La part du citoyen

16 avril 2026 · réunion n°28

Audition, ouverte à la presse, de Mme Christel Heydemann, directrice générale du groupe Orange

Mme Christel HeydemannChristel Heydemann

Qui est auditionné

Christel Heydemann, directrice générale du groupe Orange, est entendue sous serment par la commission d'enquête de l'Assemblée nationale sur les dépendances et vulnérabilités du numérique (17ᵉ lég.), présidée par Philippe Latombe, la rapporteure étant Cyrielle Chatelain. Elle s'exprime au titre d'un opérateur d'infrastructures physiques présent dans 26 pays, au service de plus de 300 millions de clients. Son angle est explicite dès l'ouverture : déplacer le centre de gravité du débat, jusque-là centré sur le cloud, vers les couches physiques que les opérateurs financent et maîtrisent.

La substance

Sa thèse-cadre : « Un cloud, même souverain dans ses statuts juridiques, ne l'est qu'autant que les infrastructures qui le portent le sont également [...] Si ces couches physiques ne sont pas maîtrisées, il n'est pas de souveraineté numérique qui tienne. » Orange revendique de posséder toute la chaîne de bout en bout — 600 000 km de fibres terrestres, 450 000 km de câbles sous-marins et six navires câbliers (Orange Marine), génie civil, tours Totem (26 900 mâts), data centers, cœurs de réseau — là où d'autres opérateurs européens ont cédé leurs actifs à des fonds.

Elle assume ensuite franchement les dépendances du groupe : équipementiers radio, chipsets taïwanais, et éditeurs américains (Oracle, Broadcom/VMware, Microsoft, Cisco, HP, Salesforce, ServiceNow). Face à cela, elle détaille ses alternatives : Cloud Avenue (certifié SecNumCloud, pour migrer les clients victimes de la politique tarifaire de VMware), Bleu, un telco cloud open source, et Orange Cyberdefense (50 000 organisations protégées). Sur Bleu (coentreprise Orange/Capgemini à 50 %, technologie Microsoft, en certification SecNumCloud 3.2), elle livre l'aveu le plus notable : « Il n'y a pas d'indépendance technologique, puisque les briques restent celles fournies par Microsoft » — Bleu garantit l'immunité extraterritoriale via un environnement Azure « air gap », pas l'autonomie.

Son message politique central est un paradoxe : « l'Europe proclame sa souveraineté numérique, mais elle élabore simultanément des textes qui fragilisent les acteurs qui financent les infrastructures dont cette souveraineté dépend. » Elle décline quatre demandes : un fair share (les plateformes génèrent « 50 % à 70 % du trafic » sans contribuer, la neutralité du net interdisant de le brider) inscrit dans le Digital Networks Act ; un principe de proportionnalité et une compensation des coûts de swap dans le Cybersecurity Act, qui sinon concentrerait la dépendance sur « un ou deux acteurs » ; des critères contraignants de souveraineté dans l'attribution de la bande 2 GHz satellite, faute de quoi Starlink (140 M d'abonnés visés en 2028) verrouillera le marché avant Iris² (2029-2030) ; et l'exclusion des navires câbliers de l'ETS (« on ne décarbonera pas l'activité, on la déplacera hors d'Europe »). Elle plaide aussi la consolidation télécom, un 28ᵉ régime européen et la simplification réglementaire.

Les enjeux et confrontations

La rapporteure Chatelain recadre d'emblée le propos liminaire, jugé trop large (« je ne voulais pas ouvrir le débat » sur l'ETS), puis mène le questionnement le plus technique et le plus serré : part réelle des données chez les hyperscalers, applications hébergées chez Google/Microsoft, et surtout le kill switch de Bleu — « cette question n'est pas liée à la localisation des données, mais à l'opérateur de la capacité où elles sont stockées », l'absence de mises à jour créant à terme des failles. Heydemann concède que « Bleu n'aura jamais les dernières fonctionnalités d'Azure » mais renvoie la vérification à l'Anssi. Le président Latombe ouvre par une question de souveraineté sur les liens du président du conseil avec la French-American Foundation (réponse : gouvernance « absolument étanche »), pousse sur le rapprochement Orange Marine/ASN et sur la concentration de la cybersécurité (rachat de Vade → Proofpoint : « il est tout de même gênant de devoir s'en remettre aux Américains »). Le député Éric Bothorel (EPR), seul membre présent, tend des perches alignées (soutien aux champions, cas du juge Guillou sous sanctions, résilience des data centers bombardés).

Ce que l'audition apporte

L'audition apporte au dossier un contre-cadrage assumé — la souveraineté du cloud est subordonnée aux infrastructures physiques — et documente concrètement l'irréversibilité de la dépendance : sortir de Microsoft prendrait « trois ans », inenvisageable au tempo des crises. Elle acte publiquement que Bleu ne procure aucune indépendance technologique, qu'Orange Cyberdefense reste « très dépendant de technologies essentiellement américaines, et parfois israéliennes », et pointe une responsabilité inattendue du régulateur national (la Cnil sur-transposerait le RGPD). Enfin, elle retourne la charge vers le législateur européen et national, désignant le cadre réglementaire lui-même comme facteur de vulnérabilité.