d’identifier et de rétribuer ces sous-traitants indirects. Il y a eu le cas comico-tragique d’OpenSSL [24] où, tout d’un coup, la personne qui maintenait une brique stratégique a dit : « Désolé, je n‘ai pas d’argent, j’ai besoin de croûter, je vais arrêter de faire ça ». Tout le monde a dit : « Tu voulais de l’argent, tiens, voilà de l’argent, on ne savait pas ! »
C’est important. C’est-à-dire que quand on a des technos qui sont stratégiques, quand on investit sur ce type de briques, il faut se dire qu’on investit dans la durée parce qu’on a un patrimoine informationnel à préserver et, derrière, la maintenance est un service. Ça revient à ce qu’on disait préalablement : il faut qu’on soit capable d’avoir une vision stratégique sur les services essentiels. Tariq parlait de la forge logicielle ; une forge logicielle est un service. Les communs existent – là je suis peut-être en désaccord avec toi –, mais c’est de la donnée morte. Pour la faire vivre il faut des services essentiels et, en particulier, bénéficier de l’effet de levier de la communauté, donc on a besoin d’avoir des places d’échange, des réseaux sociaux sur lesquels on va fonctionner.
Les effets de réseau font que parfois, même si un réseau social déraille, on y reste parce que, pour le moment, on ne voit pas l’alternative. Il y a l’exemple de Twitter [25], il y a eu l’exemple de Facebook avec Cambridge Analytica [26], qui sont de très bons exemples qui montrent comment l’effet de réseau peut aussi, j’allais dire, être un frein à la liberté de mouvement. Ce sont de vraies questions et c’est pour cela que la question de la portabilité des données prend un sens. Mais la notion de service essentiel, de marque globale, est essentielle.

Je reviens sur la question d’éducation, on y reviendra peut-être après quand on parlera de la formation universitaire. Il faut être capable de comprendre, parce que des gens qui sont juste des bons usagers ce sont de bons esclaves, je ramène pour cela à la conférence de François Élie de 2013 [27]. Quand j’entends parler de « cloud sans ordinateur », je dis « comment voulez-vous que les gens comprennent ? » Le cloud c’est bien de tourner sur l’ordinateur de quelqu’un d’autre. Si on ne comprend pas et si on ne se pose pas la question « où est l’ordinateur et où sont les données ? », comme disait tata Ursule : « On n’est pas le cul sorti des ronces ! », parce qu’on ne donne pas aux gens les bonnes clefs pour comprendre. La blague c’est : CLOUD : Can’t Locate Our Data, et c’est vrai ! Il faut savoir où c’est et, à partir de là, on définit des politiques de souveraineté, de stratégie : je mutualise mais jusqu’à quel niveau de subsidiarité, pour que je bénéficie des économies d’échelle, mais, à la fois, je reste dans un périmètre qui me garantit une maîtrise de mon patrimoine informationnel et de mes services essentiels.

Julia Sieger : J’aurais encore plein de question à vous poser, mais il faut qu’on poursuive cette table ronde et qu’on parle à présent des problèmes RH qu’a justement évoqués monsieur Paulin. Qu’est-ce qui se passe au niveau des talents ? Quel est le problème ? On voit qu’il y a beaucoup d’autres révolutions technologiques qui arrivent comme le edge computing, l’IA. Peut-être va-t-il falloir aussi des compétences plus diverses. Que faut-il faire aujourd’hui et à quel niveau est-ce que ça se situe pour améliorer ce problème des talents ? J’imagine que ça se situe au niveau des universités, ça se situe au niveau de la formation en entreprise, ça se situe sur plein de niveaux. Essayez de nous expliquer quelle serait votre vision.

Alain Issarni : Je pense que ça se situe même avant l’université, avant le lycée. C’est même un peu culturel. Il faut inviter les jeunes à aller vers les sciences. Juste une parenthèse : quand on a dit qu’en première on pouvait arrêter les mathématiques, je pense qu’on a fait une belle erreur, à double titre. On va essayer de la rattraper. Je discutais avec quelqu’un qui me disait qu’on a pris 20 ans de retard, on est revenu à il y a 20 ans, notamment vis-à-vis de la place des femmes dans le numérique, qui est un gros sujet, qui fait partie de cette dimension-là.
En fait, tous les talents sont absolument indispensables et c’est culturel. Donc bien avant l’école inviter à aller sur ces domaines-là et, j’allais dire, plus particulièrement les filles. L’image du geek à capuche, peut-être qu’on peut mettre une fille à l’intérieur, mais il faut sortir de cette image-là pour attirer tous les talents. On a besoin de tous les talents et il faut amplifier cette démarche. Certes il y a l’Éducation nationale, les écoles d’ingénieur, les lycées, mais il faut avoir un état d’esprit global et l’imprimer pour tout le monde.

Julia Sieger : Monsieur Pellegrini.

François Pellegrini : J’enlève ma casquette, je remets celle de professeur d’une université publique française, l’Université de Bordeaux. Je pense qu’aujourd’hui, on a les compétences. La preuve, c’est que nos scientifiques et nos ingénieurs essaiment dans les meilleures entreprises du monde où qu’elles soient ; au niveau du logiciel, la French Touch a été glorifiée. La question, c’est comment on maintient et on développe ces compétences et, pour ça, il n’y a pas de secret : ça nécessite un investissement constant, soutenu, dans la durée avec des moyens. Je rappelle, c’est un fait, le sous-investissement chronique, mais récurrent depuis des décennies, dans l’université française. On voudrait former plus d’informaticiens ; moi, j’adore transmettre. Honnêtement, si vous regardez la dotation des universités érodée par l’inflation, si vous regardez le gel du point d’indice depuis plus d’une décennie, comment voulez-vous qu’on retienne les talents si, à un moment donné, on leur dit : « Tu es génial, mais on ne te paye que ça. » Un proverbe anglais dit : If you pay peanuts you get monkeys. Les postes sont désertés. On le voit dans l’enseignement secondaire, on le voit à l’hôpital, ça va arriver à l’université si on n’y fait pas attention. C’est un signal d’alarme que je lance en tant que professeur d’université : nos labos de recherche sont de niveau mondial, mais les gens tirent avec les dents et ce n’est pas le fait d’avoir un financement sur un projet qui est important, parce que l’argent sur un projet, c’est pour le projet. La vraie question c’est comment on paye les gens et qu’est-ce que ça traduit comme niveau de considération dans la société sur l’apport que ces personnels peuvent offrir au bien commun et aux intérêts de la France en tant que pays ou de l’Europe en tant qu’union politique. C’est une question ouverte que je pose. Il suffit de regarder les courbes, ce serait bien qu’on se réveille.

Julia Sieger : Dimitri, on this question of skill shortages is that something that you’re experiencing in your own country as well ?

Dimitri, sur cette question du manque de main d’œuvre qualifiée, est-ce quelque chose que vous rencontrez également dans votre pays ?

Dimitri Van Zantvliet : Yeah, definitely. I think there’s a dual solution here. One is that in my cyber field for example we see many repetitive tasks, so we need to automate more ; we need to use AI to not burn out all the cyber staff.
I think the other solution is the diversity in hiring. We don’t only look at cultural diversity, but also age for example. We’ve hired quite some elderly people that are being trained again. They are great assets because they can work with the younger people, and have a fatherly talk with them when necessary.
The other things I’ve also… the last three hirings that I did for my team, they were train drivers. So it’s also possible to have horizontal careers within your company. We developed our own academy and are training people to become cyber specialists. This takes quite some effort, but the train drivers who are IT savvy are very lucky when they can work in cyber. But now we have a train driver shortage, so ;

Oui, tout à fait. Là, je pense qu’il y a deux solutions. L’une est que, dans la cyber par exemple, mon domaine d’activité, il y a beaucoup de tâches répétitives qu’il est nécessaire d’automatiser davantage  ; il faut utiliser l’IA sous peine de conduire tout le personnel cyber au burnout.
Je pense que l’autre solution est la diversité du recrutement. Il ne s’agit pas seulement de diversité culturelle, mais aussi de l’âge, par exemple. Nous avons recruté quelques personnes âgées qui suivent une nouvelle formation. Elles sont très précieuses parce qu’elles peuvent travailler avec des jeunes et leur parler sur un ton paternel quand c’est nécessaire.
Autre chose : les trois derniers recrutements que j’ai faits pour mon équipe, c’était des conducteurs de train. Il est donc possible d’avoir des carrières horizontales dans une entreprise. Nous avons créé notre propre académie et nous formons des gens pour en faire des cyberspécialistes. Cela représente pas mal de travail, mais les conducteurs de train qui se débrouillent en informatique ont beaucoup de chance quand ils peuvent travailler dans la cyber. Sauf que maintenant, nous manquons de conducteurs de trains !

Julia Sieger : Tariq.

Tariq Krim : Il y a évidemment un paradoxe : d’un côté, on nous explique qu’avec les nouveaux outils informatiques on n’a plus besoin de personne, tout va être fait tout seul, et, dans la phrase suivante, les gens disent « on recrute un maximum de gens ». On a une espèce de paradoxe.
Je ne reviens pas sur ce que tu as dit sur les mathématiques : quand on dit qu’on veut construire la Start-up Nation et qu’on arrête l’enseignement des mathématiques, il y a un problème. De toute façon, d’un point de vue plus général avec les défis qu’on a dans le monde, les défis thématiques, on a besoin de plus de scientifiques, on a besoin de gens qui ont une approche scientifique, rationnelle des choses, et c’est vrai qu’on n’a pas fait grand-chose aujourd’hui pour rendre ces positions très sexy pendant longtemps. Quand j’étais à l’école, on nous expliquait que l’informaticien était entre le premier et le deuxième sous-sol dans une salle qui n’était pas toujours très ragoûtante. Aujourd’hui on a mis en avant le personnage du startupeur qui, à mon avis, est un personnage qui n’est pas forcément très bon pour l’écosystème, il vaut mieux montrer des rôles modèles, des gens qui travaillent dans les labos.

Sur la question de la qualité des talents, regardez le dernier modèle de Facebook qui est probablement aussi bon que ChapGPT, regardez la liste des gens : je crois qu’il y a 14 polytechniciens, un normalien et un autre ingénieur français. Les talents sont là, ce n’est pas un problème.
Sur la question des femmes dans le numérique, je dis toujours que c’est une femme qui m’a donné envie de m’intéresser à l’informatique, c’est Bonnie MacBird qui a écrit le scénario d’un film qui s’appelait Tron, que vous avez certainement vu, qui, accessoirement, est aussi la femme d’Alan Kay qui a été une grande figure pour moi. Il faut des rôles modèles, il faut montrer, il faut arrêter ces choses où on nous explique, il faut aussi voir. Il y a plein de gens qui sont extraordinaires, des femmes qui m’ont façonné, que ce soit Pattie Maes et d’autres, j’ai une liste incroyable. L’ARM, la puce au cœur de tous ces téléphones, a été inventée par une femme [Sophie Wilson] qui travaillait à l’époque pour Acorn.
Il faut remettre ces histoires et redonner aux gens l’envie de faire des choses intéressantes. Une des raisons pour lesquelles les gens partent aux États-Unis ou partent des labos, c’est qu’on leur dit : « Tu auras les moyens d’exprimer la totalité de ton talent. Tu ne vas pas être contraint par un chef qui dit politiquement on ne peut pas faire ça, parce qu’on n’a pas le budget de machin. » À un moment donné, quand vous êtes bon vous voulez connaître l’intégralité de votre talent, vous voulez vous confronter aux meilleurs et c’est une chose qu’on doit réapprendre à faire parce qu’il n’y a aucun problème de qualité sur les gens qui sont formés en France.

Julia Sieger : On arrive à la fin de cette table ronde. Merci infiniment.
On va pouvoir retenir beaucoup de choses. On a balayé beaucoup de sujets.
Le fait qu’on n’a pas forcément à rougir puisqu’on a de belles choses qui se font dans l’écosystème donc il faut rester plutôt optimiste. Il y a de belles choses à faire.
Peut-être essayer d’avoir plus d’intégration au niveau européen.
Le fait aussi qu’on défend aujourd’hui une vision du numérique et une vision de la société qu’on veut pour demain.
Une certaine traçabilité avec de la réglementation.
Au niveau des talents, vous avez dit qu’il faut continuer à investir avant l’université et puis, peut-être, donner plus de liberté aux jeunes pour aller se confronter à la vraie vie et découvrir tout leur potentiel.

Je voudrais tous vous remercier tous de nous avoir suivis, remercier également les gens qui nous regardent à distance. C’était un plaisir. C’est la dernière plénière de ce FIC 2023, mais vous avez encore plein de choses qui se passent, encore beaucoup de contenus à découvrir en parallèle avec d’autres tables rondes. Je vous remercie infiniment. Je pense que vous pouvez les applaudir chaleureusement. Merci.

[Applaudissements]