Jean-Claude Laroche (Cigref) : « nous ne sommes pas démunis face aux fournisseurs hégémoniques »

Pouvez-vous nous rappeler qui sont les membres du Cigref ?

Le Cigref est une association d’entreprises et d’administrations publiques. Nous avons à ce jour 155 membres dont l’essentiel du CAC 40. Nos membres rassemblent environ 10 millions de salariés dont 200 000 internes affectés à l’informatique. En cumulé, nos membres réalisent environ 2000 milliards d’euros de chiffre d’affaires et ont un budget informatique de 60 milliards d’euros.

Le Cigref s’est récemment inquiété de l’inflation des coûts de certains fournisseurs. Qu’en est-il exactement ?

La structure de coûts d’une DSI comprend la masse salariale propre, le matériel, le logiciel, l’hébergement externe et est exposée au risque de change dollar/euro lorsque le fournisseur publie ses prix en dollars. Nous sommes dans un contexte inflationniste mais, à activité équivalente, il n’y aucune raison de constater des hausses de plus de 5 % entre 2022 et 2023. Sur la masse salariale propre, c’est de cet ordre-là. Etant donné qu’il y a eu des soucis de supply-chain, nous avons constaté ponctuellement des hausses supérieures sur le matériel mais le problème est aujourd’hui assez contenu.

Par contre, certains éditeurs ont fait exploser leurs prix, notamment ceux ayant des poli­ tiques décidées aux Etats-Unis. Le changement de mode de comptabilisation des licences est un des moyens utilisés. Certains entrent en négociation de renouvellement avec une hausse de tarif de plus de 100 % ! Au final, on se retrouve avec des hausses de 20 à 25 % ! Les effets sur les budgets sont évidemment très importants.

Or, à activité équivalente, les directions financières des entreprises souhaitent en général limiter les hausses de budget en-dessous de 5 %. Si les coûts de tels fournisseurs explosent, il y a donc nécessairement des transferts de marge vers les acteurs transnationaux et baisse des investissements profitant aux autres fournisseurs.

Nous appelons tous les acteurs à la raison. Même si tout le monde subit une hausse des prix de ses entrants, il est impossible d’accepter des effets d’aubaine.

Des actions sont en cours, comme chacun sait, contre les pratiques de certains acteurs. Le Cigref a aujourd’hui une action en cours devant l’Autorité de la Concurrence visant SAP. Certains hébergeurs ont engagé des actions contre Microsoft (qui a d’ores et déjà annoncé des évolutions de sa politique). Et plusieurs adhérents du Cigref n’hésitent plus à aller au contentieux. D’une manière générale, quand des actions sont menées par l’Autorité de la Concurrence, nos membres témoignent et apportent des éléments.

Nous voulons des relations équilibrées entre les entreprises utilisatrices du numérique et leurs fournisseurs. Mais force est de constater que le rapport de force est permanent.

Que deviennent vos groupes de travail sur les relations avec les grands fournisseurs ?

Nous avons de tels groupes pour les relations avec Oracle, SAP, Microsoft, IBM, Salesforce, AWS et Google Cloud. Je trouve que, depuis quelques années, les choses changent.

Nous avons considérablement accru notre présence au niveau européen. Nous avons des réunions mensuelles avec les associations homologues au Cigref en Allemagne, en Belgique et aux Pays-Bas. Ce sont les seuls pays où nous avons trouvé des organisations similaires à la nôtre. Si d’autres apparaissent, elles seront évidemment les bienvenues dans notre réseau et nos travaux. Nous faisons valoir nos avis auprès des autorités européennes et celles-ci nous sollicitent désormais régulièrement. Par exemple, cela a été récemment le cas pour les négociations sur les certifications cloud. Notre objectif est que le niveau élevé soit au même niveau que le SecNumCloud. Nous sommes en plein accord avec nos homologues à ce sujet, y compris sur la protection vis-à-vis des législations non européennes à effet extra-territorial. Bien sûr, nos positions ne plaisent pas du tout aux lobbys technologiques américains comme le CCIA (Computer & communication lndustry Association) par exemple. Mais désormais, la voie des utilisateurs est entendue, et nous poursuivrons notre action d’influence dans ce sens.

La deuxième bonne nouvelle, c’est que nos arguments sont parfois réutilisés par les grands fournisseurs eux-mêmes quand ils en ont besoin. Par exemple, Microsoft a annoncé qu’il accepterait d’appliquer un même licencing pour son propre cloud et les clouds tiers ; de telles annonces lui permettent notamment de montrer « patte blanche », en particulier pour obtenir l’accord des autorités européennes sur le rachat d’Activision.

Une troisième bonne nouvelle est liée au DMA (Digital Market Act) : les « gatekeepers » devraient être désignés d’ici le mois de juillet. Ce sera un point d’appui pour nos négociations avec eux.

La taille du marché européen est telle que les actions menées à l'échelle de l’Union Euro­péenne ont un véritable effet sur les fournisseurs. Nous ne sommes pas démunis face aux fournisseurs hégémoniques !

Aujourd’hui, quand le patron d’un grand acteur passe en France, il vient voir le Cigref. Ce n'était pas forcément le cas avant. Cela dit, il faut bien admettre que l’offre des hyperscalers est de qualité et sans véritable équivalent en Europe pour le moment.

Précisément, ne faudrait-il pas encourager les acteurs alternatifs afin de faire diminuer l’hégémonie de ces acteurs transnationaux ?

Nous observons régulièrement le marché. Sur le cloud, par exemple, OVH est en très forte ascension, mais il n’est pas le seul. Il est clair, en particulier, qu’il faut protéger les données sensibles de l'économie française, et pour ce faire les acteurs alternatifs français et européens sont les bienvenus. Mais il faut que les DSIs aient un point d’appui pour avoir la capacité à choisir une solution qui protège leurs données sensibles. Notre référence demeure ainsi, pour le cloud, le SecNumCloud et nous apportons notre soutien à des offres comme celles de Numspot. Mais, quand on est embarqué sur des solutions américaines, il n’est pas forcément simple d’en sortir et nous regardons donc avec attention l’arrivée d’acteurs tels que Bleu (Microsoft, Orange et Capgemini) et S3NS (Google et Thales). Même si ces solutions ne sont pas encore SecNumCloud, elles sont appelées à obtenir cette certification et présentent un niveau de confiance suffisant pour les utilisateurs qui utilisent les offres dominantes du marché.

Pour que des grands groupes puissent recourir à des solutions alternatives, cela suppose certaines conditions. Parmi celles-ci, il y a le regroupement fonctionnel des offres. Il est impossible que chaque entreprise intègre vingt offres françaises alors qu’un hyperscaler proposerait une offre similaire déjà intégrée. De plus, nous avons besoin d’une garantie de qualité. Or mener des audits nous-mêmes sur les solutions techniques qui nous sont proposées peut être attentatoire à la propriété intellectuelle des acteurs. Nous avons donc besoin de labels de qualité des offres et de contrôles par des auditeurs tiers neutres.

Si des solutions européennes émergent pour répondre aux appels d’offres des grands groupes, avec une qualité de la réponse et, ce qui n’est pas dur, une politique tarifaire meilleure que celle des acteurs américains, leur part de marché va vite croître !

Le gouvernement discute avec les acteurs du secteur pour mettre en place un comité stratégique de filière « numérique de confiance ». Nous y sommes bien sûr favorables et cette question de l'émergence d’offres européennes sera évidemment un sujet.

Par contre, on ne peut pas dire quelque chose comme « tous les OIV (opérateurs d’importance vitale) et tous les OSE (opérateurs de services essentiels) doivent, du jour au lendemain, abandonner les solutions américaines. » Il n’y a ni retour sur investissement à un tel désengagement brutal ni même véritable intérêt. Les coûts seraient gigantesques et la mesure taperait à côté de la cible, qui est la protection des données sensibles de notre économie et de nos entreprises.

Récemment, le Cigref a pris position sur le projet de loi « Sécuriser et réguler l’espace numérique » (SREN). Pouvez-vous nous expliquer cette position ?

Nous ne sommes pas pertinents à parler des dispositions pénales et grand public (protection des mineurs contre la pornographie, etc.). Nous ne parlons donc que de ce qui concerne les entreprises utilisatrices de numérique.

D’un point de vue général, nous considérons que le projet de loi SREN va dans le bon sens et que certaines mesures anticipent celles du futur Data Act.

Par exemple, interdire la facturation de la sortie des données d’un cloud est très positif. Cette facturation est un frein évident au changement de prestataire, un frein au multicloud et un verrouillage du prestataire…. Ce sujet devra cependant être porté au niveau européen.

De même, vouloir l’interopérabilité des solutions cloud équivalentes est une bonne chose. Cela permet de changer de prestataires et de maintenir la concurrence.

Cependant, nous restons un peu sur notre faim avec le projet de loi SREN actuel.

A quel niveau ?

Nous souhaiterions des dispositions sur la protection des données sensibles. Rendre obligatoire cette protection, par exemple pour des entreprises d’une certaine taille ou ayant des activités sensibles, en imposant le traitement ou l’hébergement de leurs données sensibles dans des solutions certifiées SecNumCloud dans un délai raisonnable (trois à cinq ans), serait très positif. Ce délai favoriserait l’émergence de solutions compétitives européennes et laisserait le temps de l’amortissement de l’existant dans les entreprises. Le levier réglementaire permettrait aux DSI de s’appuyer sur ces dispositions pour adopter les bonnes pratiques. Dans un grand appel d’offre, il est difficile aujourd’hui pour un DSI d’imposer le SecNumCloud car les acteurs non-SecNumCloud peuvent menacer d’attaquer le marché en arguant de la fermeture à quelques acteurs.

Cela dit, il ne faut pas seulement du réglementaire mais aussi de l’incitatif. Par exemple, on pourrait mettre en place des mesures fiscales de sur-amortissement ou de crédit d’impôt sur des solutions conformes aux bonnes pratiques, en matière de sécurité ou, point aussi manquant dans le projet de loi SREN, de sobriété numérique.

Par ailleurs, il manque aussi actuellement des dispositions sur les compétences, même si tout ne relève pas de la loi : par exemple la sensibilisation des Conseils d’Administration à la protection des données. Les profils ayant une certaine appétence numérique sont rares dans les conseils d’administrations du CAC40 ou du SBF120. De la même façon, il faudrait former systématiquement des magistrats aux enjeux du numérique. Sur le chapitre formation, il faudrait, en fait, lutter contre l’illectronisme dès les petites classes et jusqu’au master voire au fil de la vie professionnelle, y compris pour les décideurs.

Un autre point aurait pu aussi être réglé à l’occasion de la loi SREN. Il faudrait en effet revoir la législation sur le délit de marchandage et le prêt de main d'œuvre. Actuellement, c’est un peu compliqué de mener des projets agiles avec du personnel d’ESN.

D’une manière générale, trois critères essentiels pour le Cigref sont absents du projet de loi SREN : une limitation de la dépendance aux solutions extra-européennes à partir de certains seuils à définir selon le secteur, une baisse de l’empreinte environnementale du numérique et la protection des données sensibles.

Nous sommes contents du projet SREN mais en ajoutant « peut mieux faire ».

Vous avez évoqué la sobriété numérique et la baisse de l’empreinte environnementale, sujets récurrents au Cigref. Quelles dispositions voudriez-vous voir entrer dans la législation ?

On pourrait rêver que tout produit publie son empreinte environnementale globale avec sa méthodologie de calcul de cette empreinte et que des obligations de réduction de celle-ci soient imposées. Il faudrait également obliger les outils de gestion de flottes de terminaux à intégrer des fonctions pour forcer le passage en mode basse consommation.

Si l’on attend une feuille de route de la baisse de l’empreinte environnementale du numérique, quelques éléments auraient pu être intégrés dans le projet de loi SREN.

Pour terminer, quels autres défis voyez-vous pour les DSI dans les prochains mois et années ?

Il y en a beaucoup ! Je vais me limiter à deux. Nous sommes, aujourd’hui, de nouveau, confrontés à des ruptures technologiques dans certains domaines.

Tout d’abord l’IAG (intelligence artificielle générative, type ChatGPT). Celle-ci va avoir des répercussions importantes sur les entreprises. Quand on a eu des calculatrices, on a cessé de faire du calcul mental. Avec les smartphones, on a délégué notre mémoire. Avec l’IAG, la tentation est de déléguer notre raisonnement à la machine. Il faut que chacun comprenne ce dont il s’agit et il faut responsabiliser sur les usages. Former et responsabiliser : le premier défi de l’IA est humain.

De la même façon, les progrès sur l’informatique quantique sont plus rapides que ce qui était attendu il y a trois ou quatre ans. Il y a de ce fait un risque de sécurité sur les chiffrements les plus souvent utilisés mais aussi une opportunité, une plus grande capacité à résoudre des problèmes.