Besoins légitimes, juste utilisation des ressources… qu’est-ce qu’un numérique qui a du sens, pour le Cigref ?

Lors du Forum International de la Cybersécurité, Jean-Claude Laroche, directeur de mission auprès de la Présidente du Directoire d’Enedis et président du Cigref, a eu l’occasion de revenir en plénière sur sa vision d’un « numérique qui a du sens ». Un sujet qu’il avait également abordé avec Alliancy en décembre dernier. Il était également revenu à cette occasion sur l’épineuse question des injonctions contradictoires auxquelles font aujourd’hui face les organisations en transformation.

Alliancy. Quelle serait votre définition personnelle d’un « numérique qui a du sens » pour l’avenir ?

Laroche-Jean-Claude-

Jean-Claude Laroche, directeur de mission auprès de la Présidente du Directoire d’Enedis et président du Cigref

Jean-Claude Laroche. Pour répondre de manière approfondie, il faut distinguer les grandes constantes qui existent sur le sens, et les ajouts plus récents qui ont été apportés à cette problématique. De manière générale, le numérique n’a de sens que s’il produit de la valeur. Mais quelle est la définition de la valeur ? On pense déjà à la valeur économique, qui se confond souvent avec la valeur financière.

A lire aussi : Environnement, féminisation, confiance… le Cigref en première ligne face aux incertitudes du futur numérique

Pour une entreprise, cela revient à gagner des parts de marché, à proposer et vendre de nouveaux services, à rationaliser ses modes de fonctionnement et ses activités. Et, in fine, tout business case est évidemment « calculé en euro ». Le sens du numérique, c’est donc déjà aider à faire mieux son métier et à gagner des clients. On ne peut pas effacer cette notion, malgré toutes les autres problématiques. Mais aujourd’hui, on voit aussi croître d’autres dimensions à considérer lorsqu’on parle de valeur du numérique. Au Cigref, nous le résumons ainsi : nous œuvrons pour un numérique responsable, durable et de confiance.

Que mettez-vous derrière ces termes ?

J-C L. Avec le terme responsable, on estime que le numérique doit répondre à un besoin qui soit au juste niveau : au rendez-vous des attentes, mais pas dans l’excès. Il faut trouver la réponse équilibrée aux besoins légitimes. Cela implique une juste utilisation des ressources et d’éviter de répondre à des demandes superficielles. Le problème aujourd’hui, est que les modèles d’affaires des acteurs du numérique, en particulier de certains éditeurs de logiciels, ne va pas naturellement dans ce sens. Ils cherchent à créer l’envie de leurs solutions et promettent une réponse à des besoins sans cesse croissants, sans distinction ; c’est pourquoi ils enrichissent en permanence leurs produits dans une logique de « versioning » accélérée. Le rôle des dirigeants des grandes organisations est donc de mesurer cet aspect, pour avoir la maîtrise, et faire leurs choix stratégiques en conscience.

La durabilité signifie que le numérique doit réduire son empreinte environnementale et faire en sorte que les métiers qui utilisent le numérique réduisent leur propre empreinte. C’est le double impératif : « Green IT » et « IT for green ». En particulier, nous sommes au sein du Cigref très vigoureux quand il s’agit d’exprimer nos attentes en matière de lutte contre l’obsolescence, qu’elle soit matérielle ou logicielle. Cette dernière a d’ailleurs parfois pour conséquence directe le renouvellement prématuré du matériel. Or, il faut le rappeler : le premier impact environnemental du numérique vient de la production du matériel.

Enfin, quand on aborde le numérique de confiance : nous avons la conviction que l’on ne peut pas utiliser le numérique sans avoir confiance en ceux qui le réalisent. Toutes les entreprises vivent aujourd’hui ces enjeux, mais plus généralement la question est centrale dans la capacité de la société dans son ensemble à réussir sa transformation avec le numérique. Inspirer confiance doit permettre au progrès apporté par le numérique de se réaliser face à une défiance qui grandit actuellement dans notre société. Cela suppose de l’exemplarité de la part des acteurs du numérique, et c’est autant une question de choix technologiques, que de processus ou d’engagements des individus dans les organisations.

Comment cette question de la responsabilité numérique s’est-elle intégrée au fil du temps dans les actions du Cigref ? Était-ce pour vous un mouvement naturel ?

Dossier numérique de demain - quelles ruptures technologiquesJ-C L. S’il y avait une « raison d’être » du Cigref, à l’image de celles dont se dotent les entreprises, ce serait de faire en sorte que chaque dirigeant du numérique puisse exercer pleinement ses responsabilités. Cette responsabilité vis-à-vis du numérique est donc là depuis l’origine. Depuis le début des années 2000, nous avons cependant vécu des successions de ruptures en termes de puissance de calcul, de transformation des capacités de communication et de miniaturisation des terminaux.

Des applications du numérique qui paraissaient inatteignables aux dirigeants d’alors et sont devenues soudainement accessibles. Le numérique, qui était jusque-là cantonné à un petit périmètre, est devenu invasif, permanent et central. Un état qui change la notion de responsabilité pour les dirigeants. Le Cigref a donc dû aussi remettre en question son accompagnement. Notre société et notre économie entrent aujourd’hui dans un stade de maturité : toutes les questions de l’impact arrivent au premier plan. Notre rôle est maintenant d’intégrer pleinement toute la variété de ces sujets dans la notion de responsabilité et dans notre accompagnement.

A quel point vos membres vous paraissent-ils aujourd’hui confrontés à des « injonctions contradictoires » entre l’impératif de transformation numérique et la problématique de ses impacts ? Quelles réponses est-il possible d’apporter à ce malaise ?

J-C L. Vous avez raison de pointer cette problématique. Mais c’est une question de société qui dépasse le périmètre des entreprises. Jusqu’à présent nos économies se portaient bien si elles étaient en croissance nette, notamment vis-à-vis de l’inflation, afin de soutenir l’emploi, le progrès et la prospérité… Or, la croissance se caractérise partout dans le monde par une très forte consommation des ressources, en particulier énergétiques. Il n’y a donc pas à l’heure actuelle de découplage entre croissance et impact environnemental. Tant que l’on ne trouve pas ce découplage, il y aura un conflit et des injonctions contradictoires. C’est une question qui dépasse le seul domaine du numérique, mais il n’y a pour autant aucune raison que le numérique soit mis en dehors de cette question. Ne peut-il d’ailleurs pas plutôt aider à ce découplage ?

Concrètement, c’est un des principaux facteurs qui doit orienter les investissements actuels dans le numérique : il faut qu’ils servent à réduire l’impact, notamment en GES, des domaines qui se numérisent, tout en limitant l’impact direct du numérique, pour ne pas perdre tout l’intérêt de son développement. Cela revient à redéfinir le progrès en considérant que la réduction de l’impact environnemental des activités humaines doit faire partie intégrante de la définition du progrès. C’est un défi pour l’innovation dans le domaine du numérique : celle-ci doit servir le progrès, c’est-à-dire conduire à ce que nos salariés, nos concitoyens, vivent mieux, sans compromettre notre environnement.

Concernant plus spécifiquement la question du numérique de confiance et du cloud : estimez-vous que les diverses initiatives portées ces derniers mois sont satisfaisantes, au regard des travaux menés par le Cigref sur le sujet ?

J-C L. La question est vaste. Sur le cloud, le Cigref a publié la deuxième version d’un référentiel qui précise les exigences qui lui paraissent fondamentales sur le cloud de confiance : cela intègre la qualité de la relation contractuelle avec le fournisseur, le niveau de sécurisation sur le plan cyber, mais aussi la sobriété des prestataires. Nous estimons également qu’au périmètre de l’Union Européenne, les grands acteurs de notre économie doivent pouvoir héberger leurs données dans un environnement et un contexte qui les protègent contre les ingérences des services de renseignement extra-européens, menées notamment à des fins d’intelligence économique ; et ce, alors que ces pratiques sont largement documentées.

Sur les données personnelles, nous avons vu l’invalidation de la tentative « Privacy shield ». Aujourd’hui, il n’y a donc plus d’accord vraiment ferme en matière de garanties fournies par nos amis américains. Les pistes récentes pour un nouvel accord, seront de toute façon contestées également devant la Cour de justice européenne, on le sait. L’incertitude persiste. Et tout cela concerne uniquement les données personnelles, qui ne sont pas les seules données sensibles ! Nous tenons donc à exprimer avant tout notre attachement aux dispositions qui pourraient mieux nous protéger. Nous attendons en particulier du Data Act qu’il fasse bouger les lignes. De même pour les schémas de certification cloud EUCS. En la matière, pour nous l’enjeu est clairement que le plus haut niveau de cette certification soit l’équivalent de la certification SecNumCloud proposée en France par l’Anssi, que nous trouvons satisfaisante.

Ensuite, il est urgent de travailler à une relation commerciale plus équilibrée avec les grands partenaires notamment américains, et au Cigref nous serons attentifs à l’application du DMA qui entrera en vigueur en 2023 avec notamment des exigences sur les questions d’interopérabilité. Il est temps de sortir des problématiques que l’on a encore dans le cadre des règles de la concurrence en Europe, et d’éviter d’avoir à passer par une résolution juridique des oppositions avec les partenaires, avec la charge de la preuve qui reste du côté des entreprises utilisatrices lorsqu’elles se plaignent de pratiques abusives de leurs fournisseurs. C’est bien l’esprit du DMA : inverser la charge de la preuve, en exigeant des grands partenaires qu’ils apportent proactivement leurs garanties formelles sur toute une série d’obligations importantes pour nous.

Justement, vous parait-il nécessaire de faire évoluer les règles européennes de la concurrence pour faciliter la consolidation d’alternatives aux champions américains ?

J-C L. Je vous renvoie à la dernière livraison de la revue Confrontation Europe sur le sujet. Le problème n’est pas seulement celui du droit de la concurrence. Aux USA aussi il existe des règles anti-trust, par exemple. En revanche, les champions américains se sont adossés très tôt à des contrats de commande publique. En Europe, la commande publique n’est pas de la responsabilité de l’UE, mais des Etats membres, ce qui la fragmente très fortement. Or, pour faire émerger des champions, il faut une garantie de volume. C’est particulièrement vrai dans le domaine du cloud.

Des initiatives comme Bleu et S3NS (respectivement les partenariats sur le cloud entre Orange, Capgemini et Microsoft, d’une part, et Thales et Google Cloud d’autre part, NDLR) n’ont pu émerger que parce qu’il y a eu une clarification de la politique cloud de l’Etat français, avec une volonté que les administrations se sourcent massivement chez des prestataires de confiance.

Si tout n’est pas parfait, il existe pourtant bien des instruments européens qui permettent une intervention publique appropriée. Typiquement les IPCEI (Important Projects of Common European Interest, NLDR) sont de plus en plus utilisés. La France a été particulièrement motrice sur le sujet, et ces instruments sont employés sur les sujets complexes des semi-conducteurs et du cloud. Cela ne veut pas dire qu’on change fondamentalement le droit de la concurrence, mais cela permet d’ajuster ces règles autour d’une politique industrielle. C’est un parti-pris qui est de nature à faciliter l’émergence de champions pour faire face à la tentation hégémonique des acteurs américains, qui est tout à fait naturelle économiquement. Mais aussi talentueux soient ces grands partenaires, nous ne pouvons pas nous laisser « vassaliser » sans proposer nos propres alternatives.

Les questions se posent-elles pour vous exactement de la même façon sur la partie hardware, et vis-à-vis des champions chinois en la matière ?

J-C L. Sur le plan du hardware, nous sommes en effet entièrement dominé par des acteurs extra-européens à l’heure où nous nous parlons. Des axes d’actions sont à développer pour regagner du terrain et notamment pour être en capacité de proposer un numérique qui a du sens, par rapport à la définition que l’on abordait précédemment.

Premièrement, nous devons reprendre pied sur les semi-conducteurs. L’Europe a pris la mesure de cette exigence, on le voit avec des investissements qui s’accélèrent ; même si l’on doit aller encore bien plus loin. Ensuite, sur les matériels de type terminaux, un point précis devrait permettre de rebattre les cartes : l’impératif d’éco-conception, de durabilité et de réparabilité. Mécaniquement si on s’impose ces exigences essentielles, la demande et le marché vont évoluer. Aujourd’hui, smartphones, laptops et tablettes passent complètement à côté du sujet. Or, la demande de responsabilité devient de plus en plus forte : il y a donc une opportunité majeure pour que des acteurs européens réémergent spécifiquement autour de cette promesse.
Enfin, dans nos datacenters, il existe naturellement une très forte adhérence entre le software et le hardware, ne serait-ce que sur les sujets clés de la virtualisation et de la conteneurisation… Cela peut-être un axe de transformation très important. Notre urgence en Europe est donc moins de vouloir à tout prix fabriquer des serveurs en tant que tels, que de parvenir à imposer l’open source, pour avoir une plus grande maîtrise technologique de ce lien critique entre software et hardware. Ce sont des pistes qui permettent de traiter les deux aspects de la problématique et qui sont au cœur aujourd’hui des travaux du Cigref sur ces questions.