• contact@francepaymentsforum.eu
NEWSLETTERS
Rechercher
Fermer ce champ de recherche.
MEMBRES
MEMBRES

Synthèse de l’intervention d’Henri d’Agrain, Délégué général du Cigref

Plénière FPF du 17 octobre 2024

Le Cigref

Le Cigref est une association professionnelle dont sont membres les grandes entreprises françaises, mais également les grandes administrations publiques. Pour être adhérent du Cigref, il faut être un utilisateur de produits et services numériques, ce qui signifie que les grands fournisseurs français comme Dassault Systèmes, Capgemini ou Sopra-Steria, ne peuvent pas être membres.

 

Le Cigref compte 157 membres, ce qui représente environ 10 millions de salariés à travers le monde, plus de 70 milliards de cash-out annuel.  400 000 experts du numérique travaillent chez nos adhérents., et des centaines de millions d’utilisateurs, que ce soient des clients, des partenaires ou des fournisseurs de nos adhérents, utilisent quotidiennement les services mis en œuvre dans le cadre des activités de nos adhérents.

Je ne suis pas un spécialiste des paiements électroniques, mais c’est un sujet particulièrement intéressant à tel point qu’à l’occasion de notre Assemblée Générale, nous avions demandé à Gilles Grapinet de venir nous présenter sa vision de la géopolitique du paiement électronique.

 

Quelques réflexions sur la souveraineté numérique

La souveraineté, dans notre acception du terme, est un attribut exclusif des États : ce sont les États qui expriment leur souveraineté à travers des politiques publiques de souveraineté. Mais dire qu’une entreprise est souveraine ou qu’un produit est souverain, cela n’a pas de sens : un « cloud souverain » cela ne veut rien dire. L’État français peut dire, à travers une politique publique de souveraineté et un schéma de certification, qu’un service cloud répond à l’expression d’une politique de souveraineté de la France pour ses propres besoins, pour le besoin de son économie, de ses citoyens.

Notre préoccupation principale, ce sont les conséquences économiques, géopolitiques et juridiques des multiples dépendances technologiques que nous avons laissé s’installer en Europe depuis une trentaine d’années mais qui deviennent insoutenables dans certains domaines, et qui augurent très mal de l’avenir de l’économie européenne.

 

Conséquences géopolitiques

Aujourd’hui, trois opérateurs américains (trois « hyperscalers »), Microsoft, Amazon Web Services et Google Cloud, représentent plus de 70% du marché des services cloud en Europe, contre 60% il y a cinq ans. Et la croissance de l’empreinte de ces trois hyperscalers en Europe se renforce de manière vertigineuse avec l’arrivée de produits d’intelligence artificielle qui sont extrêmement gourmands en ressources de calcul, de stockage et de réseau.

Cette concentration des investissements par les États-Unis en Europe a des conséquences notamment de nature géopolitique. Par exemple, que se passe-t-il si demain une administration américaine estime qu’il y un désalignement stratégique entre l’Union européenne et les États-Unis et décide de jouer sur le robinet de l’énergie numérique entre les États-Unis et l’Europe pour mettre en tension une entreprise, un secteur d’activité, un État-membre, voire l’Union européenne? Ce n’est pas une vue de d’esprit : c’est arrivé notamment à des entreprises chinoises et ça pourrait arriver à des secteurs d’activité qui sont dans une situation de concurrence extrême avec les États-Unis.

Les États-Unis ne sont forts que de nos propres faiblesses, de notre manque de vision et des dépendances que nous avons laissées s’installer depuis une trentaine d’années. On peut être alliés, on peut avoir des partenariats extrêmement forts, mais les États-Unis et l’Union européenne restent des concurrents. Et cette concurrence s’est exacerbée dans certains secteurs comme celui du paiement électronique.

 

Conséquences juridiques

Dès lors que vous acceptez de mettre vos données chez un opérateur américain, ces données sont sous juridiction américaine, même si l’opérateur a ses serveurs en Europe.

Une législation américaine appelée section 702 du Foreign Intelligence Surveillance Act (FISA) dispose que les agences de renseignement américaines peuvent faire de la collecte massive, sans mandat judiciaire, de toutes les données des « non-U.S. persons », personnes physiques ou morales, dès lors que ces données sont hébergées par des entreprises sous juridiction américaine. La section 702 du FISA est régulièrement revalidée par le Congrès américain : en avril 2024, elle a été reconduite pour deux ans avec une extension de son périmètre à tous les opérateurs américains d’infrastructures, que ce soit des data centers, des réseaux Wi-Fi, etc…

On me dit souvent « Ce n’est pas grave, il suffit de chiffrer ces données ». Mais j’attire votre attention sur le fait que si une donnée est en transit sur un réseau ou si elle est stockée, on peut effectivement la chiffrer. En revanche, si vous utilisez des logiciels en SAS (Software as a Service), c’est-à-dire que l’application est portée par l’infrastructure cloud de votre fournisseur, alors la donnée, pour être calculée, doit être en clair (non chiffrée). Et si elle est en clair sur des serveurs qui sont sous législation américaine, elle peut être captée.

En juillet 2023, le président américain Jo Biden et la présidente de l’Union européenne Ursula Van der Leyen ont signé un accord appelé Data Privacy Framework (DPF). Mais cet accord ne concerne que les données à caractère personnel. Il ne protège pas les données sensibles et stratégiques des entreprises européennes vis-à-vis d’appropriations illégitimes, mais légales, par des agences de renseignement dont l’essentiel de l’activité est exercée au profit des acteurs économiques américains.

Les entreprises et les administrations développent en profondeur des stratégies de numérisation de toutes leurs activités, mais l’essentiel de ces stratégies repose sur des services fournis par des américains, notamment le cloud. C’est pour cela que nous insistons beaucoup sur les dépendances technologiques dans le secteur du cloud, qui nous semblent insuffisamment traitées par les États membres de l’UE et par la Commission européenne.

 

Conséquences économiques

Les conséquences économiques, c’est une ponction croissante de la valeur produite au profit exclusif de l’économie américaine. C’est d’ailleurs ce qu’explique le rapport Draghi, qui dit (en substance) qu’en une trentaine d’années, le différentiel de croissance des activités industrielles entre l’Union européenne et les États-Unis est de l’ordre de 30%. Et ce différentiel de 30% est exclusivement dû à l’industrie du numérique américaine qui l’a apporté à l’économie américaine.  Sachant que l’Europe représente environ 30% du marché numérique mondial, cela signifie que l’activité de l’économie européenne a alimenté l’économie américaine. Et cette ponction de valeur est croissante. Permettez-moi de l’illustrer avec deux exemples.

Premier exemple : la société Broadcom, qui fabrique des composants électroniques notamment pour fabriquer des serveurs. Broadcom s’est diversifiée dans le logiciel à partir de 2017 en rachetant des logiciels bien connus du monde bancaire. En 2018, Broadcom rachète Symantec Enterprise (qui opère dans le domaine de la sécurité pour les entreprises), et nous nous étions aperçus que ça s’était traduit pour les clients par une forte dégradation. En mai 2022, Broadcom annonce qu’il rachète VMware, éditeur d’un logiciel de virtualisation des data centers qui est le meilleur du marché et qui est présent chez tous les adhérents du Cigref.

Lorsque Broadcom a annoncé le rachat de VMware, nous avons alerté la Commission européenne en lui expliquant que ce ne serait pas une bonne idée d’autoriser cette concentration, car elle se ferait au détriment de l’économie européenne. La Commission est passée outre en nous disant que nous faisions un procès d’intention à Broadcom, et elle a donné son accord pour le rachat en juillet 2023. Le rachat a été finalisé le 22 novembre 2023 et dès fin décembre 2023, Broadcom a mis en œuvre une stratégie extrêmement agressive. En quelques mois, Broadcom a refondu tout le catalogue, avec des « bouquets de produits » (bundles) et en remettant en cause des clauses contractuelles, notamment sur la maintenance des licences acquises précédemment auprès de VMware. Et tout ceci s’est traduit par une augmentation moyenne des tarifs de 500% du jour au lendemain.

Cette stratégie de Broadcom, lorsqu’elle sera totalement en place (à partir de 2025, si nous ne parvenons pas à la faire dérailler), représente pour l’Europe une ponction de 8 milliards d’euros par an, de manière totalement stérile pour la compétitivité de l’économie européenne. Pour le client, ce sont donc des hausses de tarifs absolument sans précédent, des remises en cause de clauses contractuelles signées antérieurement et un service de bien moindre qualité, parce qu’il n’y a plus les supports que l’on avait auparavant.

Microsoft fait à peu près la même chose en ce moment, avec une hausse de plus de 50% du tarif du package Office : en gros, la licence passe de 25 euros par mois et par personne à 60 euros.

 

Deuxième exemple : l’Union européenne a adopté en 2019 un règlement appelé Cyber Security Act. Au titre de ce Cyber Security Act, l’ENISA (European Union Agency for Cybersecurity) doit développer des schémas de certification des services, notamment des services cloud. Il y a trois ans, l’ENISA a publié son schéma de certification qui, dans son niveau le plus élevé, définit des critères permettant de certifier un service cloud avec des critères d’immunité aux législations européennes à portée extraterritoriale, lire la section 702 du FISA, qu’on appelle le niveau I+.

En mai 2023, la Tech américaine, à travers ses organisations représentatives (la Computer and Communication Industry Alliance, la Software Business Alliance…), a adressé à Antony Blinken une lettre ouverte (disponible sur le web) disant « ne laissez pas les européens adopter ce niveau I+, car c’est une menace potentielle sur la sécurité nationale des États-Unis ».

En septembre 2023, Antony Blinken a adressé une note diplomatique à Ursula von der Leyen dans laquelle il disait « nous sommes très attentifs à ce sujet. Si vous adoptez l’UCS en l’état, c’est-à-dire avec le niveau I+, ce ne sera pas sans conséquences sur les relations économiques et sécuritaires entre les États-Unis et l’Union européenne ». À l’automne 2023, la Commission a demandé à l’ENISA de revoir sa copie. En mars 2024, l’ENISA a produit une nouvelle copie, expurgée du niveau I+. On en est là.

 

Pourquoi insistons-nous tant sur le cloud ?

Le rapport Draghi constate la dépendance technologique de l’Union Européenne. Il considère que la bataille du cloud est perdue et qu’il faut aller sur celle de l’intelligence artificielle. Il a tort en disant cela car in fine, le numérique, que ce soit la data, l’intelligence artificielle, les télécommunications, l’informatique quantique, c’est du cloud. Et le cloud, c’est du hardware et de l’énergie. Vous avez d’ailleurs vu qu’aux États-Unis, Microsoft a annoncé le rachat de la Three Mile Island (la centrale nucléaire bien connue pour les gens de ma génération, à cause d’un événement de sinistre mémoire, un peu avant Tchernobyl) afin de remettre en œuvre une tranche nucléaire pour alimenter ses data centers. Google et Amazon viennent de faire des annonces similaires. 

En conclusion, le numérique est extrêmement capitalistique, et penser que l’on peut s’affranchir des efforts à réaliser dans ce domaine-là en laissant le soin aux États-Unis de le faire, renforce de manière systémique nos dépendances dans le numérique.  C’est un peu, la doctrine « Tchuruk » de l’entreprise sans usine (ou « fabless ») : on laisse à d’autres la fabrication, et on développe les algorithmes. Toute stratégie « serverless » pour l’Union européenne est un piège dans lequel nous ne devons pas nous laisser enfermer. Le numérique concerne le futur des générations qui viennent et qui, sur ces sujets-là, nous regardent. Nous leur devons de faire les efforts maintenant pour éviter de les laisser dans ces situations de dépendance absolument inacceptables.

 

Merci de votre attention.

 

***

 

Questions-réponses

 

Hervé Sitruk

Merci beaucoup, Henri. Ce que vous nous avez dit est très important parce que je France Payments Forum va être amené à créer un groupe de travail sur ces sujets et élaborer un position paper sur l’importance des technologies dans le monde des paiements.

 

Michel Khazzaka

Un témoignage et une question à propos de l’IA.

Des collègues qui faisaient du minage de bitcoin au Texas, font maintenant de l’intelligence artificielle. Ils deviennent des entreprises d’énergie, avec des contrats de revente d’énergie, ce qui signifie que si on leur demande d’éteindre leur machine ou de consommer moins, ils sont payés par l’État du Texas. On voit donc des business models se construire sur la partie « j’achète du hardware pour le cloud et pour l’intelligence artificielle et des cartes graphiques pour faire tourner des LLMs ». Mais dans ce business model, le risque est celui de l’obsolescence très rapide des machines et des cartes graphiques.  

Sur l’intelligence artificielle, je vois le risque qu’elle soit orientée par la publicité (comme aujourd’hui quand on interroge Google) et par des intérêts américains. Quand on pose une question à ChatGPT ou autre, ils nous orientent vers des produits qu’ils ont envie de nous vendre. Comment assurer la souveraineté commerciale et la protection des citoyens et consommateurs européens ?

 

Henri d’Agrain

Aujourd’hui, les investissements que consentent ces géants technologiques dans le domaine de l’intelligence artificielle sont considérables : ils se comptent en centaines de milliards de dollars chaque trimestre.

Aujourd’hui les principaux VC aux États-Unis ne mettent plus de tickets sur de l’entraînement parce qu’ils n’ont pas les moyens (pour entraîner un LLM, le ticket de base, c’est 200 millions de dollars). Donc ils laissent cela aux hyperscalers, qui ont le cash pour réaliser ces investissements. L’entraînement de OpenAI, juste pour faire ChatGPT, c’est 10 milliards de dollars. Il y a un business model, mais il n’y a pas de ROI pour les entreprises clientes des produits d’intelligence artificielle.  Les investissements consentis aujourd’hui par ces opérateurs expliquent le doublement du prix de la licence par personne et par mois chez Microsoft. Et c’est pour financer ces investissements colossaux que les coûts vont être multipliés par 2, par 3 ou par 5 dans les années qui viennent sur les produits de base que vous utilisez au quotidien.

 

Emmanuel Wisniewski

Vous nous avez expliqué que les composants essentiels du métier du cloud sont l’énergie et le hardware. En France, on a l’énergie. Pensez-vous (vous et vos adhérents) avoir les moyens de faire quelque chose ?

 

Henri d’Agrain

Ces sujets-là se traitent toujours à deux niveaux, en parallèle.

  • D’un côté, on dit que les grandes entreprises laissent s’installer les dépendances par leur décision individuelle d’achat sont responsables de la situation.
  • De l’autre côté, il y a ceux qui disent que l’État et l’Union européenne n’ont rien fait pour maîtriser ces dépendances.

 

Il faut trouver les solutions en marchant sur les deux jambes. Pour l’illustrer, je prends un petit exemple sur la réglementation qui n’est pas mise en œuvre. L’Union européenne a pris à grand renfort de communication des législations censées protéger le consommateur plutôt que l’économie ou les entreprises : c’est le Digital Market Act (DMA), adopté en 2022. En 2023, au titre du DMA, on devait désigner ce qu’on appelle les gatekeepers, les contrôleurs d’accès, c’est-à-dire les entreprises qui seront réglementées ex ante, avec des obligations assez fermes. Parmi les 10 digital core services visés par le DMA, il y en a un sur lequel les gatekeepers n’ont pas été désignés : les cloud services, alors même que 3 hyperscalers contrôlent plus de 70% du marché.

Quand nous nous sommes tournés vers la Commission européenne, nous avons compris qu’ils ne souhaitaient pas aborder le sujet car ça aurait posé problème avec les États-Unis. Cette désignation des gatekeepers, aurait dû se faire en septembre 2023, au moment même où Antony Blinken adressait sa note diplomatique de Blinken à Ursula von der Leyen. C’est donc un problème politique.

Il y a donc bien deux choses : les décisions individuelles des entreprises, qui ne font pas suffisamment pour détendre ces dépendances (il s’agit d’une prise de conscience collective, et je le dis à mes adhérents), mais aussi la capacité de courage politique. Par la réglementation, on peut faire beaucoup de choses, et je peux vous dire que si Microsoft, Google Cloud et Amazon Web Services étaient réglementés ex ante au titre du DMA, la situation serait moins tendue en matière de dépendance.

 

Hervé Sitruk

Merci beaucoup. La similitude avec le monde des paiements est immédiate. Pour France Payments Forum, il est précieux d’avoir des représentants des grands acteurs français dans le domaine du numérique qui nous apportent leurs éclairages.

 

 

Les dernières actualités

Les Grands Dossiers Européens

L’actualité de ces dernières semaines- a été principalement marquée par le démarrage de Wero en Belgique, la poursuite des travaux sur la Verification of Payee (VOP), deux appels à candidatures lancés par la BCE sur le volet « technique » de l’euro numérique, deux expérimentations sur l’euro numérique de gros réalisées avec la plateforme DLT de la Banque de France (DL3S) et l’appel lancé par le gouverneur de la Banque de France et la présidente de l’AMF à une supervision européenne des cryptos. Nicolas de Seze

Lire la suite
Vous souhaitez aller plus loin ? Devenez membre, contactez-nous

Recevez notre dernière newsletter