Open Source : un levier stratégique pour la souveraineté numérique européenne

L’Open Source a un rôle majeur à jouer pour la souveraineté numérique européenne. Comment l’Open Source peut-il porter cet enjeu stratégique ? Lors de cette table ronde avec des experts de l’écosystème numérique, des entreprises utilisatrices et des éditeurs, nous aborderons l’importance de la souveraineté numérique, l’apport de l’Open Source à cette problématique, le rôle des communautés et des communs numériques, suivi de la position des grandes entreprises et du rôle des éditeurs Open Source.

Ludovic Dubost : Bonjour. Bienvenue à tous.
Je suis Ludovic Dubost, président de la société XWiki [1]. Aujourd’hui, pour cette table ronde, nous allons parler de l’open source comme levier stratégique pour la souveraineté numérique.
Comme vous le savez, comme vous l’avez entendu ce matin pendant les keynotes, la souveraineté numérique est un problème important aujourd’hui. Nous avons invité un petit groupe d’experts qui s’intéressent aussi à ce sujet.

Je souhaite la bienvenue à Ophélie Coelho qui est chercheuse indépendante en géopolitique du numérique, affiliée à l’Institut Rousseau [2] et à l’Observatoire de l’éthique publique [3], qui a donc beaucoup étudié cette problématique de souveraineté numérique.
Ensuite Stéfane Fermigier qui est chef de l’entreprise Abilian [4] et qui est coprésident du CNLL [Union des entreprises du logiciel libre et du numérique ouvert] [5], une institution qui représente les acteurs du logiciel libre en France, qui est aussi président de l’APELL [Association Professionnelle Européenne du Logiciel Libre] [6], une association équivalente au niveau européen, qui très active pour mettre en contact les acteurs européens.
Nous avons ensuite Vincent Niebel qui est DSI-Groupe EDF et pilote du groupe de travail du « cloud de confiance » au Cigref [7]. Merci d’être là pour cette table ronde et représenter les grandes entreprises qui s’intéressent à ce sujet.
Nous avons Bastien Guerry qui est responsable de la mission logiciels libres à Etalab, à la DINUM [Direction interministérielle du numérique] [8]. Je le remercie aussi de représenter la DINUM et l’État, pas tout l’État mais déjà la DINUM qui est un acteur important de l’État sur cette problématique du logiciel libre.
Merci beaucoup à tous nos invités. J’espère que cette table ronde sera active et intéressante.

On va commencer directement. On parle de souveraineté numérique, mais de quoi parle-t-on exactement ?
Ophélie, vous avez étudié ces problématiques de souveraineté numérique. Qu’est-ce que c’est exactement la souveraineté numérique et quels sont les problèmes associés ? Est-ce que le logiciel est un point important sur cette problématique de souveraineté numérique ?

Ophélie Coelho : Merci beaucoup, Ludovic, pour cette introduction.
Ce que je vais essayer de faire comme première intervention c’est à la fois de présenter, évidemment, la souveraineté, mais aussi les liens qu’on peut voir avec l’open source qui, pour moi, sont évidents, mais peut-être pas pour tout le monde.
Concernant la souveraineté, je pense que c’est aujourd’hui un sujet qui est vraiment revenu, ce n’est pas du tout un sujet nouveau en fait, il était là depuis assez longtemps. Ce sont des choses qui, même avant la guerre froide, à la fin de la Seconde Guerre mondiale, étaient déjà là, cette idée de souveraineté informatique d’abord et ensuite on parle de souveraineté numérique. En fait, c’est très ancien cette idée qu’il faut contrôler nos moyens informatiques vis-à-vis de dépendances depuis la fin de la Seconde guerre mondiale, à des grandes entreprises américaines avec IBM d’abord, puis toutes celles qu’on connaît. Cette peur, en quelque sorte, de perdre notre souveraineté a été entraînée par le mouvement de globalisation qui fait qu’on parle de dépendance de nos États et de nos entreprises vis-à-vis de grandes multinationales, d’interdépendance à la fois des chaînes d’approvisionnement des ressources, d’interdépendance, évidemment, dans le numérique, ça nous parle énormément à la fois en termes d’infrastructures physiques mais en termes de logiciels, on sait très bien qu’il y a une grande multitude d’acteurs qui jouent là-dedans et qui sont interdépendants.

Aujourd’hui, le problème et ce qui est relié avec l’open source, évidemment, c’est notre sujet de dépendance à des logiciels propriétaires qui est particulièrement forte. On a une étude [9] très intéressante de la part de la Commission européenne, que vous pouvez retrouver sur Eurostat, de 2021, le sujet des dépendances revenant sur le devant de la scène, qui montre qu’au niveau du cloud nous sommes extrêmement dépendants, en France, des clouders américains, je ne vous apprends rien, on en parle quand même beaucoup depuis un certain temps, mais sur des technologies qu’on dit sophistiquées, c’est-à-dire sur la sécurité, sur les plateformes de développement, etc., donc sur des logiciels sophistiqués et, en fait, critiques pour l’activité des entreprises et des États.

On dit souvent, j’ai beaucoup entendu que le sujet de la souveraineté numérique serait un sujet franco-français. En fait pas du tout ! En 2019, par exemple, le ministère de l’Intérieur allemand faisait une étude, un audit dans ses administrations pour voir quelles sont les dépendances logicielles de ses administrations. Sans grande surprise, les dépendances les plus fortes, de très loin, étaient à Microsoft. On sait très bien que c’est la même chose en France, bien sûr, mais ils ont fait cet audit-là. Ça a poussé, chez eux, un nouvel élan qui n’était pas nouveau dans le sens parti de rien, from scratch, non, il était déjà existant, mais ça lui a redonné un coup de boost. Si vous avez entendu parler par exemple du projet Phoenix, je pense que les autres pourront aussi en parler plus, de la Suite Phoenix qui est portée par Dataport. Ce qui est intéressant et la raison pour laquelle j’en parle : là on ne parle pas de souveraineté individuelle, souveraineté d’un individu, mais de la souveraineté collective, celle d’un État, d’une nation, d’une entreprise, d’une institution publique comme un hôpital, etc. Le rôle de l’État est majeur là-dedans.

Dataport n’est pas une entreprise venant du privé, c’est une entreprise, en Allemagne, qui est venue de l’État fédéral, des États fédéraux, qui montre qu’en Allemagne en tout cas, il y a quelque chose qui est venu de l’administration, qui est allée chercher des acteurs privés et des associations pour travailler sur une suite open source qui est la suite Phoenix. C’est assez intéressant à voir comme projet et ce n’est pas le seul projet qui se tourne vers l’open source pour répondre aux dépendances.
Au Brésil, on a un projet qui était le portail de logiciels publics, qui n’existe plus aujourd’hui, en tout cas qui existe mais de manière extrêmement différente de ses débuts où c’était tout open source. Au Brésil c’était un projet également porté par l’État et qui a permis également à certains pays d’Amérique du Sud de se fournir en logiciels open source face à l’entrée des logiciels américains sur le terrain.

En fait, on voit un certain nombre de terrains où l’open source peut, en effet, apporter quelque chose. Pourquoi apporte-t-elle quelque chose ? C’est parce que l’open source, avant d’être une vision de liberté, comme on parle de logiciel libre en France, c’est avant tout ce que Stallman nomme une méthodologie de développement, c’est vraiment Richard Stallman [10] qui fait le premier la différence entre logiciel ouvert, open source, et logiciel libre où il dit que le logiciel ouvert est avant tout une méthodologie de développement. Cette méthodologie de développement est un outil stratégique auquel nous pouvons, du coup, prendre part et que nous pouvons utiliser pour conquérir une forme d’indépendance, pas une indépendance sur tout, mais une forme d’indépendance numérique comme le font d’autres.

C’est assez intéressant de voir les projets en Allemagne comme la suite Phoenix. Ce ne sont pas les seuls à le faire. On pourrait regarder ce qui se fait en Corée, en Chine. En France on a aussi, évidemment, des initiatives, mais elles sont organisées différemment, Bastien pourra nous en parler. C’est un petit départ.

Simplement sur cette question de souveraineté, je terminerai par cela. J’ai parlé de globalisation au départ. Vous voyez probablement un mouvement qui va vers la déglobalisation, en tout cas dans le discours. On entend de plus en plus « déglobalisation », etc. Ça voudrait dire qu’on partirait from scratch, en gros, et qu’on réinventerait tout. Ce qu’il faut qu’on fasse, c’est partir de l’existant, comme quand on doit transformer un logiciel ; sauf si vous voulez partir sur un autre logiciel vous devez faire avec l’existant et le transformer en amélioration continue, en mieux.
Du coup, cette idée de déglobalisation n’est pas possible, à mon sens, dans le numérique, pas aujourd’hui. C’est pour ça que la souveraineté numérique n’est pas une souveraineté absolue aujourd’hui. C’est un long chemin à parcourir avec des projets qui doivent être from scratch et des projets qui doivent prendre en compte l’existant, c’est-à-dire l’immense dépendance que nous avons vis-à-vis de certaines entreprises. Donc ça se joue au niveau juridique, ça se joue au niveau technique et ça se joue par une grande prise de conscience de la part des politiques et du droit.

Ludovic Dubost : Merci beaucoup. Merci Ophélie de cette introduction.
Stéfane, est-ce que les groupes du CNLL ou de l’APELL se sont appropriés cette problématique et en quoi l’open source est justement une réponse tout à fait intéressante à ces problématiques de souveraineté numérique ?

Stéfane Fermigier : Le logiciel libre s’est effectivement emparé du sujet, comme l’a dit Ophélie, je dirais depuis l’origine, depuis que le terme logiciel libre, free software, a été prononcé par Richard Stallman, peut-être pas avec la notion moderne de souveraineté numérique, en tout cas avec l’idée qu’il fallait, pour les utilisateurs de l’informatique et du logiciel en particulier, reprendre une certaine forme d’indépendance.

Ce mot indépendance est probablement celui qui a été utilisé dans un premier temps. On peut le retrouver, par exemple, dans la loi Lemaire [11] qui date de 2016. L’article 16 de la loi Lemaire dit : « Les administrations veillent à préserver la maîtrise, la pérennité et l’indépendance de leur système d’information » et ensuite « elles encouragent l’utilisation des logiciels libres et des formats ouverts ».
Il y a des mots-clés : maîtrise, pérennité et indépendance, et on pourrait dire que ce sont des synonymes, en tout cas des mots qu’on pourrait substituer aujourd’hui à « souveraineté numérique », en prenant la souveraineté numérique comme une notion d’autonomie stratégique, c’est-à-dire le fait d’avoir des systèmes qui fonctionnent, qui continuent à fonctionner en présence d’aléas qui peuvent être diplomatiques, qui peuvent être technologiques, qui peuvent être des incidents de sécurité, qui peuvent être la disparition d’un prestataire, qui peuvent être l’émergence de nouvelles technologies, l’émergence de menaces. On voit donc que la loi, dès 2016 en France, le dit avec la question de comment mettre en œuvre ces grands principes et c’est le fruit d’une réflexion qui est beaucoup plus ancienne, puisque le sénateur Laffitte avait fait une proposition de loi [12] qui était assez similaire dès 1999.
On pourrait citer, par exemple dès 2006, le ministère de la Défense qui, dans une directive, disait « outre les avantages liés à la disponibilité du code source, les logiciels libres permettent de vérifier le respect des standards et favorisent l’interopérabilité. Du coup à coût global, risque et efficacité opérationnelle comparables, le logiciel libre est privilégié ». C’est vrai que souvent, quand on parle de souveraineté, on pense en premier à des organisations, à tout ce qui tourne autour de l’armée. On peut donc penser qu’il y a une réflexion et on constate qu’en France il y a eu cette réflexion dès 2006.
On va retrouver cette phrase, « à coût global risque et efficacité », au niveau européen. La Commission européenne, en 2020, dans la communication de la Commission, donc un document extrêmement important, pas un petit rapport qu’on met au fond d’un tiroir, non !, un document extrêmement important disait : « Les solutions open source seront privilégiées lorsqu’elles sont équivalentes en matière de fonctionnalités, coût total et cybersécurité ». En fait c’est pratiquement la même phrase qui a été reprise 14 ans après ; on a remplacé sécurité par cybersécurité, mais ça revient au même.

Il y a donc ce constat global que, par construction, le logiciel libre, par ses fondements juridiques dans les licences, licences reconnues comme libres ou open source par la Free Software Foundation et l’Open Source Initiative, représente une garantie à la fois de large diffusion, évidemment, mais aussi d’indépendance de la part des utilisateurs de ces logiciels.
On a ce cadre juridique. On a la notion de transparence, la visibilité du code source qui n’est pas, comme chacun le sait évidemment, synonyme d’open source, mais qui, en tout cas, est quand même un des critères majeurs. La visibilité du code source permet des audits et les recommandations qu’on peut lire en ce moment en Allemagne sont qu’il faut être capable d’auditer les codes sources dans les infrastructures de cloud, par exemple, pour pouvoir garantir l’absence de logiciels espions, pour pouvoir garantir l’interopérabilité, etc.

Le mot interopérabilité. Ça fait aussi plus de 20 ans qu’on se bat autour de cette notion-là, que la Commission européenne a fait des travaux. En France on a eu le RGI, le Référentiel général d’interopérabilité [13] qui est également un document important. L’ensemble de ces notions est déjà là, comme le soulignait Ophélie, depuis 20, 25, 30 ans.

Le terme souveraineté numérique est apparu en France, il y a eu des pionniers, mais c’est vrai qu’il nous est revenu principalement via les Allemands qui se sont emparés de la question il y a trois/quatre ans. Notamment depuis le Covid et depuis les crises actuelles on voit que c’est devenu un vrai sujet.

Ludovic Dubost : Justement, qu’est-ce qu’a changé le Covid ?

Stéfane Fermigier : Je dirais une prise de conscience.
Dans un premier temps, pendant le Covid, on a pu voir que ça augmentait, au contraire, nos dépendances à des fournisseurs de cloud clés en mains, qui avaient des solutions magiques qui fonctionnaient, etc. Et puis on s’est retrouvé avec le scandale des Zoom, par exemple le Zoom de la Commission européenne ou des ministres des Affaires étrangères où n’importe qui pouvait s’incruster dans une conversation à priori hautement confidentielle.
Donc des sujets de sécurité d’un côté et des sujets d’indépendance et d’autonomie technologique de l’autre qui sont un peu différents, d’un côté les données, on veut que nos données soient sécurisées, que des puissances étrangères n’aillent pas regarder dedans. Ça peut être regardé sous un angle juridique, mais, comme on l’a vu avec l’exposé de Max Schrems ce matin, ça n’est vraiment pas suffisant. Après il y a l’idée que si on n’a pas, de notre côté, en France et en Europe, une industrie du logiciel et, en particulier, du logiciel libre performante, capable de répondre à la plupart des besoins du marché, que ce soit du secteur public, du secteur privé ou même des citoyens, on n’aura pas cette autonomie stratégique.
Donc nous, encore une fois, APELL, CNNL, militons évidemment pour que ça soit un sujet pris en compte et on milite également pour que, dans la perception des gens qui s’intéressent à ce sujet, la notion de logiciel libre soit un atout évident.

Dernière remarque, le rapport Latombe. L’an dernier, le député Philippe Latombe a fait un rapport [14] typiquement sur ce sujet et, parmi la soixantaine de propositions, il y en a une qui est de dire « imposons le logiciel libre », en France parce que c’est un rapport français. Il y a cette notion évidente d’encourager très fortement et peut-être plus que ce qui est fait à l’heure actuelle, l’utilisation du logiciel libre et des PME européennes de façon à développer un véritable écosystème.

Ludovic Dubost : Merci.
Je voudrais m’adresser un peu aux grandes entreprises : est-ce que, aujourd’hui, la problématique de souveraineté numérique est un sujet pour les grandes entreprises du Cigref en particulier, ou même pour la vôtre, EDF ? Est-ce que vous investissez dans l’open source ? Quels sont les avantages que l’open source peut apporter pour vous ?

Vincent Niebel : Pour les grandes entreprises, le numérique est aujourd’hui effectivement un enjeu évident, est au cœur de ces enjeux de compétitivité, d’agilité, de performance et d’innovation. Au regard de ces enjeux-là, la relation entre les grandes entreprises et les fournisseurs en numérique est aujourd’hui cruciale, mais cette relation a évolué, ça a été rappelé à l’instant. La plupart des fournisseurs sont aujourd’hui en train de cloudifier leur offre, suppriment leur offre en matière de solution on-premises et, d’un autre côté, la période qu’on vient de vivre a objectivement encore accru la dépendance des grandes entreprises à pas mal d’offres aujourd’hui et, en particulier, des offres d’éditeurs, d’éditeurs américains dans le cloud.
Une réponse assez simple aurait été de dire que l’open source constitue évidemment une solution pour éviter cette dépendance, pour la limiter de fait et pour construire un numérique de confiance.

Pour revenir à cette définition de souveraineté numérique de confiance, on peut la définir finalement autour de trois notions, trois principes : la liberté de choix, la maîtrise technologique et la réversibilité.
La souveraineté peut finalement se définir comme un niveau d’autonomie, une aptitude à choisir et non pas à subir sa nature et son degré de dépendance. Si on regarde toute la chaîne de valeur, être totalement indépendant aujourd’hui, comme le disait Ophélie, c’est un chemin au long cours et je pense que ça prendra effectivement plusieurs années et plusieurs réglementations successives qui devront se renforcer.

Ophélie Coelho : Voire, dans certains domaines, c’est juste impossible et ce n’est pas souhaitable.

Vincent Niebel : Oui ! D’ailleurs ! Je pense qu’il ne faut pas mélanger autarcie et autonomie sur ces notions-là.
D’ailleurs, en termes de cloud, vous faisiez référence au groupe de travail que je pilote, on a essayé de définir cette notion de « cloud de confiance » avec un référentiel [15] dont la deuxième version vient d’être publiée, en essayant de caractériser un certain nombre d’exigences autour de quatre piliers : la cybersécurité, la maîtrise de la dépendance, l’immunité aux lois extra-européennes — qui fait écho à la conférence d’ouverture de ce matin — et le dernier, qu’on a rajouté, c’est la maîtrise de l’impact environnemental qui, aujourd’hui, est également un point critique à prendre en compte.

Finalement, pour répondre à l’ensemble de ces critères, l’open source est évidemment une solution. Objectivement elle n’est peut-être pas la seule, il faut être complet, je pense, sur cette analyse. S’il y a des domaines où il y a de la concurrence utilisant des standards ouverts avec des garanties de sécurité et de réversibilité, je pense qu’il y a des solutions, notamment de type éditorial, qui peuvent apporter certaines garanties également, sans être complètement dans des logiques open source ou libres.
Ceci étant, ce sont des points qu’il faut mesurer et, pour ce faire, il faut qu’on mette en place des grilles d’analyse extrêmement précises, j’y reviendrai.

Par ailleurs, autre point important, les entreprises n’ont peut-être pas non plus les moyens de s’investir dans l‘ensemble des domaines de l’open source, mais elles peuvent, et je pense qu’elles doivent, aujourd’hui, définir une politique open source et en faire une politique prioritaire de sourcing en matière de SI et d’IT. Pour les grandes entreprises, l’open source apporte des solutions tout d’abord en termes de renforcement de maîtrise de son système d’information, c’est évident ; de nouveaux modèles économiques : on n’a pas d’effet d’échelle et on a une liberté d’usage assez large ; ça permet d’accélérer les changements et aussi la transformation et ça permet surtout d’augmenter l’attractivité dans un contexte où la compétition en matière de ressources humaines est extrêmement contrainte également dans le domaine du numérique.

Pour être complet dans l’analyse, il faut dire aussi que l’open source présente quelques risques, points d’attention qu’il faut prendre en compte, notamment en fonction soit de la communauté, soit des modèles de gouvernance de la communauté, soit du modèle de licence qui est associé. Pour ce faire, il faut qu’on analyse s’il y a un risque d’étiolement des ressources dans la communauté, si l’entreprise est en capacité d’investir complètement et également si elle a la culture, car il faut l’accompagner préalablement pour avoir recours au logiciel libre, si elle a bien mis en place toutes les conditions pour le faire.

Stéfane Fermigier : Je voudrais insister sur un point : le logiciel libre n’est pas produit que par des communautés. Il y a également tout un écosystème d’éditeurs de logiciels libres, dont plusieurs représentants sont dans la salle.

Vincent Niebel : J’y reviendrai.

Ludovic Dubost : J’avais entendu la même chose, la dynamique éditoriale s’adresse aussi aux acteurs du logiciel libre. Il y a des éditeurs.

Vincent Niebel : On est bien d’accord et ça tombe très bien. Un des risques que je mettais en avant c’est justement le changement de modèle que ces éditeurs peuvent apporter en rajoutant progressivement des briques qui deviennent payantes, qui nous imposent ensuite de changer de stratégie. Ça arrive malheureusement aussi et on a quelques exemples.

Il y a aussi un petit risque en matière de sécurité, il est aussi côté éditorial, c’est vrai, je pense qu’il faut qu’on l’ait collectivement en tête. Quand on voit, par exemple, le Cyber Resilience Act [16] qui prévoit explicitement, pour les communautés libres, une exception parce qu’ils ne peuvent appliquer les mêmes contraintes, par exemple 2,5 % d’amende en cas de non-respect d’un certain nombre d’exigences. Ce n’est pas complètement illogique, mais, de fait, il faut qu’on trouve une autre solution pour garantir que finalement les communautés puissent répondre à des enjeux sur des briques qui peuvent être largement déployées. On le voit sur OpenSSL [17], il y a encore eu récemment une faille importante ; il y a eu Log4j [18], il y a eu ces sujets-là. Pour tous ces environnements-là il faut aussi qu’on ait des garanties pour les entreprises, pour garantir cette sécurité.

Ludovic Dubost : Il y a justement une conférence demain sur le financement des briques critiques [19] qui pourra intéresser les gens qui s’intéressent à ce sujet.

Vincent Niebel : Dernier point peut-être, qui peut également faire débat, c’est le volet expérience utilisateur, IHM [Interface homme-machine]. C’est souvent un péché de jeunesse des premières briques, ça l’est de moins en moins, c’est vrai, je l’admets, mais ça l’est encore en partie, ce qui fait qu’une fois que des entités, des grandes entreprises en particulier, ont mis le doigt dans l’usage d’outils et ont acculturé tout un écosystème à l’usage de ces outils et à une certaine ergonomie, la conduite du changement est extrêmement lourde. C’est également un point à avoir en tête.

On a bien en tête tous ces éléments-là et pour EDF, juste pour éclairer avec l’exemple d’EDF, on a mis en place une politique open source depuis 2016. On a aujourd’hui plus de 300 outils qui sont référencés, partagés avec l’ensemble des DSI métiers. On a dix principes dont celui d’examiner systématiquement, préalablement, l’existence d’une brique logiciel libre, ça revient à peu près à ce qu’il y a au niveau de l’État. On mène en commun des études et un comité se réunit chaque mois pour évaluer quelles sont les nouvelles briques qui pourraient intégrer ce référentiel-là. Et, avec six autres entreprises, il y a 17 membres aujourd’hui, on a constitué une association qui s’appelle TOSIT [The open source I Trust] [20], qui est là d’abord pour partager des retours d’expérience, des veilles, des études dans le domaine du logiciel libre, de sécuriser des briques critiques et, sur la base de partenariats spécifiques, de construire également des briques spécifiques. On en a monté une dans le domaine du management, des identités et des authentifications qui s’appelle Tosiem ; on en a monté une autour de l’assistant vocal qui s’appelle Tock ; il y en a une dernière, qu’on vient de lancer, justement dans un cadre d’évolution du cadre d’usage de certaines distributions sur Hadoop 3 [21], pour faire en sorte que Trunk Data Platform, c’est le projet, puisse voir le jour et constituer une solution libre pour Hadoop 3 dans les mois et années à venir.

Ludovic Dubost : Merci beaucoup pour toutes ces informations et ces investissements dans l’open source, c’est très intéressant.
Tout à l’heure Stéfane nous a parlé de textes de loi, d’interventions publiques. La question : est-ce que c’est suivi d’actes au niveau de l’État ? Bastien, est-ce que tu peux nous en parler un peu ? Que fait l’État pour essayer justement de mettre en œuvre ce qui est indiqué dans certaines lois, dans certains textes ou dans certaines déclarations politiques. J’avais aussi entendu Bruno Le Maire dire « pas de souveraineté politique sans souveraineté numérique ». Est-ce que ça fait aussi partie des missions de la mission logiciels libres de traiter les problématiques de souveraineté numérique et que faites-vous au niveau de la DINUM ?

Bastien Guerry : Merci beaucoup.
Avant d’essayer de répondre à cette vaste question, je voudrais juste faire trois petits sondages dans la salle : qui utilise une distribution GNU/Linux ? Qui donne de l’argent en soutien à des mainteneurs open source à plus de 500 par an ? 500 c’est beaucoup [Stéfane Fermigier et Vincent Niebel lèvent la main, NdT]. Qui, sur ses infras ou son ordinateur, fait un audit systématique de sécurité de tout ce qui est en open source sur sa machine ? C’est intéressant parce qu’on fait plus d’audits qu’on ne donne d’argent.
Je pense que les doigts levés, ça doit quand même nous réveiller un peu tous. On peut toujours décliner « souveraineté », on peut parler de la souveraineté de l’État, de l’administration en tant qu’organe de l’État, on peut parler de la souveraineté économique et on peut aussi parler de la souveraineté individuelle qui était le sujet de Richard Stallman sur « émanciper l’individu face à sa machine ». On a besoin d’émanciper des entreprises, des organes plus grands comme des ministères ou des structures, des organismes publics. On a ici une responsabilité collective en tant qu’individu, en tant qu’entreprise, en tant qu’acteur de ce changement numérique pour les 30 prochaines années, qui est de savoir, chacun, à quelle hauteur on peut contribuer à un écosystème qui est là.

J’avais émis, il y a très longtemps, la notion de responsabilité numérique des entreprises. Le mot « responsabilité numérique » est maintenant complètement focalisé sur tout ce qui est écoresponsabilité. En fait, pour moi, la notion devrait être bien plus vaste. On a une responsabilité collective sur l’impact du numérique sur l’environnement et on a aussi une responsabilité collective sur, par exemple, la neutralité du Net [22] qui sont des grands sujets portés au niveau européen avec des divergences selon les pays. On a une responsabilité collective sur la maintenance de toute cette pile logicielle qui est la pile logiciel libre, qui sont des logiciels qui existent, dont certains sont morts, dont certains sont vifs, dont certains ont des failles, dont certains sont portés par des communautés, d’autres par des éditeurs.
Malgré la complexité, j’insiste sur cet aspect de responsabilité collective et je pense que le déclic s’est fait depuis pas mal de temps. En fait, les gens qui reposent beaucoup sur du logiciel libre investissent dessus.

À propos de ces gens qui investissent, on a les grandes entreprises en particulier, dont des grandes entreprises connues comme Alphabet, Meta, Microsoft, qui ont internalisé la stratégie qu’elles appellent open source, moi je préfère parler de logiciel libre, et qui ont construit les Open Source Programs Offices un peu partout. Ces Open Source Programs Offices ont inspiré ce qui a été appelé « mission logiciels libres » avec l’enjeu d’aborder tous les sujets du logiciel libre.
Chez nous, dans l’administration, on les résume à trois et on ne s’appelle pas « Open Source Programs Office », mais on s’appelle Unité logiciels libres ou Pôle logiciels libres, les noms importent peu.
C’est plus utiliser, donc utiliser soit nous-mêmes, soit, évidemment, en recourant à l’expertise qu’il y a dans toutes les entreprises, les entreprises du numérique libre qui sont historiquement éditrices, positionnées et expertes, mais aussi des entreprises qui se mettent à l’open source, c’est la partie utiliser.
L’autre partie c’est publier. On a des enjeux de transparence à l’égard des citoyens ; quand le ministère de l’Intérieur publie les codes sources de l’attestation Covid ce n’est pas rien, on a besoin de garanties et de gages.
Et le troisième volet, on n’en a pas beaucoup parlé, mais je pense qu’il nous concerne tous, c’est l’attractivité. On a des métiers de l’informatique où le recrutement va être de plus en plus compliqué dans les dix années à venir, ça l’est encore plus dans l’administration. Si vous allez en salle 252 B à la journée BlueHats [23] où on met ensemble tous les ministères, toutes les administrations qui se démènent, qui font de la visioconférence dans l’éducation à partir de BigBlueButton, qui contribuent à la distribution Debian, tout ça c’est fait avec des personnes qui sont passionnées, qui sont motivées en premier lieu par la passion, par une forme de liberté que leur octroie le service public plus que par l’argent. À un moment donné, il faudra collectivement qu’on s’attaque à tout ça.

L’année dernière, Amélie de Montchalin a annoncé le plan d’action logiciels libres et communs numériques [24]. Un an plus tard, on propose un bilan à 17 heures 30 à nouveau dans cette salle BlueHats. C’est le premier bilan et on constate la montée en maturité des ministères sur le sujet. J’en cite seulement deux : l’Éducation nationale a clairement fait un effort sur des outils de visioconférence, sur toute l’infrastructure et je crois qu’on a Audran Le Baron [25] qui intervient aussi cet après-midi, qui expliquera sa vision. Le deuxième ministère qui avance de façon exemplaire c’est l’Enseignement supérieur et la Recherche. On a, depuis longtemps, le Comité pour la science ouverte qui pilote le baromètre de l’open access et qui s’est emparé, depuis un an, des sujets des logiciels libres. On a cette chance, en France, d’avoir des chercheurs, il y en peut-être parmi vous dans la salle, qui sont vraiment très actifs dans le logiciel libre, sauf que c’est invisible pour l’instant. On ne sait toujours pas citer un logiciel dans un papier de recherche. On n’a pas de DOI [Digital object identifier] pour citer un logiciel ; on les cite, évidemment, on les mentionne, mais comment on connecte les questions d’enjeu de reproductibilité ?

Vincent Niebel : Il y a un journal qui s’appelle The Journal of Open Source Software, je crois, où l’enjeu principal c’est juste de publier des articles d’une page où on décrit un logiciel, du coup ça donne un DOI pour les gens qui ont pris la peine de décrire leur logiciel dans ce journal.

Bastien Guerry : Il y a des solutions, mais elles sont éparses, elles n’ont pas encore l’universalité du DOI qui a permis, une fois qu’il a été transposé par exemple aux jeux de données, de pouvoir citer un jeu de données avec un lien pérenne et universel. C’est un sujet sur lequel il faut avancer.
Pour moi, l’autre sujet c’est évidemment le sujet de la formation pour tout ce qui se fait dans la recherche. On a des gens spontanément attirés par le logiciel libre, j’allais dire presque par affinité éthique, parce que l’éthique de la recherche est proche de l’éthique du développement des logiciels libres, eh bien il ne faut pas seulement attendre ces affinités éthiques, il faut les susciter, donc il faut former nos chercheurs, jeunes et plus grands, à être, demain, les contributeurs du logiciel libre dans l’écosystème plus vaste ou dans l’administration directement.

Ludovic Dubost : Vous avez justement fait une initiative avec des stagiaires dans les grandes écoles.

Bastien Guerry : Oui. Ça rejoint le troisième sujet, celui de l’attractivité, c’est comment rendre l’administration attirante. On a travaillé avec CentraleSupélec et l’écosystème libre au sens large. On a demandé si des projets venant d’entreprises ou des projets communautaires étaient partants pour accueillir des étudiants pendant six mois, les mentorer et nous on paye le stage. CentraleSupélec les encadre pédagogiquement, les projets les reçoivent ; des étudiants très motivés et très bons apprennent à contribuer à des projets et sont accueillis à la DINUM. Aujourd’hui il y a six étudiants qui travaillent sur VLC, Open Food Facts, Sisma et d’autres projets. On fait découvrir l’administration sous un autre angle. Je vous invite tous à passer six mois en résidence dans l’administration pour en comprendre les complexités. Ils apprennent surtout à faire du logiciel libre avec ceux qui le mettent en place.

Ludovic Dubost : C’est très positif. J’ai une question peut-être pour nous amener un peu au sujet européen : est-ce qu’il y a aussi des collaborations avec d’autres États européens, d’autres entités européennes pour traiter cette problématique de façon plus forte, à plusieurs, et pas uniquement chacun dans son coin, chaque pays dans son coin ?

Bastien Guerry : Oui. La notion d’OSPO, Open Source Programs Office, même si elle a été importée du privé, a permis de cristalliser des réseaux d’échange d’expertise entre pays. Aujourd’hui, la Commission européenne non seulement a ouvert sa forge sur code.europa.eu, une forge GitLab souveraine pour les projets de la Commission ; elle a, de plus, ouvert son propre Open Source Programs Office, et a donc montré l’exemple en internalisant cette démarche, de prendre l’open source sous tous les angles possibles. Et maintenant elle anime un réseau de discussion entre les pays européens, qu’ils aient ou non un OSPO. L’idée étant justement qu’on n’a pas besoin d’avoir une unité dédiée, en fait on prend les unités qui sont les plus avancées : ce seront, en France, des gens de la DINUM, en Allemagne des gens du ministère de l’Intérieur et du centre de la souveraineté numérique, donc on échange. Ça veut dire qu’on va beaucoup plus vite dans l’administration pour découvrir Phoenix, comprendre les solutions souveraines déployées, de la même façon que d’autres pays européens sont déjà intéressés par demarches-simplifiees.fr [26] qui est une solution libre développée par l’État pour la dématérialisation des démarches administratives, Lutece [27], les projets qu’on a un peu partout.
On va beaucoup plus vite sur connaître et faire connaître.

Ludovic Dubost : Je voudrais revenir un peu aux éditeurs, on parlait des éditeurs de logiciels libres tout à l’heure. Stéfane, est-ce que ces éditeurs ont un rôle à jouer par rapport à cette problématique de souveraineté numérique ? Qu’est-ce qui se passe dans le domaine des éditeurs ?

Stéfane Fermigier : Comme l’a évoqué Bastien et plein d’autres gens avant lui, la question du financement, de qui développe le logiciel libre, qui le maintient, qui s’assure, comme ça a été évoqué également, qu’il n’y a pas de bugs et, quand il y en a, qu’ils sont corrigés de la manière la plus efficace et la plus rapide possible, c’est une responsabilité et il faut construire un système où cette responsabilité va retomber sur des personnes, des organisations, etc.

Le système du logiciel libre, où il y a une masse indiscernable de contributeurs qui font des projets chacun un peu dans son coin, etc., ça marche, il y a de très bons logiciels et des briques logicielles qui sont tout à fait utilisables et qui sont construites dans ce contexte. Mais globalement, notre théorie opérationnelle, que ce soit au CNLL ou à l’APELL, c’est qu’il y a besoin de développer un tissu d’entreprises, des entreprises de services, évidemment, qui sont aussi à même de s’emparer de ces projets open source, de les adapter, de les mettre à disposition du client, etc., mais également des éditeurs qui vont assurer toute le cycle de vie depuis la conception, la vision, le marketing évidemment, des mots qui sont parfois considérés comme des gros mots auprès de certaines communautés mais qui, en fait n’en sont pas ; ça ne sert à rien de faire du logiciel si personne ne le connaît, si personne ne l’utilise ; on se fait plaisir, mais on n’est pas dans cette logique-là aujourd’hui.

Donc développer un écosystème d’éditeurs, d’éditeurs européens, c’est un autre sujet, mais c’est évident que le bon niveau pour parler de souveraineté numérique c’est plutôt, à priori, l’Europe, même si l’Europe est aussi un ensemble d’États indépendants. En faisant travailler en réseau des associations nationales comme on le fait au sein de l’APELL, il y a cette idée de partage de bonnes pratiques, il y a cette idée de faire travailler et de faire interopérer des solutions de différents éditeurs pour arriver à construire des solutions plus complexes et qui répondent peut-être mieux à certains besoins du marché.

Globalement oui, le métier d’éditeur est mal connu et c’est peut-être un enjeu d’arriver à faire en sorte que dans le discours autour du logiciel libre, on prenne en compte, avec ses spécificités et aussi ses quelques inconvénients qui ont pu être évoqués tout à l’heure, la nécessité d’avoir un écosystème, un tissu d’éditeurs.

Bastien Guerry : Si je peux me permettre deux mots là-dessus.
Aujourd’hui, souvent, l’administration ne sait pas ce qu’elle achète. On a besoin de savoir ce qu’on achète pour de vrai, c’est-à-dire pas juste la solution, le mot « solution » vient parfois cacher les choses. On a besoin de savoir ce qu’on a dans le code source qu’on achète. On a besoin de savoir ce qui est du code spécifique qui est développé par l’éditeur ou la prestation, quelles sont ses dépendances à lui et on essaye, notamment avec la DAJ [Direction des affaires juridiques de Bercy] et des gens que je vois dans la salle, de pousser en maturité pour essayer de comprendre. On a un cadre légal qui est très présent. Il nous faut maintenant faire monter en maturité technique pour savoir exactement ce qu’on achète, quelle est la promesse qui est faite. C’est le premier mot, je pense que ce sera essentiel et je pense que c’est valable pour toute entreprise qui achète ; elle a ses propres dépendances, si elle se dit « on me vend de l’open source, mais en fait... ». On en est encore au point, aujourd’hui, où parfois des gens viennent nous voir en disant « nous sommes open source », ça veut simplement dire qu’ils utilisent de l’open source dans une solution sur laquelle ils ont mis de la glu. Donc merci ! Même si nous sommes l’administration nous ne sommes pas si naïfs que ça. Donc qu’est-ce qu’on achète pour de vrai ?

Deuxième point, je pense qu’il y a un enjeu de souveraineté qui concerne d’abord le cloud que, pour ma part, j’appelle télématique, parce que c’est simplement de la télématique, c’est de l’informatique à distance. On avait à l’époque, il y a 15 ans, le sujet des intégrateurs : est-ce que les intégrateurs reversent assez aux éditeurs, est-ce qu’ils reversent assez aux communautés, est-ce que tous les gens qui arrivent avec des solutions plutôt que des logiciels reversent assez upstream et en amont ? Est-ce qu’ils connaissent le travail des bénévoles passionnés qui y passent le dimanche, ou des entrepreneurs qui prennent des risques ?
Aujourd’hui on a le même sujet avec les acteurs du cloud. Est-ce qu’ils reversent assez ? Est-ce qu’ils s’impliquent assez ? Est-ce qu’ils savent ne pas vouloir refaire eux-mêmes, en interne, la même chose qu’un éditeur, mais travailler avec l’éditeur ? Est-ce qu’ils savent partager la croissance économique ? J’aimerais comparer celle du cloud en général, de la télématique, à celle des éditeurs et on verra ce que ça donne, mais je pense que c’est important.

Ludovic Dubost : La relation entre ces acteurs qui sont, finalement, presque des places de marché de solutions technologiques à utiliser, et les acteurs du logiciel libre est quelque chose de très important.

Bastien Guerry : Et l’État sera au rendez-vous dès qu’on aura des rencontres fructueuses et souveraines entre des acteurs du cloud européen et des acteurs du logiciel libre.

Ludovic Dubost : Ophélie, tu veux intervenir ?

Ophélie Coelho : Il y a plusieurs choses sur lesquelles je veux intervenir ou apporter peut-être une réponse.
Tout à l’heure tu parlais, Bastien, de la question de l’éthique et du fait que, finalement, c’est une volonté individuelle de participer au logiciel libre. On ne s’en sortira jamais si participer au logiciel libre c’est juste une vision éthique. On ne s’en sortira jamais si les jeunes vont vers le logiciel libre par passion. Ça, ça ne peut plus fonctionner si on veut vraiment que les jeunes sortent des écoles en connaissant la technique, les solutions open source et en sachant développer dessus. Pour ça il faut vraiment, pour le coup, avoir une stratégie plus globale qui pousse, en fait, les entreprises — mais ça vient aussi de l’État — à choisir, à utiliser des solutions open source pour que derrière, dans les formations, ils se mettent au diapason. Plutôt que de faire une formation sur AWS [Amazon Web Services] ou autre, il faut que les jeunes aillent vers des solutions différentes.
Oui, AWS, c’est très provocateur, je sais, sachant qu’il y a quand même, malgré tout, des choses qu’on peut remplacer en Europe, mais pour les entreprises c’est encore très difficile de l’entendre parce qu’on les connaît peu et, qu’en effet, c’est beaucoup plus facile, beaucoup plus rapide, beaucoup plus performant d’aller sur AWS aujourd’hui pour un certain nombre de choses, il faut l’admettre. Néanmoins, le choix doit quand même venir aussi du travail qu’il y a sur le marché de l’emploi. Il faut que les entreprises et l’État donnent des emplois, amènent les jeunes à travailler sur ces technologies-là sinon on ne s’en sortira pas. Ça ne va pas être du jour au lendemain, mais si on commence par mettre certains projets spécifiquement sur des technologies open source, forcément, petit à petit, on aura de plus en plus d’emplois sur ces technologies-là, c’est mécanique en fait. Il y a donc une responsabilité sur le fait qu’il faut ces produits-là.

Ensuite, forcément, la responsabilité de l’État par rapport au cloud est importante. Aujourd’hui on est plutôt à revers avec le cloud de confiance, on n’a pas des solutions qui vont plutôt vers de l’open source. Je pense qu’il y a des gens de Red Hat qui pourraient venir parler du sujet de l’open source et aussi du travail qu’ils font avec l’État. Je vois qu’on n’a pas beaucoup de temps, je vais te laisser passer à une autre question.

Ludovic Dubost : Une réponse peut-être.

Bastien Guerry : Juste pour répondre en deux mots. Oui, entièrement d’accord sur le fait qu’il faut du volontarisme, on ne va pas juste compter sur la démarche des individus. Si c’est ce qui a été entendu, ce n’est pas ce que je voulais dire. Donc oui il faut du volontarisme. Tous les acteurs n’ont pas les mêmes conséquences éthiques dans leurs actions et l’État est un acteur particulier qui doit être particulièrement volontaire. Entièrement d’accord.
Ensuite, je pense que la moitié des gens de cette salle ne sont pas venus à l’open source par plaisir ou par passion, ils y sont venus parce qu’ils y étaient obligés, soit parce tout le monde en fait, soit parce que la rationalité économique était déjà à l’œuvre. Je pense que cette rationalité économique est déjà à l’œuvre pour forcer les gens, et tant mieux !
Enfin, dernier point, je pense quand même que le libre a pour lui cette démarche éthique qui lui donnera toujours un petit supplément d’âme et qui fera que, en plus des responsabilités d’acteurs particuliers comme l’État, qui s’y retrouvent dans une démarche éthique, fera que le mouvement continuera de grandir au-delà de la seule main invisible des marchés.

Ludovic Dubost : Dernière intervention, vous vouliez intervenir ? C’est bon.

Stéfane Fermigier : Je voulais juste rebondir sur l’idée d’éthique. Une petite information : le CNLL travaille depuis un certain nombre de mois sur l’idée d’une charte éthique, un document qui est en cours de finalisation, qui sera bientôt publié, et qui reprend, en une dizaine de points, ce qu’on pense être les valeurs communes de l’ensemble de notre écosystème. On espère que beaucoup d’entreprises le signeront et s’engageront autour de ces valeurs.

Vincent Niebel : Juste une précision : au sein de l’État il y a, de mémoire parce que ça remonte à de précédentes fonctions, côté Intérieur et côté Bercy, des travaux y compris sur du cloud avec du logiciel libre autour d’OpenStack et OpenShift. Il y a peut-être quelque chose à construire autour de ça aussi. Il n’y a pas de démarche complètement structurée autour de ces briques-là, mais peut-être lancer un appel à initiative, il y a peut-être des choses à faire sur le sujet pour en faire quelque chose de plus largement distribuable.

Ludovic Dubost : Il y a déjà pas mal d’offres autour d’OpenStack et je crois que 3DS aussi a annoncé un cloud complètement national, sans techno américaine.

Vincent Niebel : Oui, je ne sais pas si c’est sur OpenStack ou 3DS.

Ludovic Dubost : Il y a beaucoup d’offres qui se développent. Il y a aussi un aspect marketing. Je pense que nous sommes très noyés derrière la force marketing des acteurs américains et c’est aussi pour ça qu’une conférence comme aujourd’hui nous permet de mettre en lumière tous les acteurs et de montrer qu’il y a un écosystème très actif avec beaucoup d’acteurs qui font des grands projets.
En fait, il y a quelque chose qui n’est pas forcément toujours connu : il y a des sociétés françaises qui ont aussi des succès à l’international et parfois plus à l’international que dans leur propre pays. Il faut savoir aussi regarder ce qu’on a chez soi dans le domaine.
Merci beaucoup à nos conférenciers pour cette table ronde éclairante. Merci et à bientôt.

[Applaudissements]