Qui est auditionné
Table ronde, ouverte à la presse, réunissant trois directeurs des systèmes d'information (DSI) de grands ministères : Audran Le Baron, directeur du numérique pour l'éducation (ministère de l'Éducation nationale, ~1,2 million d'agents, 400 applications nationales) ; Yves Billon, chef du service du numérique au secrétariat général des ministères économiques et financiers (Bercy, ~1 500 applications, poids dominant de la DGFIP) ; et Mathieu Weill, directeur de la transformation numérique du ministère de l'Intérieur (~300 000 agents, missions régaliennes). Les trois prêtent serment. Ce sont des praticiens de l'État qui hébergent eux-mêmes leurs SI sensibles et revendiquent une culture ancienne du logiciel libre — un point de vue « de l'intérieur » sur les dépendances subies.
La substance
Leur thèse commune : les dépendances existent, mais elles sont hiérarchisées, documentées et, en partie, maîtrisables si l'État « choisit ses combats ». Oracle est désigné à l'unanimité comme le « combat numéro un » (politique tarifaire « particulièrement agressive », contrat ULA de « un peu plus de 3 millions d'euros » imposé et non budgété à l'Éducation). Suivent IBM Db2, VMware (racheté par des fonds « carnassiers », 2,5 M€/an pour l'Éducation, mais « dépendance maîtrisée » à Bercy/Intérieur grâce aux clouds internes en logiciel libre), SAS (l'Insee en sort après une « approche un peu carnassière » de l'éditeur, migration vers R et Python) et surtout la bureautique Microsoft : l'Éducation paie « 2,4 millions d'euros par an » mais « n'utilise pas les services cloud de Microsoft », et 98 % de ses SI métier tournent sous Linux.
Trois leviers structurent leurs réponses : réinternaliser les compétences (l'externalisation « au-delà de 60 % » est « dangereuse », « au-delà de 80 %, la situation n'[est] plus maîtrisable » ; besoin national estimé à 3 500 emplois numériques) ; la commande publique (standards, clauses de réversibilité coûteuses, double source) ; et une politique industrielle absente — « quand il n'y a pas d'offre, il n'y a pas d'offre ! ». Sur l'IA, Weill alerte : « il n'existe aucune offre européenne de puces dotées d'une capacité de calcul suffisante ». Sur le libre, l'autocritique est franche (l'État « passager clandestin ») et la mise en garde nette contre le « faux libre » d'un éditeur racheté par un fonds — Billon vise Red Hat par périphrase, « l'une [des sociétés], en particulier, dont le logo représente un chapeau rouge ».
Les enjeux et confrontations
La rapporteure Cyrielle Chatelain conduit l'audition vers les dossiers sensibles. Sur Virtuo (le SIRH de l'Éducation), elle presse Le Baron : la solution retenue n'est pas SecNumCloud, la Cnil a relevé que « les technologies de chiffrement ne garantiss[ent] pas que les données soient rendues inaccessibles au prestataire ». Le Baron assume le choix de Salesforce (américain), « dont l'offre présentait des mesures de sécurité jugées suffisantes », après un premier appel d'offres infructueux et avis Dinum/Cnil/Anssi, avec filtrage des données. Sur Palantir à la DGSI, Chatelain pointe le risque cognitif d'un algorithme propriétaire opaque qui « impose […] une certaine vision du monde » ; Weill corrige un point factuel majeur — « cet outil est hébergé dans nos infrastructures : Palantir n'a donc, à aucun moment, accès aux données » — et documente la désensibilisation via le partenariat d'innovation OTDH, le contrat étant maintenu pour la continuité. Seule esquive nette : interrogé sur l'achat d'advertising intelligence, Weill répond « en l'état de [ses] connaissances et de [son] droit à en connaître » n'en avoir « aucune connaissance ». Le président Latombe apporte la contradiction technique (versioning Windows 11, outil militaire Artemis écarté par la DGSI) et ponctue par une boutade politique : « faire passer l'INSP directement à LibreOffice ! ». Nuance interne notable : Billon relativise le poids des licences (« 5 à 10 % au maximum » des budgets) et ne « partage pas totalement le constat de Mathieu Weill » sur le niveau de dépendance.
Ce que l'audition apporte
Elle fournit à la commission des chiffres et des cas concrets rarement exposés (contrats Oracle/Microsoft/VMware au montant précis, cas Virtuo/Salesforce, sortie de SAS), et surtout deux constats actionnables : le frein juridique — pour le décideur, « un double risque […] : le risque pénal au titre du code de la commande publique, et le risque d'engager sa responsabilité de gestionnaire public » face à la Cour des comptes — et le maillon matériel (puces IA) hors de portée des DSI. Elle renvoie la souveraineté à une politique industrielle manquante (besoin d'ETI de « 2 000 ou 3 000 salariés ») et pointe une responsabilité partagée : l'État doit réinternaliser architectes et directeurs de projet, contribuer « activement, et éventuellement financièrement » aux communs, et porter au niveau interministériel et européen le combat bureautique.