Différences entre les versions de « Cloud : l'Europe veut-elle faire sa révolution - FIC2023 »

Titre : Cloud : l'Europe veut-elle faire sa révolution ? Séance plénière

Intervenant·e·s : Tariq Krim - François Pellegrini - Alain Issarni - Dimitri Van Zantvliet - Julia Sieger

Lieu : Lille - Grand Palais - FIC Europe 2023

Date : 7 avril 2023

Durée : 1 h 17 min

Vidéo

Licence de la transcription : Verbatim

Illustration : À prévoir

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Transcription

Julia Sieger : Vous êtes au complet pour cette table ronde.
François Pellegrini, vous êtes vice-président de CNIL, merci infiniment d’être là. Tariq Krim, qu’on a entendu tout à l’heure. Dimitri Van Zantvliet, vous êtes le CISO [Chief information security officer] des chemins de fer néerlandais. Vous avez commencé à y répondre, Alain Issarni, mais la première question que j’ai pour ce panel qui s’articule autour de l’Europe : pourquoi fallait-il un acteur du cloud 100 % français et non européen ?

Alain Issarni : Est-ce qu’il faut un acteur 100 % français ? Je trouve que toutes les initiatives qui ont été lancées en France son 100 % françaises. La réglementation est un peu différente, je ne l’ai pas évoqué, le SecNumCloud est en France mais n’est pas ailleurs. Le fait qu’il puisse y avoir des initiatives en France et qui démarrent en France, l’ambition est forcément d’aller en Europe. Compte-tenu du niveau d’exigence qui existe en France, je pense que c’est une bonne passerelle pour pouvoir aller à l’ Europe. Et assurément, quand on est sur ces sujets – SecNumCloud, RGPD –, on parle d’Europe et si on arrive à vendre le service en France, on vendra le service en Europe, c’est donc effectivement un sujet européen.

Julia Sieger : Je voudrais qu’on fasse un état des lieux avant de commencer cette table ronde : où en est-on ? On parle de retard technologique. Certains disent, à l’inverse, on a entendu Tariq Krim tout à l’heure, « pas du tout, on a toutes les briques, le problème est ailleurs ». Quelle est votre opinion là-dessus ?, peut-être François Pellegrini.

François Pellegrini : Je rejoindrais ce que disait Tariq Krim.
D’abord, la CNIL parle d’une position qui est assez particulière par rapport au Cloud. Le rôle de la CNIL est de faire respecter la loi sur les données à caractère personnel, qui n’est qu’un des versants de l’ensemble de la problématique cloud puisque, au-delà des données à caractère personnel, il y a les données à caractère non personnel, en particulier les données stratégiques des entreprises.
De ce point de vue là, comme il a été rappelé, les briques existent, les compétences sont présentes et il faudra – mais ça c’est plutôt sur la partie prospective, au-delà de l’état de lieux – définir des politiques qui permettront de mettre en mouvement ces différents acteurs.
Pour nous, pour parler du point de vue de la CNIL, ce qu’on constate c’est que bien évidemment il y a un mouvement vers l’infonuage de façon à, comme l’a dit Monsieur Issarni, mutualiser les coûts, parce que dans le domaine du numérique, où, justement, les effets de réseau sont considérables et, j’allais dire, le coût marginal est extrêmement faible, il faut absolument mutualiser les coûts et se focaliser sur sa valeur ajoutée, c’est là qu’on fait les marges qui permettent de s’étendre.
Comme ça a été dit également, on est attiré par des fonctionnalités, on est aussi attiré par une facilité d’usage parce qu’il y a énormément d’argent qui est mis dans l’ergonomie et c’est vrai que c’est un élément. Tariq citait Linux et autres : les libristes, pendant longtemps, ont été un peu rétifs à l’ergonomie et ça a fait des couches basses extrêmement performantes mais qui n’ont pas nécessairement pu susciter l’adhésion des personnes pour qui la ligne de commande était quand même un univers totalement étrange.
La question de la sécurité a aussi été évoquée. On peut considérer que ces acteurs mettent beaucoup d’argent dans la sécurité. Comme on l’a vu, la sécurité s’exprime à différents niveaux. Il y a le niveau de subsidiarité, il y a la sécurité du système informatique, ce sont des visions à court terme et, pour la vision à plus long terme, il y a la sécurité des infrastructures et puis des enjeux de souveraineté, c’est-à-dire la sécurité des populations qui peuvent être, du jour au lendemain, coupées de leurs activités, donc réduites au chômage avec des troubles sociaux qui peuvent effectivement être considérables. L’attaque peut concerner des entreprises high-tech, mais le meilleur moyen de mettre un pays par terre c’est d’attaquer ses services sociaux et, à partir de là, les gens seront très rapidement dans la rue parce qu’ils n’auront plus les moyens de vivre.
Le rôle de la CNIL c’est celui du gardien de la protection des données, donc, puisque il y a un alignement des droits et libertés fondamentales et ces enjeux de souveraineté, nous prenons part au débat à la place qui est la nôtre, mais les enjeux sont effectivement extrêmement vastes. Nous y apportons notre pierre, mais ça suppose évidemment des activités concertées avec plein d’autres acteurs.

55’10

Julia Sieger : Merci beaucoup.
Dimitri, many say that Europe is lagging behind when it comes to the cloud. What is your assessment of the situation and, maybe more specifically, is it a technological problem or is it a lack of political will – to see a robust resilient European cloud actor?

Dimitri, beaucoup disent que l'Europe est en retard en ce qui concerne le cloud. Comment évaluez-vous cette situation et, peut-être plus précisément, le problème est-il d'origine technique ou est-il dû à un manque de volonté politique – de voir advenir un acteur européen du cloud robuste et résilient.

Dimitri Van Zantvliet : Well, I won't repeat whatever I already said, because we already are living in a hyperconnected society, and I think – to put something extra in the mix – that for a society to thrive, you need to be reliant and you need to rely on critical services. Public transport, for one, is a critical service, and we saw that during the pandemic, where we had to transport the doctors and nurses to the hospitals, just as well as energy and water. And I think sometimes we are a bit naive, because we need to rely on those services, and on the other hand we're not making too much progress in building the right fundamental building blocks to support those services. So, we are talking about the overall internet, but also the fundamental building blocks of the internet: the cables that go into Europe for example, the DNS that needs to be resolved so, sometimes, we have services that are very local, but then the data goes everywhere all over the world; and that's part of the resilience that I think we need to take more account into, and build more services ourselves, more sovereignty into our critical services that we need so much to be a thriving Europe.

Je ne vais pas répéter ce que j'ai déjà dit, parce que nous vivons déjà dans une société hyperconnectée et je pense – pour jeter au pot quelque chose de plus – que l'épanouissement d'une société nécessite de la confiance, nécessite de pouvoir compter sur des services critiques. Les transports publics, par exemple, sont un service critique. Nous l'avons constaté pendant la pandémie, où il nous a fallu transporter les docteurs et les infirmières vers les hôpitaux, tout comme l'énergie et l'eau. Et je pense que parfois nous sommes un peu naïfs, parce que d'une part nous devons compter sur ces services, et d'autre part nous ne progressons pas vraiment dans la construction des composants de bases qui leur permettent de fonctionner. On parle d'Internet en général, mais aussi de ses composants de base ; par exemple les câbles qui arrivent en Europe, le DNS qui doit être résolu afin que parfois nos services, très locaux, envoient des données partout dans le monde. C'est une part de la résilience dont je pense que nous devons davantage tenir compte en construisant plus de services par nous-mêmes, en mettant plus de souveraineté dans les services critiques qui nous sont si nécessaires pour être une Europe épanouie.

57’ 00

Julia Sieger : Je vais être assez directe, Tariq Krim : pourquoi sommes-nous là ? Je suis désolée, mais ça fait plusieurs années qu’on soulève cette même question : qu’est-ce qui fait qu’on n’arrive pas à sortir de cette situation ? Qu’est-ce qui fait qu’on n’arrive pas à concurrencer les Américains ? Quels sont précisément les leviers qu’il faut enclencher ?

Tariq Krim : Ça a été dit juste à l’instant par les différents intervenants. Est-ce que c’est une question de concurrence ?, c’est une question que je pose ouvertement, ou est-ce que nous ne vivons pas dans un système de valeurs qui est différent, un héritage de valeurs qui est différent ? Je m’explique.
C’est toujours très drôle de voir les États-Unis en rouge sur la carte, d’habitude sur les cartes que j’avais quand j’avais plus jeune, c’était les Soviets ou la Chine maintenant. Je dis ça en rigolant, mais une grande partie des questions de l’extraterritorialité et des lois dont on parle, si on met de côté le CLOUD Act et aussi le PATRIOT Act qui est arrivé à la suite d’un événement horrible aux États-Unis, la plupart de cet héritage vient de la guerre froide : les lois FISA, toutes les lois qui autorisent ce genre d’extraterritorialité ont été inventées à une époque où il y avait l’Union soviétique, on les écoutait, donc on était dans un cadre différent. C’est vrai qu’avec l’arrivée du cloud, la combinaison du cloud et des GAFAM, ces lois sont devenues extrêmement utiles parce qu’elles apportent un niveau supplémentaire.

Quand je parlais de valeur, il y a deux/trois choses intéressantes.
La première c’est qu’il y a un antagonisme absolu entre la vision de la vie privée en Europe et aux États-Unis, on a un des experts du domaine juste à côté, donc je n’irai pas plus loin, nous sommes fondamentalement sur des visions différentes, mais également sur la vision du cloud.
J’ai eu des conversations avec Alain il y a quelques jours, ce que je trouve intéressant et j’imagine que c’est la même chose vu les responsabilités que vous avez, quand on me dit que le cloud c’est plus vite, plus fort, plus gros ! Non ! Quand on travaille notamment avec les services publics, votre métier, c’est la stabilité, c’est la qualité de service, c’est déployer sans encombre, surtout quand on est sur les infras critiques qui ont été gérées par nos deux intervenants. Il y a donc obligatoirement une question entre le cloud des startups qui ont besoin de grandir très vite, qui ont besoin de beaucoup de capital, puisque, éventuellement un jour, winner takes all et puis il y a le cloud des entreprises. Et là, on est dans des problématiques vraiment très différentes où ce que l’on veut c’est l’horloge suisse : ça marche tout seul, où il n’y a pas de problèmes, il n’y a pas, comme tu disais, de bugs informatiques.
Donc dans les visions de la manière dont on va implémenter le cloud et dans les options de services, il y a effectivement les clouds qui sont plutôt adaptés à des entreprises pour qui la vélocité et la croissance est le Graal et il y a une place absolue pour des entreprises qui veulent des choses très stables et de la qualité de service sur le long terme.

Alain Issarni : Juste un commentaire ou un complément là-dessus. Est-ce que nous sommes devancés ? Est-ce que nous sommes en retard ? Oui, nous sommes en retard. Est-ce que, pour autant, il faut en faire un complexe ? La réponse est assurément non, comme s’il suffisait d’être en retard pour abandonner une bataille. Les éléments sont là.

Julia Sieger : Oui, mais on est souvent en retard quand même, comme s‘il y avait peut-être un problème un peu structurel.

Alain Issarni : Il y a un état d’esprit, une volonté qu’il faut changer, c’est ce qu’il faut impulser assurément. Il faut arrêter et sortir de ce mode-là : on est en retard, donc on fait du bashing, c’est-à-dire qu’il n’y a plus rien à faire et il faut être défaitiste. Non pas du tout  Comme je le disais et ce n’est pas moi qui l’ai dit en premier, les gros acteurs, les gros inventeurs sont plutôt en France et en Europe sur ces sujets-là. Il faut en prendre conscience et il faut utiliser ces compétences et ces capacités pour rattraper le retard et probablement dépasser, il n’y a rien d’insurmontable là-dessus.

François Pellegrini : Je pense effectivement que le problème du positionnement et de la mentalité est essentiel.
Par rapport à votre question sur comment on peut propulser les choses, la réponse est au niveau stratégique : il faut d’abord se doter d’une vraie stratégie tenue dans la durée avec, ensuite, des moyens de l’opérationnaliser. Ça suppose une constance politique, d’abord une identification politique du sujet qui est nécessaire, ce qui n’était pas nécessairement évident aux échelons décisionnels et ensuite une mise en œuvre qui soit holistique. On voit, par exemple, que la question de l’approvisionnement en processeurs est une condition sine qua non de l’ensemble du déploiement d’une stratégie de souveraineté numérique, mais c’était passé sous le radar et toutes les politiques de désindustrialisation et de transfert à l’étranger des usines, c’était la doxa des années 1990/2000 et ça été difficile à remettre en cause, alors même que les arguments de souveraineté étaient déjà présents ; on l’avait vu au niveau des lanceurs spatiaux et déjà, à cette époque, les États-unis mettaient en œuvre une politique agressive de brevets pour détruire la politique du Japon sur la construction des puces. Dès les années 1980, la maîtrise des puces a été l’objet d’un programme stratégique des États-unis, de façon à conserver le contrôle sur ces chaînes, ce qui avait été considéré comme essentiel notamment pour les équipements militaires.
Pour la mise en œuvre politique, je pense que la question c’est effectivement de faire arriver à faire croître les PME innovantes. Il faut rappeler que ceux dont on parle – les Google, les Amazon et autres – ont été des PME dans le garage. La question, c’est comment on arrive à passer de cet état-là à une position d’entreprise mature et stable sur son secteur. Depuis longtemps, des personnes plaident pour un Small Business Act à l’européenne ou à la française. Les États-Unis l‘ont ; il ne faut pas ignorer que ça crée une position de déséquilibre.
Ensuite, il y a effectivement des moments où un acteur rentre sur le marché, on l’a bien vu dans les business plans du numérique, on crame du cash pour pouvoir gagner de la clientèle parce que ces clients ensuite, par l’effet de réseau, deviendront à leur tour des prescripteurs. Il y a donc un effet d’entraînement très fort, il faut en tenir compte ; il faut donc imaginer des modèles économiques dans lesquels on va pouvoir aller conquérir ces territoires. Le fait est qu’une fois qu’un acteur est installé, on a un dumping sur les services. Une stratégie qui n’est pas protectionnisme mais juste de maintien de concurrence libre et non faussée, pour éviter ce fameux « la première dose est gratuite », et ces questions de crédit et de dette qu’on commence à se faire, c’est justement d’arriver à mettre en place, on en parlera sur le versant réglementaire, des lois qui vont empêcher ce verrouillage.
Rappelez-vous dans les années 90, l’Europe a été la première à créer une loi pour la rétro-ingénierie pour l’interopérabilité. Donc, déjà dès les années 90, dans le secteur du logiciel, on avait identifié le fait qu’il ne fallait pas qu’il y ait de verrouillage sur les formats de fichiers.
Maintenant, et c'est l’article 20 du RGPD pour les données seulement à caractère personnel, malheureusement, il y a la portabilité des données qui dit que le coût de la rétro-ingénierie doit porter, finalement, sur celui qui fournit le service. L’article 5 du DATA Act, c’est aussi l’extension de ce principe aux données non à caractère personnel de façon à maintenir la concurrence libre et non faussée. Il faut aussi qu’il y ait des enquêtes en concurrence sur les tarifs parce que, effectivement, une fois qu’on a une position dominante dans le monde du numérique, la concurrence est extrêmement forte.
Excusez-moi, je suis un peu bavard, je reviens sur cette mentalité de colonisé. Dès le moment où on considère par préjugé, sans justification, que les produits importés sont toujours meilleurs que les produits locaux, de toute façon on n’arrivera pas à mettre l’argent au bon endroit. Comme le disait Monsieur Issarni, si la réponse des prescripteurs c’est de dire « faites ça dans votre coin et si vous faites bien on vous donnera de l’argent », le problème est à l’envers. Il faut financer et c’est pour ça que le Small Business Act est utile dans ce domaine-là, il faut faire aller l’argent vers les produits parce que s’il n’y a pas d’investissement, la qualité des produits ne montera pas et il n’y aura pas de possibilité de contrer les sommes phénoménales qui sont extraites des marchés existants. Il faut donc renverser cette tendance. Il faut arrêter de faire du European bashing ou du French bashoing ; il y a eu des propos politiques quand même assez dramatiques qui ont pu être tenus parle passé.
Dans ta liste, finalement, je retrouve cités les gens d’EUCLIDIA. On a des initiatives européennes, il s’agit justement de faire en sorte de les promouvoir avec la commande publique : les administrations sont des grands prescripteurs en termes stratégiques, en termes de formats de données – la guerre des formats est toujours ouverte. Il y a des choses à faire au niveau politique, il y a le Référentiel général d’interopérabilité : il faut le mettre en application. Un certain nombre de moyens peuvent être mis en œuvre à peu de frais parce qu’il faut éviter cette adhérence : le vendor lock-in n’est pas sur les données, il est aussi sur les technologies et les effets d’adoption.

Julia Sieger : Et la recherche.

François Pellegrini : La recherche, je pourrai en parler peut-être plus tard.

Julia Sieger : On en parlera un petit peu plus tard dans cette table ronde également.

Alain Issarni : Juste un complément et rebondir sur ce qui a été dit sur les logiciels libres. C’est vrai que c’est assez agaçant ou frustrant de constater que ce sont souvent les logiciels libres qui guident l’état de l’art mais que, bien souvent, on va vers des éditeurs. C’est vrai que, malheureusement, il y a un réflexe, j’allais dire de riche, c’est-à-dire qu’on préfère aller acheter la belle boîte cadeau qui se trouve sur les étagères parce qu’elle est toute packagée et tout est fait, et on ne prête aucune attention aux petites briques individuelles qui, malheureusement, ne sont pas très bien assemblées, mais qui, si on arrivait à les assembler pourraient être très bien. Tariq disait qu’il faut être dans la durée, effectivement beaucoup de décisions sont prises uniquement sur le critère d’immédiateté : on a besoin de quelque chose on le veut tout de suite. Investir pour être dans la durée et faire émerger des solutions et des alternatives, ça nécessite de la volonté et de la stratégie. In fine, tout le monde est convaincu que ça devrait coûter moins cher, mais, dans les faits, c’est difficile et c’est souvent extrêmement compliqué d’aller convaincre des décideurs à dire « prenons l’alternative qui est prometteuse au lieu de quelque chose qui coûte très cher ».
Au début des années 2000, on avait coutume de dire que pour un DSI il était facile de faire un gros projet et de se planter, pardon de l’expression, en prenant les solutions que tout le monde prenait, plutôt que d’aller sur de l’innovation, typiquement le Libre, et de prendre le risque de se tromper. Aujourd’hui on a la même chose avec le cloud : il est extrêmement facile et satisfaisant de prendre le risque pour un DSI de dire je vais prendre les gros, ce sont les meilleurs fonctionnellement parlant, si ça ne marche pas je pourrai toujours dire que j’ai pris la meilleure des décisions et que j’ai fait comme les autres. Alors prendre l’initiative d’aller prendre des autres acteurs, même si c'est la bonne réponse, la bonne solution, c’est un risque supplémentaire qui effraie un certain nombre d’acteurs.

Julia Sieger : Parlons à présent de souveraineté. Comment peut-on échapper au CLOUD Act, peut-on y échapper d’ailleurs ? Et, par exemple, est-ce que la procédure d’adéquation qui est en cours actuellement ici en Europe c’est suffisant, à votre avis ?

François Pellegrini : Je vais repositionner un peu les termes de la question. Comme je l’ai dit, la CNIL ne s’occupe que des données à caractère personnel, et le mécanisme d’adéquation aussi en fait. C’est-à-dire que la question globale de la préservation du patrimoine informationnel des organisations, que ce soient les entreprises ou les organes de la Nation, déborde de cette question de l’adéquation puisque l’adéquation ne concerne que la préservation des droits et libertés fondamentaux et la création d’un espace. Il faut voir que le RGPD est aussi un règlement qui vise aussi à la libre circulation des données dans un espace où les droits et libertés fondamentaux des personnes sont respectés. Donc ça ne vise que cet aspect-là, c’est-à-dire que l’adéquation peut être une solution pour garantir des droits et des libertés aux personnes, mais ça ne traite pas le problème plus global de l’interception, de l’espionnage industriel, qui est une autre problématique.
Est-ce que c’est suffisant pour garantir le patrimoine industriel d’une entreprise ? Clairement, ce n’est pas dans les textes, la réponse a tendance à être non.
Maintenant, qu’y a-t-il dans ces législations ? Ces législations visent à organiser l’accès sous condition de réciprocité, il ne faut pas l’oublier non plus : le CLOUD Act est une proposition dans laquelle il va y avoir là-aussi des États partenaires qui peuvent être identifiés pour que ce mécanisme d’accès fonctionne dans les deux sens, pour l’accès qui est situé sur le territoire d’États tiers. On pose ça sur la table et on dit : si on ne veut pas que vos données puissent être accédées par ce biais, il faut au moins les localiser sur un territoire qui n’y est pas soumis. Il y aura quand même des conditions de réciprocité, mais, surtout, il faut avoir le contrôle et la maîtrise sur ces accès, donc il faut en particulier que les entités juridiques soient exclusivement soumises à la législation de l’Union européenne puisque, sinon, des législations tierces peuvent être activées.
Je dirais que ce n’est pas tout. C’est-à-dire que, par exemple, dans un transfert d’un État de l‘Union européenne à un autre État de l’Union européenne, et Tariq a évoqué la question du routage, si ça passe par Singapour, Tokyo ou Baltimore, alors cette idée d’un espace purement européen est juste une fiction juridique sans la réalité technique – le diable est dans les détails, le diable est dans les routages –, donc il faut envisager l’intégralité des menaces qui peuvent peser sur le dispositif.
Je me permets juste, parce qu’il y a eu cette présentation vidéo qui dit que le chiffrement de bout en bout c’est la solution : si c’est pour qu’à l’arrivée les données soient en clair et puissent être aspirées, eh bien non, c’est un élément de solution, c’est utile contre un certain nombre d’attaques mais pas nécessairement toutes. Il faut vraiment remettre cette question de l’adéquation et la question de ces instruments de ce point de vue-là uniquement dans le périmètre des données à caractère personnel qui ne sont là encore qu’une des pièces du puzzle.

1 h 11’54

Julia Sieger : Merci beaucoup.
Dimitri, on this question – talking about sovereignty and data protection – how can we better perhaps protect the data of European citizens and the European Union, and maybe, you know, not be constrained by foreign interference? And is the European Commission's adequacy decision going far enough, do you think?

Dimitri, sur cette question – la souveraineté et la protection des données – comment pouvons-nous mieux protéger, éventuellement, les données des citoyens européens et l'Union européenne et peut-être ne pas être contraints par l'interférence de l'étranger ? Et la décision d'adéquation de l'Union européenne va-t-elle assez loin à votre avis ?

Dimitri Van Zantvliet : It's a layered question. So let me answer the sovereignty first. If you look at the policies in the governance that we have in our critical infrastructure, we look at sovereignty in four domains actually. The first one is the geographical sovereignty. We are looking into “Do we want to do business with foreign states with an aggression against us?” for example. Obviously not. But also, do we want to look at process sovereignty? For us, it's very important to have a holistic view on the attack surface; so it's important to have, also, insight in the control data that our processes use, and to be able to withstand all the attacks that are going in the supply chain. I think the technical sovereignty is the third layer. It's very important to be able to pull back your stuff. What we see now is that we have three hundred fifty development teams, and some of them are building stuff in AWS. Thus for example if you build it with no JS and you build it with Python, it's heavily integrated into the AWS stack; it's almost impossible to shift it out of AWS, so the technical sovereignty needs to be thought of when you design new functionality. And the last part – I think it's an answer also to the Data Sovereignty Act – is that for data sovereignty, as a final element, you need to know where your data is. You have a lot of shadow data nowadays; you need to encrypt it, but you need to contain the key yourself. So, for the encryption and the key management, it's, I think, crucial for the coming years that we develop new innovations that allow us to really contain the key ourselves, and not store it somewhere in the vault on Azure, on AWS, somewhere in the cloud where someone else can reach it. But we own the data, we have the key, and nobody else can touch it.

Cette question comporte plusieurs étages. Permettez-moi de répondre d'abord sur la souveraineté. Si l'on regarde les règles de gouvernance concernant nos infrastructures critiques, on voit en fait quatre domaines de souveraineté. La première est la souveraineté géographique. On se demande par exemple « Voulons-nous faire des affaires avec des États étrangers auteurs d'une agression contre nous ? » Évidemment non. Ensuite, la souveraineté dans les processus. Pour nous, il est très important d'avoir une vue holistique de la surface d'attaque ; il est donc important d'avoir également une connaissance des données de contrôle que nos processus utilisent et d'être capables de résister à toutes les attaques qui affectent la chaîne logistique. Je pense que la souveraineté technique est le troisième étage. Il est très important de pouvoir récupérer nos billes. Ce que nous constatons actuellement, c'est que nous avons trois cent cinquante équipes de développement et que certaines fabriquent des trucs dans AWS. Ainsi par exemple s'ils ont été fabriqués sans JavaScript et avec Python, ils sont fortement intégrés dans la pile AWS ; il est presque impossible de les en sortir. Par conséquent la souveraineté technique demande à être prise en compte quand on conçoit une nouvelle fonctionnalité. Et enfin – je pense que c'est également une réponse à la Directive sur la souveraineté des données – on a besoin de savoir où sont nos données. De nos jours, il y a beaucoup de shadow data (NdT : données sauvegardées dans le cloud) ; elles doivent être chiffres, mais on doit conserver nous-mêmes la clé. Donc, pour le chiffrement et la gestion des clés il est à mon avis essentiel que nous développions dans les prochaines années des innovations qui nous permettent effectivement de conserver nous-mêmes la clé et de ne plus la stocker quelque part dans une « chambre forte » sur Azure, sur AWS, dans le cloud où quelqu'un d'autre peut la prendre. Ainsi nous possédons les données, nous avons la clé et personne d'autre ne peut y toucher.

1 h 14’ 38

Julia Sieger : Là, je voudrais peut-être l’avis de tout le panel également. Ça fait cinq ans que le RGPD est entré en vigueur. Quel bilan dressez-vous de ce règlement intérieur ? Est-il encore à propos ? Faudrait-il le modifier ? Quel est votre bila Monsieur Issarni ?

Alain Issarni : Le bilan du RGPD. Le RGPD a quand même été un choc pour les DSI parce que ça a été pas mal de travail. Je pense avoir peut-être fait partie, à un moment donné, des gens j’allais dire agacés par le RGPD, ce n’est pas le bon terme, parce que c’est juste un contexte nouveau. Une fois que j’ai dit ça, c’est un concept nécessaire et indispensable. On peut se plaindre de pas mal de choses, mais je pense que c’est quelque chose de très bien et on peut s’en réjouir.
Je vais peut-être rebondir sur le sujet de l’adéquation qui a été évoqué tout à l’heure. Si l’adéquation est définie, je ne sais pas si tout le monde est familier avec ça : Schrems 2, sous contrôle, a remis en cause l’adéquation RGPD entre les États-Unis et l’Europe. Une nouvelle procédure d’adéquation est en route, qui va peut-être conduire à une adéquation RGD entre les États-Unis et l’Europe.

Julia Sieger : Un Schrems 3, peut-être ?

Alain Issarni : Exactement. C’est en chemin et déjà beaucoup prétendent qu’il va y avoir du Schrems 3. Ce que je voulais dire par là c’est que s’il y a un Schrems 3 on aura perdu cinq ans de plus à essayer de se réfugier derrière : tout cela va être éventuellement sécurisé et va pouvoir être compatible, du coup on ne bouge pas, ça fait perdre du temps. Pour le coup ce n’est pas RGPD, mais dans les faits, si je prends l’impact qu’a pu avoir Schrems 2, honnêtement il n’est pas très fort de mon point de vue. Quelles sont les décisions réellement contraignantes qui ont été prises au point d’interdire des outils qui n’étaient pas compatibles RGPD suite à Schrems 2 ?, finalement il n’y en pas énormément. Il y en a une qui est Google Analytics. La CNIL, comme certaines CNIL européennes, a dit « Google Analytics n’est pas compatible RGPD, arrêtez de l’utiliser ». À part ça, à ma connaissance, au Danemark aussi il y a eu une tentative de la CNIL danoise d’avoir une contrainte forte dans le monde de l’éducation scolaire qui utilise énormément la Google Suite et les Chromebooks et elle avait décidé l’été dernier, suite à pas mal d’avertissements, de dire à un certain nombre de collectivités « dorénavant vous ne pouvez plus utiliser cela ». Ils ont tenu bon jusqu’au début de la rentrée, je crois qu’ils ont tenu un mois et demi. Depuis, sauf erreur de ma part, il y a des dérogations pour pouvoir l’utiliser.

Ce que je veux dire par là c’est que la réglementation RGPD, tout cela, c’est très bien. Est-ce que c’est suffisant ? Probablement pas, parce que, en fait, le niveau de contrainte que ça impose est très fort pour les responsables de traitement sur les mauvais comportements qu’ils peuvent avoir. Est-ce que ça va influencer le marché et un certain nombre d’acteurs qui sont déjà en place ? La réponse est difficile et je comprends qu’elle soit difficile parce tant qu’il n’y a pas d’alternative c’est difficile d’aller dire « on interdit complètement de tel cloud de tel outil ou autre. C’est compliqué et, malheureusement, ça n’y suffit pas. Il faut donc trouver le moyen, j’allais dire, de pouvoir faire émerger des alternatives et peut-être, je vais le dire comme ça, alors donner la possibilité à la CNIL ou aux autres autorités d’être plus contraignantes vis-à-vis d’un certain nombre de choses.

Julia Sieger : Tariq.

Tariq Krim : Ce qui est à fois la force mais aussi le drame du RGPD c’est qu’il est arrivé à un moment où l’Internet, avec les réseaux sociaux, était totalement en train de changer, avec des conséquences dont on commence à peine à voir véritablement les effets néfastes. D’une certaine manière, on a commencé à réfléchir non pas aux causes, mais on a essentiellement essayé de modérer les conséquences. Une chose m’amuse toujours quand on demande aux gens : qu’est-ce qu’a apporté le RGPD pour vous ?, et qu’ils disent « des popups sur tous les sites ». C’est assez anecdotique en apparence, mais on n’a pas réfléchi à une offre complète qui intègre le design, qui intègre le fait qu’à un moment donné il fallait obliger les keepers, que ce soit les navigateurs, que ce soit les plateformes mobiles, à intégrer cela de manière intelligente. D’une certaine manière on nous fait payer le fait que c’est quelque chose que beaucoup de gens ne veulent pas. Mais, fondamentalement, ça ne répond pas à tous les problèmes et, parce que ça ne répond pas à tous les problèmes, on s’est retrouvé ensuite avec une pléthore de lois : je crois que le commissaire Thierry Breton nous a ajouté de nouvelles propositions avec le Cyber Resilience Act et je crois qu’il y a le Cyber Solidarity Ac, mais aussi le Data Governance Act, le AI Act, il y a le DMA, il y a DSA. On a l’impression qu’il va y avoir une sorte de complexité régulatoire et que, fondamentalement, le temps de les mettre en œuvre, le marché va encore évoluer, on le voit déjà aujourd’hui avec ChatGPT et toutes les IA génératives.

Julia Sieger : Justement, les entreprises françaises ne sont-elles pas en train de crouler sous la bureaucratie ? Est-ce que ça ne met pas des freins à l’innovation ?

Tariq Krim : C’est compliqué. Je pense que la force c’est quand on a une forme de clarté. Les lois importantes des États-Unis sont assez anciennes, sur la question de la régulation des réseaux sociaux, la section 230, c’est 1997, le DMCA ça fait un petit moment déjà et on a laissé une forme d’innovation un peu sauvage se construire et, évidemment, des monopoles autour de ces innovations un peu sauvages.
En Europe les valeurs, c’est-à-dire la manière dont on construit les logiciels, qui n’est pas forcément la même, puisque si la vision qu’on a de la vie privée n’est pas la même le logiciel n’est pas le même. Quand on prend, par exemple, la vision de la nourriture, je donne toujours cela, j’ai confiance quand on me dit que les produits sont organisés ; quand je vais aux États-Unis, que j’achète des boîtes dans les supermarchés, je ne suis pas toujours certain de ce que je vais trouver dedans. Pour le logiciel je pense qu’on a peut-être raté cette opportunité de dire qu’on a un mieux-disant, une façon différente, et de soutenir l’innovation aussi sur cette qualité de service. Je me permets juste de rappeler que l’Europe a été un leader, et la France, dans les infrastructures. Dans l’eau, par exemple, on a une école française de l’eau, on a appris à gérer l’eau d’une manière extraordinaire qui va être essentielle quand elle va commencer à manquer ; dans tous les domaines, que ce soit dans le nucléaire, dans l’électricité, le spatial, le train il n’y a pas un domaine, en Europe, où on n’a pas été quand même extrêmement bons. Finalement tous ces services font partie de la nouvelle infrastructure avec ce savoir-faire, cette compétence d’un point de vue des valeurs et d’un point de vue de l’envie de les faire, et je trouve dommage, je dirais, que la régulation européenne se positionne beaucoup plus en réaction à ce qui se passe aux États-unis plutôt qu’en accompagnement d’une vision proprement européenne.

Julia Sieger : On va prendre votre réaction dans un instant.

1 h 22' 08

Julia Sieger : Dimitri, what is your take on GDPR five years after it was voted in?

Dimitri, quelle est votre position sur le RGPD, cinq ans après son adoption ?

Dimitri Van Zantvliet : Being in season for many years, the question was asked to us: at first to [me], when I became a DPO (Data Protection Officer) as well, and later on to people that learned for it, that took over the helm. It was quite some work to do it, but I think it was great. I think GDPR really showed the world, on a world stage, what needed to be done to protect data. If you look at the implementation, I think it's not going fast enough if you look at the fines. I think it's now starting to – you know, the big companies are now being fined, but the first years they were a toothless tiger, so to say. So, that's picking up, but it's not picking up fast enough, and GDPR is just one aspect. If we look at for example AI – you mentioned it already – we are lagging behind in legislation and enforcing legislation. So, I think we need a more experimental governance. Once new technology comes into place, we need to be willing to, as a society, experiment with allowing things to happen, make mistakes, and even make policies that are not one hundred percent valid and workable. It's like being agile in your governance. We talked too long and too much about policies at a European stage. I think we should shorten those lead times.

Dimitri Van Zantvliet : Cette question, qui est d'actualité depuis plusieurs années, nous a été posée, d'abord à moi lorsque j'ai pris la fonction supplémentaire de DPO (Data Protection Officer), et plus tard aux gens qui en ont tiré les enseignements et repris la barre. C'était beaucoup de travail, mais je pense que c'était super. Je pense que le RGPD a vraiment montré au monde, sur la scène mondiale, ce qu'il était nécessaire de faire pour protéger les données. Quant à sa mise en œuvre, je pense qu'elle ne va pas assez vite si l'on se base sur les amendes. Je pense que cela a commencé (les grandes entreprises reçoivent désormais des amendes), mais pendant les premières années c'était en quelque sorte des tigres de papier. Donc cela démarre, mais cela ne démarre pas assez vite. Le RGPD n'est qu'un des aspects. Si l'on considère par exemple l'IA – vous l'avez déjà mentionnée – nous sommes en retard dans la législation et dans l'application de cette législation. Je pense que nous avons besoin d'une gouvernance plus expérimentale. Lorsqu'une nouvelle technologie se met en place, nous devons être disposés, en tant que société, à laisser les choses se produire sur un mode expérimental, à faire des erreurs, et même à établir des règles qui ne sont pas cent pour cent valables et applicables. Autrement dit, mettre de l'agilité dans notre gouvernance. Nous avons trop discuté, trop longtemps, de politiques au niveau européen. Je pense que nous devrions raccourcir ces étapes préliminaires.

Julia Sieger : We'll actually come back to AI in just a moment, because I think it's an important factor to talk about as well.

Nous reviendrons effectivement à l'IA dans un instant, parce que je pense que c'est aussi un facteur important à discuter.

1 h 23’ 50

Julia Sieger : Monsieur Pellegrini, sur le RGPD cinq ans plus tard ?

François Pellegrini : Je vais évidemment parler en tant que régulateur avec juste un petit commentaire. Quand j’entends dire que le RGD a demandé une charge de travail importante aux organisations, je me dis que s’il fallait vraiment cet effort-là pour se mettre en conformité avec le RGPD, c’est qu’il y avait peut-être une violation de la loi Informatique et Libertés qui existe depuis 40 ans. Le RGPD est une évolution, ce n’est pas une révolution. Ce que le RGPD a changé, bien évidemment, c'est la taille du gourdin, selon le célèbre théorème d’Al Capone qui dit que pour obtenir quelque chose il vaut mieux être armé et poli que juste être poli. Effectivement, avant on n’avait pas nécessairement les moyens de pouvoir imposer des niveaux d’attention suffisants de la part des acteurs du marché.
Notez bien aussi, par rapport à cette notion de bureaucratie que je veux combattre également. L’idée c’est que l’ancienne directive de 1995 s’imposait uniquement aux acteurs, aux entreprises qui étaient situées sur le territoire de l’Union. Le RGPD a pris la même argumentation que celle que Tariq citait pour la nourriture, c’est-à-dire que si vous voulez vous adresser à des consommateurs qui sont dans l’Union, vous devez les protéger. Le RGPD est donc un texte qui, par rapport à l’ancienne législation, est beaucoup plus équitable parce que tous les acteurs qui veulent interagir sur le territoire européen doivent respecter cette réglementation ; c’est la même chose pour la nourriture, c’est la même chose pour la qualité des vêtements. Le RGPD est donc une vraie avancée parce que cette bureaucratie supposée, en fait, s’applique à tout le monde alors qu’avant les acteurs européens étaient défavorisés par rapport aux fournisseurs tiers. Bien sûr, comme ça a été cité, il ne suffit pas qu’une réglementation existe : il faut l’appliquer.

J’aimerais quand même préciser ce qu’introduit le RGPD. Avant, il y avait des autorités de protection des données nationales, qui intervenaient sur leur territoire. Le RGPD a créé un mécanisme d’interdépendance avec cette notion de guichet unique qui fait qu’un résident de l’Union peut s’adresser, porter plainte, dans son pays et, ensuite, ce sera traité par un mécanisme de coordination européenne, ce fameux guichet unique, pour les cas dits transfrontaliers. C’est un mécanisme compliqué parce que, avant le RGPD, certaines autorités de protection des données n’avaient pas de pouvoir de sanction, donc un certain nombre d’autorités ont dû apprendre de nouveaux métiers qu’elles n’avaient pas. On est cinq ans après. Bien sûr qu’au temps de la techno c’est un temps extrêmement long, mais au temps de la transformation des organisations, pour arriver à avoir un dispositif qui fonctionne, c’est assez court.
Ça marche quand même déjà, c’est-à-dire qu’aujourd’hui il y a déjà plus de 2000 décisions qui ont été rendues au titre du guichet unique ; il y a eu quelques goulots d’étranglement dont on espère, bien sûr, qu’ils sont en voie de résolution rapide parce qu’il faut apprendre, justement, à travailler ensemble. Il y en particulier des mécanismes sur l’analyse des décisions contraignantes faites par une autorité – pour les juristes : c’est l’article 65 du RGPD. Au départ, les gens étaient un peu hésitants sur ce mécanisme en disant « si je l’utilise contre une autorité, est-ce qu’elle ne va pas le prendre mal ? » Non. Ce sont des instruments de coordination que le législateur a prévus. On commence à les utiliser, ça prend un peu de temps. Je rappelle que dans le domaine de la concurrence, il y a fallu 12 ans après que le mécanisme européen de régulation de la concurrence soit mis en œuvre pour que la première décision soit rendue. Là, quatre ans après, on commence à avoir des décisions, on apprend en marchant, on discute les uns avec les autres. Il faut aussi aplanir certaines problématiques de législations nationales, et c’est pour cela que nous sommes aussi en train de travailler avec la Commission européenne pour mettre d’équerre un certain nombre d’éléments de procédures nationales qui retardent le bon traitement des plaintes au niveau européen. Je pense que ça va dans le bon sens. Ça demande du temps de mise en route, mais je crois que maintenant ça commence à fonctionner de façon correcte.

Soyons clairs, c’est une peu comme l’écologie ; Tariq le citait pour l’eau. Avec le RGPD, on a quand même réussi, sans les moyens des grands majors de la communication, à créer une marque globale. Ce qui est très intéressant, avec cet effet d’extraterritorialité basée sur les fournisseurs, c’est une territorialité toujours de marché, c’est que maintenant cette marque globale s’impose à tous. Quand vous avez un prestataire, par exemple aux États-Unis, qui doit respecter le RGPD pour les résidents européens et qui ne le fournit pas à ses propres nationaux, les nationaux sont en droit de se dire : « Que faites-vous ? Pourquoi les étrangers sont-ils mieux protégés que moi ? ». J’insiste sur ce plan-là : en l’occurrence, la loi Informatique et Libertés, c’est le 6 janvier 1978 ; il y avait une loi suédoise avant, en 1972, aux États-unis ils n’en sont pas encore là. Bien sûr ça commence à discuter.

Julia Sieger : D’ailleurs, certains États aux États-Unis, comme la Californie, s’inspirent du RGPD.

François Pellegrini : Absolument. Ça montre bien que la distorsion de concurrence existe quand des acteurs sont capables de produire des produits de moins bonne qualité et d’arriver à les mettre sur le marché. Le rôle du régulateur, c’est de faire en sorte que l’égalité de concurrence soit respectée sur le marché en question entre tous les acteurs qui participent au marché. Comme je le dis, ça prend du temps, le temps du droit n’est pas le temps de la technique, mais je pense que la trajectoire est bonne.

Julia Sieger : Tariq.

Tariq Krim : On parlait de nourriture. Je vous donne une anecdote : la NASA invente un système de tests de produits parce que, pour des raisons que tout le monde comprend, il est évident que des astronautes ne peuvent pas avoir mal au ventre, on va dire pour être poli, lorsqu’ils sont dans l’espace ; c'est le système inventé aux États-Unis que va choisir l’Europe ! En fait, il y a toujours eu une volonté que je trouve intéressante de construire une certaine exigence de qualité et, ensuite, de construire les services qui vont avec, qui s’associent à cette exigence de qualité.
Ce que je trouve dommage c’est qu’on a les capacités, dans le numérique, de faire ce genre de choses, on aura la capacité de le faire dans les services de l’intelligence artificielle et que, pour l’instant, vous en parliez tous avant, il y a avant ce marketing qui a été travaillé à la fois dans la Silicon Valley et en France : il y a une véritable expertise absolument extraordinaire, cette idée qui dit que les produits sont tout faits, tout simples, qu’il n’y a rien à faire, mais la réalité c’est que quand on veut faire des choses de qualité ce n’est pas facile.
Je crois que la très grande erreur de la France a été de se dire « on ne fabrique plus les produits, on les fait ailleurs » et on oublie la chose essentielle : pourquoi une Tesla, pourquoi un iPhone ont de la valeur ? Parce que ce sont des engins extrêmement complexes à fabriquer. Tesla fabrique ses propres batteries, désormais Apple fabrique ses propres processeurs, son propre modem, il n’y a quasiment plus rien qui ne soit fabriqué par Apple. C’est extrêmement complexe. Ensuite, en Chine, il y a que l’assemblage qui est fait. On a oublié que si on veut créer de la valeur, donc des services de qualité, il faut intégrer des composants de qualité et ce n’est pas simple. Il faut arrêter ce culte de la simplification où on appuie sur un bouton et tout va se faire de manière magique, comme les licornes dans la tech ; les licornes n’existent que dans les contes de fée. Il faut revenir un peu dans la réalité et réapprendre cette complexité.
Il y a quand même une spécialité française. On a appris à faire des choses extrêmement complexes. Je parlais récemment avec un pilote qui m’expliquait que quand on fait des vols en Concorde on n’en croit pas ses yeux, on se demande comment on a réussi à faire une chose pareille. C’est ce qui rend l’Europe capable : il y a cette potentialité de refaire des choses complexes à fabriquer et simples pour les utilisateurs. Il faut qu’on le fasse.

Julia Sieger : C’est aussi un appel à la réindustrialisation de la France.

Tariq Krim : Je crois que la réindustrialisation est un objectif que tout le monde a compris. La question c’est qu’on ne réindustrialisera pas comme avant, on va devoir apprendre de nouvelles choses. Il y a de nouvelles complexités : l’écologie, la question des terres rares. On doit aussi se poser la question de reprendre tous les déchets qu’on a construits, tous ces téléphones – vous savez qu’il y a une petite icône qui dit qu’on ne doit pas les jeter à la poubelle, ils doivent être repensés, comment récupérer les éléments, comment on va créer de nouvelles chaînes de valeur. Il y a tout un ensemble de choses nouvelles à construire et ça devrait être, au contraire, une force pour les jeunes ingénieurs qui vont se lancer. Il y a un vrai défit qui me semble très excitant.

Julia Sieger : Vous vouliez réagir François, rapidement.

François Pellegrini : Je crois qu’avoir perdu l’acte de fabrication c’est effectivement avoir perdu une source de connaissance importante. Un proverbe en Asie dit, en quatre mots, c’est : « regarder, copier, comprendre faire mieux » ; et comprendre va même après copier, c’est-à-dire qu’on regarde et on extrait de la compétence et de la connaissance de l’acte de faire les choses et de les fabriquer soi-même. Réindustrialiser, ou ramener en tout cas sur le territoire, c’est permettre à ce savoir de revenir dans la chaîne de valeur et de production.
Je reviens aussi sur un autre point, sur ce que disait Alain : on a les logiciels libres, oui, mais les gens veulent des services. C’est-à-dire qu’avoir le Libre, si on n’a pas la société qui est capable de fournir les services compétents, alors ça devient problématique. Or, dans le Libre, on est face à des toutes petites structures, des TPE et c’est très compliqué : quand un ministère régalien dit « pour avoir de la maintenance sur le support, j’écris à toto83@lulu.com », ça défrise un peu les gens.
Il faut justement apprendre, dans ce nouvel écosystème, à pouvoir faire émerger les sociétés de support de services et fournir de la valeur, parce qu’une société qui ne fournit que du support ne contribue pas au patrimoine logiciel. Il faut donc être capable d’intégrer. Les sociétés éditrices de logiciels privatifs font en sorte que le support est directement dans le modèle financier qui crée le logiciel. Il faut faire très attention avec le Libre, c’est une vraie problématique de comprendre la valeur stratégique du Libre pour que le support nourrisse le développement ; ce sont des modèles à favoriser, ce sont des modèles à comprendre. Le Libre est un facteur de puissance économique considérable. D’ailleurs ce n’est pas une entreprise privée qui a concurrencé Microsoft, c’est Linux, un étudiant finlandais un jour et 10 000 personnes dans le monde qui se sont jointes à lui. C’est cette puissance et cet effet de levier-là qu’il faut comprendre et ça suppose une compréhension des modèles économiques du numérique.

Julia Sieger : Dimitri voulait réagir puis Tariq juste après.

1 h 34’15 Partie en anglais transcrite automatiquement avec le logiciel Scribe

Dimitri Van Zantvliet : So direct talks about a unicorn sir and i think you're spot on if you look at the ecosystem for example in the Netherlands we have a lot of startups and we are able to fund them with angel funds we we we go to the a round to to be around and to get into a unicorn stage i think that's very difficult for four european countries and there i think the the ecosystems should also provide the maximum funding to for companies to grow because of what we see right now is that over the last decades we were looking at state owned companies and that was a big problem so we liberate light the organizations and now we are owned by the big tech and so we need to get back control in europe and make sure that funds are available for scale-ups to become a u unicorn as well.

1 h 35’ 12 

Tariq krim : Je voulais juste me permettre de faire un aparté sur le Libre. On entend souvent « le Libre c’est fantastique, c’est gratuit, c’est disponible partout ». La majorité du code des logiciels libres, souvent inventés en Europe, on a parlé notamment du Web et de Linux, dont le frontend et le backend pour simplifier, sont désormais dans des fondations de droit américain. Comme vous le savez, parmi les prérogatives que le président américain a, il y a la question du droit à l’export, la limitation du droit à l’export. Dans la situation iranienne, ce qui était fascinant au-delà du fait qu’on bloquait les plateformes de développeurs, donc GitHub, Gitlab, c’est que ça a été le début, pour certaines personnes, de comprendre que, d’une certaine manière, la production de logiciels, ce qu’on appelle souvent des communs à mon avis à tort, était désormais formalisée dans des entités de droit américain et que ça devenait un avantage commercial. C’est pour ça que la Chine, depuis des années, a décidé de redévelopper des logiciels libres avec des licences locales. C’est pour ça qu’il va falloir travailler sur la relocalisation de fondations en Europe ou même, peut-être, en droit suisse, quelque chose d’un peu international, qui ne soit pas une arme géopolitique. Quand je parlais tout à l’heure de la complexité dans laquelle on est, désormais on a à la fois une guerre économique, mais on a aussi ce qu’on appelle souvent la low fare, c’est-à-dire que le droit devient également une arme d’extraterritorialité avec des possibilités de limitation des usages. On parlait de complexité tout à l’heure il y a également ce sujet qu’il faudra laisser. Je voulais juste faire un petit aparté là-dessus.

Julia Sieger : Merci.
Michel Paulin, le directeur général d’OVH, devait être avec nous lors de cette plénière, il n’a pas pu se libérer, mais on a pu lui parler et il évoquera un peu tous les thèmes qu’on vient d’évoquer ici sur cette table ronde. Je vous propose de l’écouter.

1 h 37’12 Entretien avec Michel Paulin, OVH

Julia Sieger : Michel Paulin, bonjour.

Michel Paulin : Bonjour.

Julia Sieger : Pouvez-vous nous expliquer si, à vos yeux, l’Europe accuse un retard technologique en termes de cloud, en termes de sécurité et d’interopérabilité ou uniquement en termes d’usages technologiques ?

Michel Paulin : Je pense qu’aujourd’hui l’Europe n’a aucun retard technologique sur plein de domaines. Si on prend l’ensemble de l’écosystème des acteurs européens, dans le domaine de la cybersécurité, dans le domaine du cloud, dans le domaine du logiciel aujourd’hui nous avons toutes les briques pour pouvoir le faire. Ce que nous n’avons peut-être pas, ce sont des acteurs d’une taille aussi importante que sont en particulier les écosystèmes chinois ou les écosystèmes américains qui permettent de faire, excusez-moi l’anglicisme, du one-stop shopping dans lequel vous pouvez avoir le bénéfice d’avoir à un seul endroit la totalité des solutions. L’enjeu n’est pas un enjeu de retard technologique, il n’existe pas.

Julia Sieger : Justement, dans le cadre d’une filière technologique de confiance, quels sont selon les atouts différenciateurs des fournisseurs de cloud français qui permettront de faire émerger une offre compétitive française ?

Michel Paulin : Le premier acte de différenciation c’est clairement aujourd’hui le fait que les acteurs européens, de droit européen, ont une conception du rapport à la donnée qui est totalement de celle des écosystèmes chinois ou américains. On voit bien qu’en Chine la conception des données est une conception où le tiers de confiance c’est l’État qui contrôle tout et on a une conception américaine qui est une conception marchande des données.
En Europe, parce qu’il y a un droit européen, en particulier avec l’initiative du RGPD, on voit bien que la protection des données est au cœur des écosystèmes autour de la donnée. Donc les acteurs européens, parce qu’ils ont commencé sur ce modèle-là, ont une spécificité totale, c’est-à-dire que les notions de cloud de confiance, les notions de cloud souverain, sont une réalité en Europe alors que les autres acteurs ne peuvent y prétendre. Pourquoi ? Parce qu’ils sont soumis à des droits comme le CLOUD Act, comme le FISA, toutes ces lois extraterritoriales qui imposent à tout le monde et, en particulier hors de leurs frontières, des droits qui ne sont pas des droits locaux.
Je pense, au contraire, qu’aujourd’hui l’Europe est avance sur tous ces autres acteurs sur ces notions protection des données. Nous sommes des leaders, clairement.

Julia Sieger : L’EUCS [Cloud Services Scheme], le schéma de certification cloud européen et leDigital Market Act peuvent-ils, à votre avis, générer des opportunités pour les fournisseurs de cloud européens ?

Michel Paulin : Je pense que le premier bénéfice, indépendant de l’avantage pour des acteurs européens, c’est de clarifier les conditions dans lesquelles les marchés sont faits. Quand vous êtes dans le domaine de l’agriculture vous voulez avoir une traçabilité et de transparence pour savoir l’origine de tel aliment. De la même façon, dans le cloud, il est indispensable que nous ayons une clarification et une transparence. C’est un des enjeux de Gaïa-X, c’est un des enjeux du DMA, c’est un des enjeux, aujourd’hui, de l’ensemble du DATA Act et je pense que c'est d’abord pour le marché, c'est d’abord pour les utilisateurs, c’est d’abord, aujourd’hui, pour les clients. Bien entendu, parce que les opérateurs européens, justement, sont conformes à ces lois-là nous pensons que c'est aussi un avantage concurrentiel, mais c’est un avantage concurrentiel pour le bénéfice des concurrents.

Julia Sieger : Au niveau européen, des initiatives comme le ??? [1 h 40 min 20] seront-elles suffisantes, à votre avis, pour créer un écosystème commun, capable justement de rivaliser notamment avec la Chine, avec les États-Unis ?

Michel Paulin : Je pense que c’est nécessaire. Est-ce que c’est suffisant ? Non. Si vous regardez ce qui se passe aujourd’hui dans les écosystèmes comme la Corée ou, dans le domaine de la cybersécurité, en Israël ou en Chine et, bien sûr, aux États-Unis. En fin de compte, on voit que ces écosystèmes créent des champions mondiaux parce qu’il y a eu quatre facteurs qui se sont rassemblés : un, clairement, un État stratège qui définit une réglementation, des certifications, des financements qui vont permettre de définir là où on le souhaite une ambition à long terme. Il faut donc que l’Europe soit stratège, mais ce n’est pas suffisant. L’IPCEI [Projet Important d’Intérêt Européen Commun] que vous mentionnez est un des éléments de financement qui le permettra. Est-ce que l’ordre de grandeur est suffisant ?, on peut avoir tous ces débats, mais je pense qu’il faut aller un cran plus loin : il faut la certification, la réglementation dont a parlé. Il faut la commande publique. Aujourd’hui, la commande publique, mais aussi la commande des grands groupes, est un des enjeux majeurs pour développer un écosystème européen.
Je pense qu’il y a aussi trois autres sujets.
Il y a un autre sujet qui est le financement cette fois-ci en ??? [1 h 41’ 28], donc les startups, les scaleups, l’accès au marché. Nous n’avons pas de Nasdaq ? Comment va-t-on aider les entreprises à être capables de se doter en fonds propres d’une capacité de financement pour pouvoir se développer ?
La recherche et développement. On voit bien que les écosystèmes aujourd’hui de recherche et développement sont autour de Standford Université, autour de Harvard, autour du MIT, mais on les voit aussi en Corées en Israël. Tous les échanges entre public et privé sont aujourd’hui capitaux pour pouvoir développer une recherche en développement et innovation.
Et, dernier point, le caractère humain, les ressources humaines. On sait que c’est un problème, aujourd’hui le recrutement est un problème, nous n’avons pas assez d’ingénieurs en Europe. J’avais dit de manière un peu provocatrice « plutôt que disperser des subventions partout, il vaut mieux investir dans les universités pour faire en sorte qu’il y ait plus d’ingénieurs, avec plus de mixité d’ailleurs, avec des doctorants qui auront intérêt à rester sur le territoire européen.

Julia Sieger : Merci beaucoup.

Michel Paulin : C’est moi que vous remercie.

1 h 42’ 28

Julia Sieger : Vous vous rejoignez sur beaucoup de sujets effectivement. On a un dessin de notre dessinateur qui s’appelle Nicolaas Caruso, que je vous laisse découvrir.
On va revenir, dans un instant, sur tout le côté RH. Avant ça, je voudrais peut-être creuser un petit plus la question de la commande publique, commande privée : est-ce qu’il faut un Buy European Act ?

Alain Issarni  : Très belle question. Buy European Act, déjà il y a buy, ça veut dire qu’il faut aussi quand même acheter. C’est une décision, une stratégie à avoir. Il pourrait y avoir un réflexe qui est de dire que quand on est dans la sphère publique, on obtient la souveraineté parce qu’on fait tout seul et on fait en interne. C’est pour ça que je dis que dans Buy European Act il y a « acheter ». Il faut savoir se positionner stratégiquement pour savoir ce que l’on fait en propre et ce que l’on achète. La souveraineté ne veut pas dire uniquement faire en propre. Dans le domaine de l’armement, il y a maintenant plus de 30 ans que les navires de guerre ou les chars ne sont plus construits par la Direction générale de l’armement. Ce sont des entreprises à part entière. Et, pour autant, je ne suis pas sûr que l’on ait abandonné à un quelconque moment la souveraineté sur ces sujets-là. Donc, la stratégie qui est de savoir ce que l’on fait et ce que l’on fait faire est absolument indispensable.

Après un Buy European Act, oui. Je pense que ça soulève une autre question qui est, si je le dis comme ça, sous forme d’humour, est-ce qu’on a la souveraineté suffisante pour pouvoir le décider ? C’est une bonne question. Je ne sais pas si on l’a, mais si jamais on ne l’avait pas ou si jamais il y avait une volonté politique pour ne pas tout à fait le faire, alors il me semble que dans la logique même qui est de savoir quels sont les acteurs qui doivent intervenir, ça rejoint un peu le sujet RGPD, il y a, in fine, l’utilisateur final. Je pense qu’il faut bien mettre dans le paysage que l’utilisateur final doit intervenir.
Il y a un sujet de sensibilisation à avoir et il faut donner la visibilité à l’utilisateur final pour savoir ce qui est fait de ses données et savoir comment c’est fait. Il y aura les deux leviers : il y aura la réglementation, certes, qui agira, mais il y aura l’utilisateur final et, in fine, c’est l’utilisateur final qui décide le business si on peut faire ça. Donc sensibiliser l’utilisateur final à toutes ces problématiques est absolument indispensable, c'est un volet qu’il faut absolument avoir.

Et, dans cette logique-là, qu’y a-t-il ? Dans les cartons doit venir le CyberScore, l’équivalent du Nutri-Score que l’on voit maintenant sur tous les paquets, qui n’est pas contraignant, la seule contrainte c’est de devoir l’afficher. Je ne sais pas quelle est votre pratique, il vous arrive de regarder quand c’est plutôt sur A ou plutôt sur E, peut-être que vous faites un peu de choix, donc vous dirigez un peu le marché.
Je ne sais pas si le marché si c’est le CyberScore qui pourra y répondre, c’est la finalité, en tout état de cause, je pense qu’il faudrait que l’utilisateur, quand il va utiliser n’importe quel service – parce que c'est un utilisateur au sens de client, parce que c’est un utilisateur interne au sein d’une entreprise – ait la possibilité de savoir sur quelle échelle se trouve le niveau de confiance qu’il peut avoir sur l’utilisation de sa donnée. Je veux croire que cela va influencer le marché, c’est-à-dire qu’il ne faut pas toujours s’en remettre uniquement à la réglementation qui dit « c’est ça et rien d’autre », des fois on voit que ce n’est pas tout à fait le cas ! Mais aussi, et c’est complémentaire, sensibiliser l’utilisateur qui va guider le marché. Ça fait partie, de mon point de vue, des axes forts qu’il faudra approfondir.

Julia Sieger : Tariq sur cette question et je vais reprendre aussi celle de Monsieur Issarni :est-ce qu’il faut un Buy European Act et est-ce qu’on a la souveraineté pour le faire ?

Tariq Krim : Dans l’absolu oui. Il faut un mécanisme de ce type, c’est évident. Mais il y a, à mon avis, d’autres choses autour de ce Buy European Act, notamment en France qu’il faudrait développer.
J’aime bien citer l’économiste Mariana Mazzucato parce qu’elle a cette phrase incroyable, elle dit « il n’y a pas une technologie dans l’iPhone qui n’ait été, à un moment ou à un autre, financée par le gouvernement américain ». Il est vrai qu’aux États-Unis, quand on regarde la commande publique, notamment la commande dans le domaine militaire, les chiffres donnent le vertige. Ce qui est fascinant d’ailleurs avec cette commande, et ça été vrai par exemple avec un des projets de plus hallucinants de l’histoire, Saturn V, cette fusée incroyable, il y a des grands contractors et il y avait également des petites sociétés dans tous les États-unis, quasiment tous les États-Unis ont travaillé, même si c’est pour faire des boulons du deuxième étage, pour dire « on a fait partie de ce projet ». Et nous, d’une certaine manière nous n’avons pas forcément la capacité de travailler avec les petits. Un des grands problèmes de l’Europe ce sont souvent les gros. Or, dans le numérique, les gros sont devenus les GAFAM, donc ce sont les interlocuteurs de facto.
Une deuxième chose dont on parle assez peu. Moi qui ai travaillé à la fois aux États-Unis et en France, qui regarde ce qui se passe dans l’innovation en Allemagne, j’ai toujours pensé, peut-être à tort, que l’informatique – parce que ce qu’on fait c’est finalement de l’informatique – est quelque chose de très méritocratique : il y a des gens qui sont très bons et il y a des gens qui essayent. J’ai trouvé qu’aux États-unis on avait toujours la possibilité de prouver sa valeur, on avait toujours des tickets d’entrée, c’est facile, je connais plein de startups ; d’ailleurs, avec Netvibes, mon premier partenaire c’était Disney, je ne les connaissais pas, la boîte existait depuis quatre jours ; il m’a fallu un mois pour avoir mon premier service français ! Ça montre la vitesse. « Ça a l’air sympa, on va travailler avec vous. »
En Allemagne, on a des écosystèmes locaux, on aime bien travailler entre petites PME, mais c’est quelque chose qui est assez historique.
Nous, malheureusement, je trouve qu’on a parfois, je pourrais même dire souvent, qui fait qu’on travaille avec des connaissances qu’on aime bien, et la valeur de la preuve n’est pas souvent mise en avant. C’est également le problème dans le financement. En tant qu’ancien startupeur, on va dire, en tout cas entrepreneur, il n’y a pas que recevoir des subsides qui est important. On vous donne un peu d’argent, ça devient super, tout le monde reçoit de l’argent de la BPI ou des différentes aides. On veut avoir un client, on veut que ce client soit content et on veut, par ce retour, améliorer le produit. Donc, derrière le Buy European Act, la question qui est posée n’est pas de savoir si on va donner de l’argent ou acheter telle ou telle solution parce qu’on a juste dit qu’il faut qu’il y ait un pourcentage alloué, ce que les gens veulent c’est progresser grâce à ce financement, c’est-à-dire que le financement doit aussi permettre aux acteurs de passer à l’étape suivante de leur développement puis à l’étape suivante. On confond souvent le fait que parce qu’on a donné des subventions qui sont, faut-il le rappeler, assez complexes à obtenir en Europe, c’est très bureaucratique, il y a aussi cette dimension de « c’est mon client ». Quand vous allez voir quelqu’un vous dites « c’est mon client », vous avez un respect pour ce client, vous avez envie de le servir, vous envie de lui donner le meilleur service, donc ça crée une émulation. Je pense qu’il faut combiner ce Buy European Act avec cette idée qu’il faut permettre aux entreprises, notamment les jeunes, de faire leurs preuves.

1 h 50’18 Partie en anglais transcrite automatiquement avec le logiciel Scribe

Julia Sieger : Dimitri on this question the buy a buy european act as this sound like a good to a good idea?

Dimitri Van Zantvliet : I think for for some parts with us i think if you look at the critical infrastructure again there's a necessity for a stable and resilient sovereign solution so perhaps that's that's an underlying structure that we could perhaps more impose some some rules but in the end i think it's it's about trust again and it's a question of demand and supply in the netherlands we have this expression that the users vote with their feet so they voted by leaving if they don't trust the service any more and i think if we don't build that ecosystem that european ecosystem where you invest in the in the new innovation and and the scale-ups to come and you can have a mandate to buy european but then if the if the ecosystem isn't there there's nothing to buy.

1 h 51’ 12

Julia Sieger : Vous vouliez aussi réagir Monsieur Pellegrini.

François Pellegrini : Oui, volontiers. J’avais déjà parlé du Buy European Act. Je pense que la commande publique est essentielle et monsieur Paulin, dans son intervention, a parlé d’État stratège, qui est un mot qu’on n’a pas prononcé ; on l’avait dit de façon indirecte, mais je pense qu’il faut vraiment poser les termes.
Comme l’a rappelé Tariq, les produits sont de plus en plus complexes. Si on fait produire par du privé, ce qui est pertinent – pour qu’un produit existe, il ne faut pas qu’il soit un éléphant blanc, que son coût soit supportable, il faut que ce produit, s’il est à double usage, puisse aussi être rentabilisé par le secteur privé et les usages génériques, d’ailleurs les processeurs sont des technologies duales de cette nature – il faut garantir que les entreprises en question ne soient pas rachetées plus tard par des autorités tierces. On a en Europe un track record assez saignant de pépites stratégiques qui se sont fait racheter sans que ça émeuve beaucoup.
J’en reviens à la question de la complexité des produits et des intégrateurs, puisqu’on parlait des produits complexes. Les gens de Dassault m’avaient dit à l’époque qu’il y a 10 000 sous-traitants directs et indirects dans le Rafale, y compris des gens qui font les boulons. Ce qui est très compliqué pour le numérique, en particulier avec le Libre, c’est d’identifier et de rétribuer ces sous-traitants indirects. Il y a le cas comico-tragique d’OpenSSL où, tout d’un coup, la personne qui maintenait une brique stratégique a dit : « Désolé, je n‘ai pas d’argent, j’ai besoin de croûter, je vais arrêter de faire ça ». Tout le monde a dit : « Tu voulais de l’argent, tiens, voilà de l’argent, on ne savait pas ! »
C’est important. C’est-à-dire que quand on a des technos qui sont stratégiques, quand on investit sur ce genre de briques, il faut se dire qu’on investit dans la durée parce qu’on a un patrimoine informationnel à préserver et, derrière, la maintenance est un service. Ça revient à ce qu’on disait préalablement : il faut qu’on soit capable d’avoir une vision stratégique sur les services essentiels. Tariq parlait de la forge logicielle ; une forge logicielle est un service. Les communs existent – là je suis peut-être en désaccord avec toi –, les communs existent, mais c’est de la donnée morte. Pour la faire vivre, il faut des services essentiels et, en particulier, bénéficier de l’effet de levier de la communauté, donc on a besoin d’avoir des places d’échange, des réseaux sociaux sur lesquels on va fonctionner.
Les effets de réseau font que parfois, même si un réseau social déraille, on y reste parce que, pour le moment, on ne voit pas l’alternative. Il y a l’exemple de Twitter, il y a eu l’exemple de Facebook avec Cambridge Analytica, qui sont de très bons exemples qui montrent comment l’effet de réseau peut aussi, j’allais dire, être un frein à la liberté de mouvement. Ce sont de vraies questions et c’est pour cela que la question de la portabilité des données prend un sens. Mais la notion de service essentiel, de marque globale, est essentielle.

Je reviens sur la question d’éducation, on y reviendra peut-être après quand on parlera de la formation universitaire. Il faut être capable de comprendre, parce que des gens qui sont juste des bons usagers ce sont de bons esclaves, je ramène pour cela à la conférence de François Élie de 2021. Quand j’entends parler de « cloud sans ordinateur », je dis : « Comment voulez-vous que les gens comprennent ? » Le cloud c’est bien de tourner sur l’ordinateur de quelqu’un d’autre. Si on ne comprend, et si on ne se pose pas la question : « Mais où est l’ordinateur et où sont les données ? », comme disait tata Ursule : « On n’est pas le cul sorti des ronces ! », parce qu’on ne donne pas aux gens les bonnes clefs pour comprendre. La blague c’est : CLOUD : Can't Locate OUr Data, et c’est vrai ! Il faut savoir où c’est et, à partir de là, on définit des politiques de souveraineté, de stratégie : je mutualise mais jusqu’à quel niveau de subsidiarité, pour que je bénéficie des économies d’échelle, mais, à la fois, je reste dans un périmètre qui me garantit une maîtrise de mon patrimoine informationnel et de mes services essentiels.

Julia Sieger : J’aurais encore plein de question à vous poser, mais il faut qu’on poursuive cette table ronde et qu’on parle à présent des problèmes ??? [1 h 55’ 00] qu’a justement évoqués monsieur Paulin. Qu’est-ce qui se passe au niveau des talents ? Quel est le problème ? On voit qu’il y a beaucoup d’autres révolutions technologiques qui arrivent comme le edge computing, l’IA. Peut-être qu’il va falloir aussi des compétences plus diverses. Que faut-il faire aujourd’hui et à quel niveau, peut-être, est-ce que ça se situe pour améliorer ce problème des talents ? J’imagine que ça se situe au niveau des universités ? Ça se situe au niveau de la formation en entreprise, ça se situe sur plein de niveaux. Essayez de nous expliquer quelle serait votre vision.

Alain Issarni : Je pense que ça se situe même avant l’université, avant le lycée. C’est même un peu culturel. Il faut inviter les jeunes à aller vers les sciences. Juste une parenthèse : quand on a dit qu’en première on pouvait arrêter les mathématiques, je pense qu’on a fait une belle erreur, à double titre. On va essayer de la rattraper. Je discutais avec quelqu’un qui me disait qu’on a pris 20 ans de retard, on est revenu à il y a 20 ans, notamment vis-à-vis des femmes dans le numérique, qui est un gros sujet, qui fait partie de cette dimension-là.
En fait, tous les talents sont absolument indispensables et c’est culturel, donc bien avant l’école, d’inviter à aller sur ces domaines-là et, j’allais dire, plus particulièrement pour les filles. L’image du geek à capuche, peut-être qu’on peut mettre une fille à l’intérieur, mais il faut changer cette image-là pour attirer tous les talents. On a besoin de tous les talents et il faut amplifier cette démarche. Certes il y a l’Éducation nationale, les écoles d’ingénieur, les lycées, mais c’est un état d’esprit global qu’il faut avoir et imprimer pour tout le monde.

Julia Sieger : Monsieur Pellegrini.

François Pellegrini : J’enlève ma casquette, je remets celle de professeur d’une université publique française, l’Université de Bordeaux. Je pense qu’aujourd’hui, on a les compétences. La preuve, c’est que nos scientifiques et nos ingénieurs essaiment dans les meilleures d’entreprises du monde où qu’elles soient ; au niveau du logiciel, la French Touch a été glorifiée. La question, c’est comment on maintient et on développe ces compétences et, pour ça, il n’y a pas de secret : ça nécessite un investissement constant, soutenu, dans la durée avec des moyens. Je rappelle, c’est un fait, le sous-investissement chronique, mais récurrent depuis des décennies, dans l’université française. On voudrait former plus d’informaticiens ; moi, j’adore transmettre. Honnêtement, si vous regardez la dotation des universités érodée par l’inflation, si vous regardez le gel du point d’indice depuis plus d’une décennie, comment voulez-vous qu’on retienne les talents si, à un moment donné, on leur dit : « Tu es génial, mais on ne te paye que ça. » Un proverbe anglais dit : « If you pay peanuts you get monkeys ». À un moment, les postes sont désertés. On le voit dans l’enseignement secondaire, on le voit à l’hôpital, ça va arriver à l’université si on n’y fait pas attention. C’est un signal d’alarme que je lance en tant que professeur d’université : on a des labos de recherche qui sont au niveau mondial, mais les gens tirent avec les dents et ce n’est pas le fait d’avoir un financement sur un projet qui est important, parce que l’argent sur un projet, c’est pour le projet. La vraie question c’est comment on paye les gens et qu’est-ce que ça traduit comme niveau de considération dans la société sur l’apport que ces personnels peuvent offrir au bien commun et aux intérêts de la France en tant que pays ou de l’Europe en tant qu’union politique. C’est une question ouverte que je pose. Il suffit de regarder les courbes, ce serait bien qu’on se réveille.

1 h 58’ 45 Partie en anglais transcrite automatiquement avec le logiciel Scribe

Julia Sieger : Dimitri, on this question of skill shortages is that something that you're experiencing in your own country as well yeah definitely?

Dimitri Van Zantvliet : I think there's an actual solution here one is that the in in my cyber field for example i we see many repetitive tasks so we need to automate more we need to use ai to not burn out all the cyber stuff and i think the other solution he said the diversity in hiring so we don't only look at the cultural diversity but also age for example we've heard quite some elderly people that are being trained again and there are great assets because they come they they they can work with the younger people and have the fatherly talk with them when necessary and yeah and the other things i also wear the last three highest that i that i did for my team they were train drivers so it's also possible to have horizontal careers within your company so we developed our own academy and are training people to become a cyber specialists that takes quite some effort but the evo train divers with an id savvy are very lucky when they when they can work in cyber but now we have a train driver shortage so.

2 h 00’ 06

Julia Sieger : Tariq

Tariq Krim : Il y a évidemment un paradoxe : d’un côté, on nous explique qu’avec les nouveaux outils informatiques on n’a plus besoin de personnes, tout va être fait tout seul, et, dans la phrase suivante, les gens disent « on recrute un maximum de gens ». On a une espèce de paradoxe.
Je ne reviens pas sur ce que tu as dit sur les mathématiques : quand on dit qu’on veut construire la Start-up Nation et qu’on arrête l’enseignement des mathématiques, il y a un problème. De toute façon, d’un point de vue plus général avec les défis qu’on a dans le monde, les défis thématiques, on a besoin de plus de scientifiques, on a, en général, besoin de gens qui ont une approche scientifique, rationnelle des choses, et c’est vrai qu’on n’a pas fait grand-chose aujourd’hui pour rendre ces positions très sexy pendant longtemps. Quand j’étais à l’école, on nous expliquait que l’informaticien était entre le premier et le deuxième sous-sol dans une salle qui n’était pas toujours très ragoûtante. Aujourd’hui, on a mis le personnage du startupeur qui, à mon avis, est un personnage qui n’est pas forcément très bon pour l’écosystème, il vaut mieux montrer des rôles modèles, des gens qui travaillent dans les labos.
Sur la question de la qualité des talents, regardez le dernier modèle de Facebook qui est probablement aussi bon que ChapGPT, on a la liste des gens ; je crois qu’il y a 14 polytechniciens, un normalien et un autre ingénieur français. Les talents sont là, ce n’est pas un problème.
Sur la question des femmes dans le numérique, je dis toujours que c’est une femme qui m’a donné envie de m’intéresser à l’informatique, c’est Bonnie MacBird qui a écrit le scénario d’un film qui s’appelait Tron, que vous avez certainement vu, qui, accessoirement, est aussi la femme d’Alan Kay qui a été une grande figure pour moi. Il faut des rôles modèles, il faut montrer, il faut arrêter ces choses où on nous explique, il faut aussi voir. Il y a plein de gens qui sont extraordinaires, des femmes qui m’ont façonné, que ce soit Pattie Maes, Kevin Polizzi ???, ??? [2 h 01’ 50], j’ai une liste incroyable. L’ARM, la puce au cœur de tous ces téléphones, a été inventée par une femme qui travaillait à l’époque pour Acorn.
Il faut remettre ces histoires et redonner aux gens l’envie de faire des choses intéressantes. Une des raisons pour lesquelles les gens partent aux États-Unis ou partent des labos, c’est qu’on leur dit « tu auras les moyens d’exprimer la totalité de ton talent. Tu ne vas pas être contraint par un chef qui dit politiquement on ne peut pas faire ça, parce qu’on n’a pas le budget de machin. » À un moment donné, quand vous êtes bon vous voulez connaître l’intégralité de votre talent, vous voulez vous confronter aux meilleurs et c’est une chose qu’on doit réapprendre à faire parce qu’il n’y a aucun problème de qualité sur les gens qui sont formés en France.

Julia Sieger : On arrive à la fin de cette table ronde. Merci infiniment.
On va pouvoir retenir beaucoup de choses de cette table ronde. On a balayé beaucoup de sujets. Le fait qu’on n’a pas forcément à rougir puisqu’on a de belles choses qui se font dans l’écosystème donc il faut rester optimistes. Il y a de belles choses à faire, peut-être essayer d’avoir plus d’intégration au niveau européen. Le fait que c'est aussi une vision du numérique et une vision de la société qu’on veut pour demain, qu’on défend aujourd’hui. Une certaine traçabilité avec de la réglementation. Au niveau des talents, vous avez dit qu’il faut continuer à investir avant l’université et puis, peut-être, donner plus de liberté aux jeunes pour aller se confronter à la vraie vie et découvrir tout leur potentiel.

Je voudrais vous remercier tous de nous avoir suivis. Remercier également les gens qui nous regardent à distance. C’était un plaisir. C’est la dernière plénière de ce FIC 2023, mais vous avez encore plein de choses qui se passent, encore beaucoup de contenus à découvrir en parallèle avec d’autres tables rondes. Je vous remercie infiniment. Je pense que vous pouvez les applaudir chaleureusement. Merci.

[Applaudissements]