Souveraineté numérique dans les administrations et les collectivités - Table ronde B-Boost 2021

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : B-Boost 2021 : Table ronde - Souveraineté numérique dans les administrations et les collectivités

Intervenants : Benoît Liénard - Bastien Guerry - François Elie - Pascal Kuczinski

Lieu : B-Boost 2021

Date : 15 octobre 2021

Durée : 1 h 02 min 15

Vidéo

Licence de la transcription : Verbatim

Illustration : À prévoir

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Résumé

Nos intervenants échangeront autour de la souveraineté numérique dans les administrations et les collectivités. C’est un sujet fondamental à l’heure ou les lobbyings de toute sorte ciblent notamment le secteur public.

Transcription

Pascal Kuczinski : On va démarrer sans plus attendre. On a la chance aujourd’hui de pouvoir dialoguer autour de la souveraineté numérique dans un contexte de service public, administrations et collectivités territoriales.
Je me permets de présenter notre trio de luxe dans l’ordre qui s’affiche à l’écran : Benoît Liénard, directeur de Soluris, syndicat informatique de Charente-Maritime, mais également représentant de Déclic qui est une association de service mutualisant sur toute la France, une quarantaine de structures y sont représentées et aussi, si j’ai bien compris, monsieur numérique de l’association des maires de France. Tu me reprendras si tu en as besoin. Bastien Guerry, monsieur référent logiciels libres à la DINUM, service de l’État, et François Elie qui est élu à Angoulême, président de l’association ADULLACT et, au demeurant, professeur de philosophie.
On va commencer par toi, François, et te demander que dit la loi sur ce sujet ? Quelle est la philosophie qui va nous permettre de mieux comprendre ce que veut « souveraineté numérique » ?

François Elie : En général, quand on donne la parole à quelqu’un qui se pique de philosophie – je ne dis pas philosophe parce que les bons philosophes sont morts – on commence par essayer de définir ce dont on parle. Si on se demande ce que c’est qu’un souverain, c’est celui qui n’a rien au-dessus de lui – un jury est souverain si personne ne peut modifier ses décisions. Le problème c’est qu’il y a deux types de souverains. On est passé, par exemple à la Révolution française, d’un roi qui était le souverain à un peuple qui est aujourd’hui le peuple souverain. En fait, la meilleure définition que je connaisse c’est que le souverain c’est celui qui fait la loi. Il y a deux façons de faire la loi, soit la petite frappe, au fond de la cour de récré, qui fait la loi à coups de poings, soit celui que fait la loi au sens qu’il se donne à lui-même sa propre loi et qui essaye d’y obéir, ce qu’on appelle aussi en philosophie l’autonomie, le fait d’obéir à sa propre loi.
La question de la souveraineté numérique c’est la conscience, ou non, de la loi à laquelle on obéit, peut-être sans le savoir ou peut-être lucidement, on verra de quoi il retourne.
Pour éclairer et simplement pour finir sur ce point, j’observe qu’à chaque fois qu’on parle de cybersécurité, de protection des systèmes d’information, etc., on jette un voile pudique sur les problèmes essentiels, c’est-à-dire les systèmes eux-mêmes, on veut les protéger sans se demander si les systèmes qu’on utilise sont des dangers.

Pascal Kuczinski : Et tu penses que c’est pour ça qu’on se pose la question de la souveraineté justement ?

François Elie : J’aimerais bien qu’on se la pose correctement plutôt que d’en parler sans regarder où est le problème. On aura l’occasion de développer un peu.

Pascal Kuczinski : Je passe la parole à Benoît. Avec Soluris il y a quelques centaines de collectivités de Charente-Maritime, en plus des petites collectivités. En quoi ces collectivités sont-elles concernées par la souveraineté numérique ? Quel est le point de vue d’une collectivité sur ce problème de souveraineté ?

Benoît Liénard : Des petites collectivités mais pas que, en Charente-Maritime et aussi un peu dans les Deux-Sèvres.
Pour les personnes qui ne connaissent pas bien le contexte des collectivités locales, les collectivités sont très diverses, c’est un peu comme les entreprises, énormément de toutes petites collectivités, comme il y a énormément de TPE, d’artisans et autres et finalement très peu de grandes. Si on parle, on va dire de la majorité, des petites et moyennes, je pense que les élus locaux sont concernés par ces sujets-là. Un élu local est une personne comme vous et moi qui décide de s’investir pour le collectif. La question d’œuvrer pour le bien commun, de faire les choses dans les règles qui permettent de faire en sorte que le service public soit bien rendu, ce sont vraiment des éléments qui animent les élus locaux. On en a d’ailleurs un à la tribune, donc je ne vais pas parler davantage de leur motivation. Donc bien faire et avoir une attention à la manière dont en particulier les données, puisqu’une mairie récolte beaucoup de données à caractère personnel sur son territoire, sont bien protégées, sont traitées d’une manière générale, les élus sont concernés donc ils veulent bien faire. Ils sont conscients, ils lisent les journaux que les GAFAM, etc., le CLOUD Act, il y a la possibilité que les données dont on a la gestion soient utilisées à mauvais escient ou, en tout cas, à notre insu.
Après il y a la dimension pragmatique. Ils ont peu de moyens. Je reprends la question de la loi, je pense qu’ils sont conscients qu’il y a certains enjeux, mais il y a aussi une loi qui est la loi, en quelque sorte, du marché, qui est plutôt celle de la petite frappe, la loi de fait qui fait qu’on n’a pas forcément le choix des armes et qu’on doit parfois utiliser des outils malgré nous. Ça rejoint ce qui a été dit précédemment.
Il y a cette volonté de bien faire, mais comment. Sachant qu’en plus, dans la plupart des cas, les collectivités ont très peu de moyens en interne, moyens techniques, peu de compétences. Là encore on va refaire le parallèle avec les entreprises où il est rare que les entreprises aient des DSI chevronnés et encore moins sur le sujet du Libre.

Pascal Kuczinski : On va zoomer sur le commun après. Tu as parlé des GAFAM. Tu as des exemples concrets de non souveraineté ? Le fait de parler du négatif va peut-être nous aider à mieux comprendre le positif.

Benoît Liénard : J’ai parlé des GAFAM, on peut parler de données ou même d’utilisation même de mail. La tentation naturelle, parce que c’est la simplicité, de quelqu’un qui ne serait pas averti concernant les questions de territorialisation des données, ce serait d’utiliser des messageries gratuites telles qu’elles existent sur Internet, Gmail par exemple. Il n’est pas rare que des élus locaux aient des adresses en Gmail et, parce que c’est pratique pour eux de gérer leurs mails et leur agenda en Gmail, ils demandent à la collectivité d’adopter les mêmes solutions. C’est là où nous nous posons en sensibilisateurs et, du coup, nous devons proposer des solutions alternatives aussi pratiques si possible. Il y a le « si possible », c’est là où il y a toute la question du pragmatisme ensuite.
Je dirais que le risque est partout, comme pour les individus.

Pascal Kuczinski : Je passe la parole à l’État, pardon, Bastien. On va rester sur le même plan : du côté État, as-tu des exemples concrets de non souveraineté ? Après je te poserai la question : qu’est-ce l’État a-t-il à faire de ça finalement ? Quel est son sujet sur ce sujet ?

Bastien Guerry : J’ai un exemple très concret et très récent. Il y a deux semaines, un agent de la Direction interministérielle de la transformation publique, qui est dans le même bâtiment que la Direction interministérielle du numérique, avec laquelle on échange souvent parce qu’on a des projets communs, vient me voir en disant : « Nous avons acheté un site web via l’UGAP et le prestataire me dit que je n’ai pas le droit de faire autre chose que d’utiliser le livrable, je n’ai pas le droit de le modifier. Ça m’embête parce que j’ai recruté quelqu’un qui a pour charge d’assurer le suivi de ce site web. » On creuse et je lui dis « normalement les conditions juridiques sont telles que le prestataire est obligé de mettre ça sous licence libre, en tout cas vous avez dû, dans votre contrat, vérifier que vous avez récupéré la propriété intellectuelle ». Ils ont bien récupéré la propriété intellectuelle mais seulement pour des droits d’utilisation. L’UGAP, pour ceux qui ne connaissent pas, c’est une centrale d’achats, des prestataires se réfèrencent à l’UGAP ce qui permet aux administrations d’acheter la prestation sans faire d’appel de marché. Les conditions juridiques entre l’UGAP et le prestataire ne sont pas accessibles à l’administration. Donc on a une administration qui se retrouve avec un site web qu’elle ne peut plus modifier.

Public : L’UGAP est une structure de droit public.

Bastien Guerry : C’est du droit public. C’est un exemple typique de dysfonctionnement interne de l’espace public où on se tire une balle dans le pied et où n’est plus du tout en souveraineté. J’ai un agent qui a recruté quelqu’un qui n’a pas le droit de modifier et de faire vivre le site web qu’il a acheté et l’entreprise est apparemment, le sujet est en cours, dans son bon droit pour dire « on vous a cédé simplement les droits d’utilisation, si vous voulez aller au-delà vous devez continuer à payer de la prestation ». La souveraineté, au quotidien, c’est ce ressenti d’être piégé.

Pascal Kuczinski : Tu nous parles de la DINUM, la Direction interministérielle du numérique pour l’État, en gros le service informatique de l’État. Il y a une sous-partie, tu vas nous parler d’Etalab. En quoi Etalab est concerné par ce « problème », entre guillemets, de souveraineté numérique ?

Bastien Guerry : Je vais faire un paysage très rapide. La DINUM c’est le résultat de la fusion entre la DSI de l’État qui gère les infrastructures réseau entre les ministères, le département Etalab qui, historiquement, s’occupait d’ouverture des données publiques et qui, depuis trois ans, s’occupe d’ouverture des codes sources, et beta.gouv qui sont les startups d’État qui sont des projets agiles, on va le dire rapidement, au sein de l’État ; ce ne sont pas des startups, le mot est mal choisi, ce sont des petites unités pour créer rapidement des projets agiles.
La DINUM a fusionné les aspects historiques de DSI, historiquement peu agiles, avec les sujets d’innovation sur comment faire des projets dé-risqués, en faisant des projets de six mois, à 200 000 euros, avec une petite équipe qui s’arrête si ça ne marche pas et le sujet de l’ouverture, avec l’open data en tête. Le sujet de l’open source et du logiciel libre est arrivé il y a trois ans, je l’ai pris en charge. C’est la suite d’un atelier au Paris Open Source Summit 2018 où on a eu un échange juridique intéressant pour pointer du doigt le fait que finalement les codes sources sont des documents administratifs comme les autres. C’était un peu un angle mort.

Pascal Kuczinski : La CADA.

Bastien Guerry : C’est la Commission qui gère ces demandes d’ouverture d’ouverture. Quand le citoyen dit « je voudrais que les données de démographie soient ouvertes ou que ce code source de Parcoursup soit ouvert, etc. », il peut saisir la CADA qu’une administration peut saisir aussi.
L’ouverture des codes sources est arrivée tard faute de référent. Etalab était historiquement ami et est toujours ami des communautés du logiciel libre, il y avait des interactions fortes avec l’écosystème notamment en 2016 au moment du partenariat pour un gouvernement ouvert et on prend ce sujet en main de façon opérationnelle d’abord parce qu’on n'est pas beaucoup et qu’on essaye de faire des produits. On en maintient essentiellement deux : un qui est le socle interministériel de logiciels libres. Ce socle est le résultat de la loi qui encourage l’utilisation des logiciels libres dans l’administration, je dis bien « encourage » parce que c’est simplement un encouragement, ce n’est pas une obligation légale, on pourra en discuter après. Ce socle existe depuis très longtemps par les groupes de mutualisation interministériels. Il est venu au sein d’Etalab qui le porte, qui lui donne une adresse en .gouv, et qui le fait connaître.
Le deuxième produit c’est la liste des codes sources publiés pour la mise en œuvre de cette loi de 2016, la loi pour une République numérique.

Pascal Kuczinski : Dans ce contexte-là la souveraineté numérique, Etalab ?

Bastien Guerry : Etalab est un département de la Direction interministérielle. On n’a pas vocation à se prononcer sur la souveraineté numérique, mais on a vocation à se référer à la loi et l’article 16, dont je viens de parler, que les gens ici, je pense, connaissent bien, « encourager l’utilisation du logiciel libre », prononce aussi trois mots qui peuvent servir de définition provisoire sur la souveraineté qui sont : l’administration doit assurer la maîtrise, l’indépendance et la pérennité de ses systèmes d’information. Maîtrise, indépendance, pérennité de ses systèmes d’information, l’exemple que je vous ai donné au début, d’un service qui ne peut pas continuer à développer sons site web, c’est exactement le contre-exemple. Ça sert pour dire que le logiciel libre, les licences libres permettent justement de ne pas se retrouver dans cette situation.

Pascal Kuczinski : On pouvait s’attendre à ce que tu donnes un exemple du style « les militaires ont besoin de souveraineté d’un niveau un peu plus visible par le citoyen. »

13’ 40

Bastien Guerry : Ce qui est visible pour les agents, par exemple, c’est que c’est à la DINUM et à la Dinsic à l’époque qu’il y a eu une prise de conscience où on s’est dit « non, on ne va pas laisser tous les agents publics aller sur WhatsApp, ce n’est pas une solution souveraine, les données ne sont pas hébergées chez nous », à l’époque, en plus, il n’y avait même pas de chiffrement de bout en bout. Donc la Dinsic, avec Henri Verdier, a donné l’impulsion à un projet qui s’appelle Tchap et qui est le protocole Matrix, mis à disposition des agents et on a aujourd’hui plus de 200 000 agents qui utilisent cette solution, qu’on peut appeler souveraine par raccourci.

Pascal Kuczinski : C’est l’équivalent de WhatsApp mais avec du logiciel libre et un protocole ouvert également.

Bastien Guerry : Et avec une collaboration entre la DINUM et New Vector Limited, qui est l’entreprise qui déploie et qui développe Matrix, et avec de l’internalisation de compétences parce que Tchap est devenue une startup d’État, c’est un parcours original. C’était d’abord un service opéré au sein de la DINUM. C’est devenu une startup d’État parce qu’il y a de plus en plus de besoins, de demandes, de travail fin sur les fonctionnalités et d’interactions resserrées entre la DINUM et le prestataire, l’entreprise. C’est clairement un sujet de souveraineté. Il y en a plein d’autres. À Etalab on est un peu en veille sur d’autre sujets à défaut d’être déjà en R&D.b Je donne un exemple : les captchas. Pourquoi l’État ferait-il travailler tous les citoyens pour une entreprise américaine dont on n'est pas sûr qu’elle va en faire une éthique ?

Pascal Kuczinski : Il faut rappeler que la plupart de captchas c’est du Google et ça aide Google à optimiser ses reconnaissances d’images.

Bastien Guerry : Complètement. Le sujet est un serpent de mer, il revient régulièrement. Il y a eu récemment des annonces d’une administration ayant développé un captcha libre ; en grattant d’un peu plus près ce n’est pas vraiment un captcha libre, c’est simplement du code ouvert mis à disposition par quelqu’un, donc c‘est un problème. Là on est à nouveau en risque d’être piégé. Si la personne fait évoluer son code source, elle peut, du jour au lendemain, tout faire payer. Là on a une nouvelle dépendance.
Tous ces exemples de dépendance et de pièges c’est pour montrer un manque de maturité, de culture technique et juridique et sur les processus d’achats.

Pascal Kuczinski : Ça demande un certain niveau pas seulement juridique mais aussi technique pour savoir lire tout ça.
Maintenant qu’on a bien compris l’introduction, merci Messieurs, je voudrais revenir vers toi Benoît. Tu allais le dire tout à l’heure, je t’ai interrompu, mais concrètement que fait-on dans les collectivités pour qu’on ne tombe pas dans le piège de ne plus être souverain, de ne plus avoir la loi, pour reprendre le terme de François ? Concrètement toi, en tant que syndicat informatique tu es là pour aider les collectivités, les aider à s’équiper qu’est -ce qui se passe sur le terrain ?

Benoît Liénard : Il ne faut pas penser qu’on pourrait être indépendants de toute influence et qu’on est complètement libres. Je pense qu’il faut avoir conscience – je reprends le terme que j’ai trouvé intéressant qui a été dit par François tout à l’heure – des dépendances qu’on a, de ce en quoi on est, d’en mesurer, du coup, l’impact et d’en accepter, ou pas, l’impact. Et ça nécessite effectivement une culture technique et juridique que peu de gens ont.
Dans les faits, soyons très francs, une mairie ce sont des applications métiers pour gérer les métiers, d’une mairie l’état-civil, les élections, l’urbanisme, etc., et ce sont des applications plus transverses et des infrastructures je dirais plus réseaux, messagerie, etc.
Pour ce qui est des applications métiers, on s’adresse à des éditeurs de logiciels, pour la grande majorité d’entre eux propriétaires, qui ont comme grand avantage de prendre la responsabilité du maintien en condition de sécurité et en conformité réglementaire de leurs outils. La problématique d’une collectivité c’est qu’elle doit exercer le service public et que la réglementation change tout le temps, donc c’est très compliqué de maintenir un logiciel dans l’état de l’art au niveau réglementaire. Des collectivités ou des développeurs motivés ont néanmoins développé des logiciels libres pour les collectivités dans un domaine réglementaire. Ce qui est difficile à faire, outre la création du logiciel à l’instant t, c’est de le maintenir dans la durée.
Depuis quelques années que je regarde ça, on voit que l’offre libre pour les collectivités, dans le domaine réglementaire, est aujourd’hui très réduite, donc dans les faits, également par sécurité, ce que tu disais, on achète pour 580 collectivités, de toutes tailles, il y a plusieurs gammes de logiciels, on a intérêt – je dis ça de manière assez cynique je n’en suis pas toujours fier – en termes de prise de risque à assurer nos arrières en nous dressant à des éditeurs qui ont pignon sur rue et qui s’engagent à la maintenance et au maintien à niveau de leurs logiciels. Je dis ça pour l’essentiel.
Après, là où on peut regagner de l’indépendance, en tout cas dessiner des espaces de confiance ou sur lesquels on a davantage de contrôle, je pense que c’est effectivement sur des applications plus transverses comme la messagerie, comme les outils collaboratifs, sur les outils de gestion de documents avec une attention particulière portée au RGPD pour que, là encore, on soit conscient de la sensibilité des données dont on a la charge et qu’on mette en place des solutions qui soient adaptées, qui soient proportionnées. On accompagne pas mal les collectivités aussi sur les questions de cybersécurité. Je fais parfois des parallèles parce que le risque zéro n’existe pas. L’indépendance totale n’existe pas. Il faut avoir conscience, en revanche, du risque, ce qu’on appelle le risque résiduel, de la dépendance de fait qu’on a avec tel ou tel système ou tel ou tel acteur économique et agir en connaissance de cause. Donc on essaie d’optimiser sous contrainte.

Pascal Kuczinski : Avant de parler des éditeurs, tout à l’heure on avait parlé des cas concrets de non souveraineté numérique, Google avait été citée, les structures américaines avaient été citées et là tu viens de parler des éditeurs sur le marché. Je devine une nouvelle façon de parler de souveraineté. Ce n’est pas seulement vis-à-vis de l’État français, vis-à-vis des États étrangers, c’est aussi, finalement, la collectivité chez elle – je le dis avec mes mots – qui ne se sent plus maître de son système d’information et peut-être qu’on a perdu le contrôle, la confiance, le mot est bon. Du coup, là aussi on peut parler de souveraineté parce que je n’ai plus la main sur mes logiciels parce que l’éditeur trace peut-être trop sa route plutôt que la mienne. Est-ce que je traduis bien ta pensée avec des mots plus francs ?

Benoît Liénard : On ne sait pas ce que les éditeurs qui ont des codes sources fermés font des données. On peut les suspecter de les utiliser à notre insu et qu’il y ait des back doors et autres. Ensuite une c’est question de psychologie, de confiance, d’optimisme, de pessimiste, de naïveté ou de paranoïa. En revanche, je pense qu’il faut qu’on se focalise sur ce quoi on a prise. Un éditeur français qui jouerait à ça, qui jouerait à utiliser les données d’intérêt général à l’insu des collectivités locales, qui, du coup, enfreindrait les obligations qui sont les siennes, jouerait cher. Peut-être que certains s’amusent à jouer à ça, ils l’assumeront en temps voulu.
En revanche, je pense qu’on peut travailler sur l’aspect écosystème, notamment sur les interactions, les échanges de données. On parlait des codes sources, mais on peut aussi parler des API, tous les éléments qui permettent aux informations de circuler. Ces éléments sont de plus en plus prégnants dans notre écosystème local puisque tous les métiers s’informatisent et une mairie c’est un nœud d’échanges, ce sont des éléments entrants et des éléments sortants qui sont, en fait, des informations.

Pascal Kuczinski : Là on parle d’interopérabilité.

Benoît Liénard : On parle d’interopérabilité et de transparence dans la manière dont les informations sont acheminées, vers qui elles sont acheminées et qu’on convienne – ça rejoint aussi des questions juridiques – de règles de bon usage des données en question. Le RGPD nous aide, le RGPD est très structurant par rapport à ça, pour qu’on essaie, par proximité, par cercles concentriques, de créer des espaces de confiance entre acteurs qui utilisent des règles techniques ou de l’usage des données sur lesquelles ils se sont mis d’accord et sur lesquelles on essaie de faire en sorte qu’il y ait une transparence qui permette un regard extérieur. C’est très contraint. On peut développer des choses à la marge. On a développé un logiciel d’accompagnement des collectivités précisément à la conformité au RGPD. Solaris l’a fait développer parce qu’on voulait un outil qui soit spécifique pour pouvoir accompagner de manière mutualiser des collectivités, ça n’existait pas sur le marché à l’époque du début du RGPD.

Pascal Kuczinski : On parle de Madis.

Benoît Liénard : On parle de Madis. Il s’appelle Madis, son petit nom c’est Madis, il est disponible sur la forge de l’ADULLACT et sur le Comptoir du Libre. Ne trouvant pas sur le marché, étant assez précis sur ce qu’on voulait, on l’a finalement fait développer. Ses spécifications étaient celles du cahier des charges d’acquisition, on ne développe pas, on achète auprès de tiers, on l’a fait développer d’ailleurs par une boîte de Niort, on est dans des circuits assez courts. Ce développement a été ensuite partagé et on continue à le faire évoluer avec d’autres utilisateurs, puisque Madis a été approprié par plus d’une vingtaine de départements et régions en France. Du coup, je pense que par construction c’est devenu le logiciel numéro 1 de l’accompagnement des collectivités au RGPD puisque la plupart des collectivités sont des petites collectivités et le mode mutualisé est très adapté

Pascal Kuczinski : Devant des concurrents éditeurs.

Benoît Liénard : Devant des éditeurs et avec des offres d’éditeurs qui sont parfois beaucoup plus pointues que la nôtre. La nôtre est très adaptée dans un contexte mutualisé, pour d’autres cas ça ne l’est pas. On voit bien que dans certains cas il y a intérêt à agir, qu’il y a intérêt à partager et la communauté des utilisateurs est très active dans les contributions, donc ça peut exister. Mais on est autour, jusqu’à présent en tout cas, des applications métiers du cœur de métier et des missions régaliennes des collectivités.

Pascal Kuczinski : Merci de cet exemple avec Madis. Vous voulez réagir ?

Bastien Guerry : Je voulais réagir parce que le mot qui avait émergé de l’intervention précédente de Benoît, c’était e mot risque, pas tellement le sujet de confiance sur les données. D’abord le RGPD s’applique à tous les services qui tournent avec du logiciel, libre ou non, et le mot risque est très important dans l’État parce qu’on a des obligations de service et c’est lui qui explique des fois le plus court chemin pris vers des solutions qui ne sont pas libres parce que le risque, perçu ou réel, semble mieux maîtrisé. Je dis bien « perçu ou réel » parce que, évidemment, on n’est pas à l’abri, on a nos habitudes de pensée, on a une inertie dans tout ça. Le réflexe numéro 1 dans l’État, sur tous les achats, c‘est comment je dé-risque mon achat et comment je fais en sorte que mon obligation de service rentre bien en compte.

Pascal Kuczinski : J’aime bien quand tu utilises le verbe « semble », « il semble que ».

Bastien Guerry : Oui. On a OVH qui est tombé en panne il y a quelques jours, tout data.gouv était en panne. On parie sur une solution, ce n’est pas le seul, bien sûr, souveraine, c’est ça le raisonnement. Le raisonnement c'est comment on remplit notre obligation de service. Je pense que ça s’ajoute au fait que depuis les années 90 tout ce qui est informatique est passé dans les fonctions de support, y compris l’informatique où on construit des outils. Je pense que François parlera du fait qu’il faudrait passer tout ça en frais d’investissement et pas de fonctionnement, je suis entièrement d’accord. Vous couplez le sentiment que tout ce qui est informatique c’est du support, ça doit tourner et le réflexe numéro 1 c’est comment dé-risquer, et vous avez l’état d’esprit qui guide des choix qui sont plus pragmatiques que forcément respectueux de l’esprit de la loi.

26’ 55

Pascal Kuczinski : Merci d’avoir prononcé le mot « logiciel libre ». Je l’attendais pour passer le relais à François, non plus en tant que professeur de philosophie mais en tant que président de l’ADULLACT, audité par le fameux député Bothorel il y a quelques mois de ça et de l’avoir beaucoup surpris sur cette histoire de budget. Tu vas nous expliquer ça.

François Elie : Avant de venir sur ce point précis, je vais revenir sur deux aspects. Je vais commencer par parler de la question de la culture du risque. C’est vrai que Bastien nous dit que quelquefois l’État utilise des outils qui ne sont pas nécessairement libres pour des raisons de gestion du risque. On pourrait aussi renvoyer l’argument à l’envers en s’interrogeant sur la vraie appréciation du risque. D’ailleurs, si la question de la souveraineté revient en ce moment c’est que les risques changent, les menaces changent et les fils commencent peut-être à se toucher.
Pour aller vite je vais prendre un exemple. Nous avons parfois conscience des risques lorsque l’on vend des armes. Lorsqu’on vend des avions à des pays, on s’arrange pour leur vendre aussi des munitions, à tout hasard, donc on les rend dépendants. Je souhaiterais qu’on ait la même absence de naïveté lorsqu’on achète des outils numériques. D’ailleurs le mot « numérique » est un moyen pratique pour oublier que les logiciels sont aussi des données et qu’il faut faire attention aux outils qu’on utilise. On est souvent extrêmement naïf. Je prends un exemple, il y a des systèmes d’armes qui sont en cours de développement pour l’armée française, ils sont supers, ma question c’est sur quels systèmes ils tournent et est-ce qu’on en a la maîtrise, est-ce qu’on est indépendants, est-ce qu’on a la garantie de leur pérennité ?, parce que ça ne sert à rien ne s’imaginer autonomes si finalement on est dépendants.
Effectivement, depuis une vingtaine d’années je milite, je ne suis pas tout seul, pour qu’on prenne conscience des risques sur les outils. Marx disait que les armes de la critique passent par la critique des armes. Regardons avec quels outils on garantit la sécurité de nos systèmes d’information.
Quand je me retourne vers le passé je trouve très intéressant de relire la proposition de 1999 du sénateur Laffitte, qui vient de nous quitter, qui proposait, à l’époque, de rendre obligatoire l’utilisation des logiciels libres dans l’État en se disant c’est normal, ça assure la maîtrise, la pérennité, l’indépendance de nos outils. Ça parait évident ! Le problème c'est le comment. Comment fait-on ? S’il n’y a pas de volonté politique forte – et il ne me semble pas que la volonté politique soit ce qui coûte le plus cher – il y a quand même des outils juridiques, légaux, qui permettraient de ne pas attendre la bonne volonté de tel ou tel éditeur d’être philanthrope et ça passe par des petites actions extrêmement simples.
Actuellement, lorsqu’on achète un logiciel propriétaire, on le fait compter en investissement par des biais, en disant finalement il fait partie de la machine. Par contre, lorsque l’on paye du développement c’est en général, pas toujours, mais en général comptabilisé en fonctionnement, alors que ça devrait être l’inverse. On devrait considérer que l’achat d’une licence propriétaire c’est finalement de la location, c’est du fonctionnement, et que lorsque nous développons du patrimoine public, lorsque c’est du bien commun qu’on dépose, ça devrait être de l’investissement. Du moins c’est le point de vue du client.

Public : La tendance c'est quand même qu’on n’achète plus les logiciels propriétaires, c’est qu’on les loue et c’est ce que veulent les éditeurs. Du coup la distinction se fait moins.

François Elie : Paradoxalement, en comptabilité publique, cette location qui est un récurrent passe en investissement. Ils sont rusés, ils sont très rusés 1
Par un certain nombre de petites modifications de la loi, on permettrait de rendre philanthropes des gens par intérêt. Je ne sais pas si vous connaissez les lois des quotas pour les personnes porteuses de handicap dans l’administration et dans les entreprises, à tout hasard on nous dit « si vous n’en avez pas 6 % dans vos effectifs, vous paierez une amende ». Et bizarrement les gens recrutent des personnes handicapées, c’est formidable. Je m’occupe des RH, c’est formidable ; par intérêt, tout le monde devient philanthrope. Je pense que si on orientait l’intérêt des collectivités, des clients, vers une façon d’acheter intelligemment, peut-être qu’on gagnerait au passage en souveraineté.

Public : Inaudible.

François Elie : Simplement une imputation différente en comptabilité publique, c’est tout.

Pascal Kuczinski : Il faut aussi rappeler que le budget de fonctionnement est toujours plein et dépensé, alors que le budget d’investissement permet encore de travailler, d’où l’intérêt, effectivement, d’inverser la tendance.

François Elie : Surtout que le reste qu’on a investir dépend forcément de ce qu’on n’a pas dépensé en fonctionnement.

Pascal Kuczinski : On parlait justement de non souveraineté numérique, je crois, Bastien, que tu m’avais dit que tu étais prêt à remettre en cause la notion de souveraineté numérique. Est-ce que c’est le bon vocabulaire ?

Bastien Guerry : Avant d’aborder ce terrain compliqué, juste pour souligner par rapport à ce que vient de dire François, ce changement-là serait d’autant plus le bienvenu qu’on a le contexte juridique et les habitudes rentrées dans l’administration de récupérer la propriété intellectuelle du code qu’elle fait développer. Si on fait tout passer en investissement pour du code qui ne nous appartient pas, je pense que c’est quand même mieux, mais que ça fait la moitié du chemin. Or, l’autre moitié du chemin, avoir une administration qui dit « je fais attention dans mon contrat » et on a l’Agence du patrimoine immatériel de l’État qui fait un travail d’accompagnement pour expliquer, récupérer la propriété intellectuelle du code source. Je pense que ce n’est pas forcément toujours la bonne chose à faire sauf pour des projets très critiques, il faudrait peut-être simplement imposer de passer sous licence libre le code source qui est fait développer, comme ça, en plus, l’entreprise en garde la propriété, le contrôle stratégique et peut continuer.
Ce changement-là serait d’autant plus favorable que les habitudes sont déjà dans l’administration de récupérer la propriété intellectuelle et elle commence à venir de publier ses codes sources sous licence libre. On ne peut pas tout publier. On a référencé quelque 9000 logiciels. On aura une stratégie très pragmatique pour le coup de dire que dans ce qui doit être publié on met l’accent sur deux choses : là où il y a des enjeux de transparence citoyenne. On a les 20 pages du PDF qui nous disent ce que sont les algos de Parcoursup, ce n’est pas le code source, il y en a 1 % du code source de Parcoursup qui est publié. Est-ce que ces algos sont vraiment bien déployés dans le code source ? Il y a un enjeu de transparence et il faut y aller. Est-ce que l’application d’attestation Covid, qu’on a tous téléchargée il y a un an quand il fallait sortir pendant les confinements, envoie des données au ministère de l‘Intérieur ? De fait le code source a été publié immédiatement.
Donc premier enjeu de transparence. Deuxième enjeu : publier en priorité ce qui a un potentiel de réalisabilité dans l’administration puis ailleurs. On travaille actuellement avec l’Agence de mutualisation des universités, on essaye de leur dire « commencez par essayer de publier ce qui est un peu générique, ce qui va servir à d’autres voire à identifier ces autres-là, d’abord dans l’administration mais pas que dans l’administration » et c’est ça qui aura plus de valeur d’usage par la suite.
Sur le mot souveraineté, très rapidement, c’est simplement que d’abord le mot est un peu à la mode, c’est un peu douteux. On peut vite basculer dans le souverainisme, un peu une sorte de concurrence des pays, une tendance qui peut signifier le repli. Ce que j’appelle souverainisme c’est la volonté de tout faire par soi-même et de tout contrôler. Si on parle de la loi, il y a l’excellent livre de Olivier Iteanu sur notre dépendance juridique : tous les citoyens français signent tous les jours des CGU avec des entreprises américaines et ça vient même changer la notion de vie privée remplacée par la notion de privacy. Peut-être que dans 20 ans on n’aura plus le mème droit d’auteur qui sera remplacé par le copyright. On a une colonisation juridique prégnante en plus de la colonisation numérique.
Je pense qu’il faut faire attention au souverainisme. Dans souveraineté je veux distinguer deux choses : l’émancipation. Être souverain c’est être libre, émancipé et c’est la racine du mouvement du logiciel libre. Je ne veux pas, en tant qu’utilisateur, être dépendant de la bonne volonté d’un développeur ; je ne veux pas, en tant d’administration, être dépendante de la bonne volonté d’un prestataire. L’autre chose c’est efficacité. Si on a l’émancipation sans l’efficacité qui est transformer une administration, qui a besoin de faire beaucoup de mises en jour en même temps sur plein de sujets et de délivrer aux citoyens des services qui s’améliorent comme FranceConnect ou comme d’autres choses que vous voyez, on n’a pas ces deux choses-là.
J’aime bien replacer les discussions sur la souveraineté au moins soit sur l’émancipation qui est un sujet en soi, soit sur ce qu’on veut rendre plus efficace. Dans le sujet souveraineté numérique/open source est-ce que la priorité c’est comment on dynamise l’écosystème des entreprises open source françaises ? Pour moi c’est un sujet central et on devrait avoir une politique pour ça qui est absente pour l’instant. Donc comment on fait-on ça ? C’est un sujet à part entière qui n’a peut-être même pas de rapport directement avec l’administration. Ensuite comment est-ce qu’on rend les administrations moins dépendantes des prestataires habituels et de tout prestataire en général, c’est encore un autre sujet. Les deux se croisent évidemment : émancipation avec toujours l’impératif d’efficacité qui ne doit pas servir d’excuse. Quand on parlait de sécurité, l’exemple que je donnais sur Google reCAPTCHA c’est typiquement lié à la sécurité. On a mis en place nous-mêmes à Etalab, ça nous crève le cœur, mais on a été obligés de mettre en place une solution reCAPTCHA qu’on a changée depuis, parce qu’il y avait une urgence sur un service qu’on déployait qui faisait que d’autres ministères étaient spammés par notre faute. Dans l’urgence, en deux heures, on n’avait pas le temps de réécrire, mais on garde cet horizon et on essaie d’avancer là-dessus.

Pascal Kuczinski : Je crois que François voulait intervenir. Après je donnerai la parole, je prépare la salle, ce sera ma dernière question avant de vous donner la parole, sinon j’en ai d’autres. Arrêtez de me faire parler ! François.

François Elie : Ce qui est très important dans ce que vient de dire Bastien, c’est qu’effectivement on ne peut pas être totalement indépendant et Benoît le disait tout à l’heure. D’ailleurs, si jamais vous avez envie de lire un peu de philosophie, je vous conseille la Lettre 8 des Lettres écrites de la montagne de Rousseau où justement il dit que la liberté et l’indépendance sont deux différentes. C’est un des plus beaux textes qui a été écrit sur le rapport entre la loi et la liberté.
La conscience du risque et la conscience de nos dépendances doit nous amener à faire des choix intelligents, en essayant effectivement de regarder de quoi nous sommes dépendants. Ce n’est pas parce qu’on passera de Windows à GNU/Linux qu’on sera moins dépendant, mais, au moins, nous serons très interdépendants entre nous et nous nous émanciperons ensemble. La liberté veut la liberté de l’autre. Donc on ne sera pas soumis dans l’hétéronomie à la loi d’un autre, mais on sera ensemble en train de s’émanciper collectivement. Je pense que c’est le point le plus important de ce que le logiciel libre a à dire. Il ne s’agit pas d’être souverain contre les autres, mais d’être souverains ensemble.

Pascal Kuczinski : Benoît.

Benoît Liénard : Pas mieux ! J’y crois beaucoup. Je ne crois pas du tout à l’indépendance parce qu’on est tous dépendants et je dirais que c’est ce qui nous construit. Tu parlais d’affranchissement, je crois beaucoup à ça, ou d’émancipation. L’émancipation oui, je pense que c’est ça, c’est l’œuvre de toute une vie que de prendre conscience de nos dépendances, de les assumer, parfois de les contourner et de choisir ses dépendances. Ça rejoint la dimension de communauté. Dans mon métier j’essaie de faire prendre conscience aux utilisateurs, aux élus, à ceux qui achètent, de ces éléments-à pour qu’ils agissent en conscience. On choisit le niveau de dépendance, parfois on le subit, mais en le sachant je pense qu’on est déjà mieux équipé pour exercer son rôle de citoyen et d’acteur économique et social.

Pascal Kuczinski : La salle. Je donne le micro.

40’ 23

Public : Bonjour. Christophe

Récupérée de « http://wiki.april.org/index.php?title=Souveraineté_numérique_dans_les_administrations_et_les_collectivités_-_Table_ronde_B-Boost_2021&oldid=95134 »