Je vous remercie pour votre participation aux travaux de notre mission d'information.

Microsoft est une multinationale informatique et microinformatique américaine, fondée en 1975 par Bill Gates et Paul Allen et présidée aujourd'hui par Satya Nadella. Son activité principale consiste à développer et vendre des systèmes d'exploitation, des logiciels et des produits matériels dérivés, ainsi que des solutions cloud (Azure), web (Bing, LinkedIn, Outlook) et des consoles de jeux vidéo.

Fondée en 1983 par sept collaborateurs, Microsoft France fut l'une des premières filiales de Microsoft à être créée dans le monde. 37 ans plus tard, Microsoft compte environ 1 800 collaborateurs en France, principalement localisés sur le campus d'Issy-les-Moulineaux.

Je souhaiterais vous poser trois questions.

La première concerne votre conception de la notion de souveraineté numérique en tant qu'acteur américain opérant en France. Cette question procède de la grande diversité des définitions qui peuvent exister de cette notion. Comment la définissez-vous et comment l'intégrez-vous dans les solutions que vous offrez à vos clients ?

Je souhaite ensuite vous interroger sur votre partenariat avec le Health Data Hub, qui a soulevé de nombreuses questions quant à votre capacité à sécuriser les données de ce dernier. Les auditions menées jusqu'à présent ont par ailleurs donné lieu à des positions différentes sur la soumission ou non d'entreprises américaines opérant en France au Cloud Act américain. Nous souhaiterions donc recueillir votre vision sur ces sujets.

Je souhaite enfin aborder avec vous le sujet de la formation. Quels sont les grands projets menés par Microsoft France dans le domaine de la recherche ? Comment Microsoft France participe-t-elle au développement en France d'un vivier de talents du numérique ?

Je n'ai pas d'éléments à ajouter à la présentation faite de Microsoft France, si ce n'est à souligner notre engagement en France : nous animons un écosystème de 3 500 start-up et de 10 500 entreprises partenaires, distributeurs, intégrateurs. Cela représente environ 80 000 employés en France. Je laisserai la parole à M. Jean-Renaud Roy pour répondre à votre première question sur la notion de souveraineté numérique.

Il existe la souveraineté numérique et la souveraineté numérique par les actes. Orange et Capgemini ont annoncé ce matin la création d'une nouvelle entreprise, Bleu, qui concourra pour obtenir la certification de cloud de confiance du gouvernement. Ce cloud de confiance sera basé sur les technologies hyperscale et cloud de Microsoft. Cela est nouveau et unique, pour Microsoft, de livrer ses technologies dans la confiance à deux partenaires de rangs mondiaux afin de répondre à des besoins très spécifiques en France.

La société créée par Orange et Capgemini ne réunira que des investisseurs et des capitaux français. Elle sera de droit français et ne fournira de services qu'en France. Microsoft licenciera sa technologie à travers un accord commercial. Ce cadre juridique est conforme aux annonces faites le 17 mai par le gouvernement et l'agence nationale de la sécurité des systèmes d'information (ANSSI). Ce cadre fonde l'immunité de cette société à l'exposition aux lois extraterritoriales, américaines mais pas seulement. De fait, en licenciant la technologie employée au sein de cette nouvelle entreprise créée très prochainement, Microsoft n'aura pas accès à l'infrastructure de ce cloud de confiance français. L'ensemble des technologies hyperscale seront les mêmes que celles que Microsoft distribue dans son cloud hyperscale à l'échelle mondiale, avec le même niveau de service, mais seront totalement détachées de notre propre infrastructure.

Revenant à la notion de souveraineté elle-même, je ne pense pas qu'une entreprise privée soit légitime pour définir la souveraineté – c'est le rôle du législateur et l'expression d'une volonté collective. En revanche, notre rôle, en tant qu'entreprise fournissant des solutions technologiques – aujourd'hui majoritairement centrées sur le cloud et les technologies intelligentes – est de mettre au service d'une puissance publique adossée à un État de droit une forme de savoir-faire qui permet de garantir des conditions de souveraineté, de résilience et de cybersécurité telles que cet État (ou cet ensemble d'États dans le cas de l'Union européenne) les aura définies. Il s'agit donc pour nous de nous adapter à un État qui édicte ses règles de protection des données et ses usages. Grâce à son réseau de plus de 10 000 partenaires en France (qui regroupe aussi bien des intégrateurs que des revendeurs), Microsoft permet à la souveraineté du droit de s'exercer, comme dans le cas de l'application du Règlement général sur la protection des données (RGPD).

Le premier aspect de la souveraineté pour un État, surtout dans le cyberespace, est de conserver sa capacité à contrôler et à appliquer les règles dans le temps et dans l'espace. Le numérique s'affranchit des frontières géographiques : même dans le cyberespace, les États ont besoin d'assurer leur souveraineté. Le RGPD par exemple est une réglementation qui permet d'assurer la protection des données personnelles des Européens au-delà des frontières européennes. La souveraineté s'exerce ainsi bien au-delà des frontières des États. L'application du droit dans le cyberespace me semble donc être le premier critère de souveraineté pour un État. Nous y participons en tant qu'acteur numérique du cyberespace. L'État n'a pas seul la capacité de gérer le cyberespace. Il doit le faire avec nous. Quand un État subit une cyberattaque, Microsoft est en première ligne. Microsoft est présent dans le tissu industriel et institutionnel et équipe beaucoup d'acteurs. Nous avons toujours souhaité nous engager aux côtés des États pour réguler et maintenir la sécurité dans le cyberespace, car la première souveraineté est de garantir la sécurité des personnes et de leurs biens, la résilience des États et des institutions démocratiques. Microsoft a soutenu l'Appel de Paris pour la sécurité dans le cyberespace en novembre 2020. Nous sommes l'une des premières entreprises à l'avoir fait et à avoir milité auprès de nombre d'écosystèmes numériques pour revendiquer l'importance de cet appel.

Par ailleurs, la notion de souveraineté peut varier d'un espace géographique à l'autre. L'Europe se questionne ainsi sur l'émergence d'une troisième voie qui lui serait propre en matière de protection des données personnelles. Avec le RGPD, l'Europe a édité le standard mondial de référence en matière de protection des données. Cela est une très bonne chose. Nous appliquons les règles du RGPD aux personnes et à nos personnels dans le monde entier. Cela montre notre engagement. Cela montre également que le RGPD constitue une opportunité pour nous de gagner la confiance de nos clients, partenaires et utilisateurs.

Compte tenu de la jurisprudence européenne récente, comme l'arrêt Schrems II qui a mis fin au privacy shield, nous avons annoncé, il y a quinze jours, mettre en œuvre une frontière européenne des données. Cela permettra à nos clients européens, conformément aux annonces faites par le commissaire européen, M. Thierry Breton, de traiter et de stocker leurs données en Europe, mais aussi d'en assurer le support à partir des territoires européens – cela est tout à fait nouveau – et donc, si ces clients le souhaitent, d'empêcher tout transfert de données en dehors du territoire européen. Je précise que ce projet ne traite pas de la question de l'extraterritorialité du droit, et notamment du droit américain en Europe. À ce sujet en revanche, nous avons aujourd'hui franchi un nouveau cap sous la forme du partenariat proposé par Orange et Capgemini, qui consiste en la création d'un cloud de confiance qui permettra l'immunité aux lois extraterritoriales, d'où qu'elles proviennent.

Vous avez expliqué la nouvelle architecture juridique présidant à la création de Bleu : la société sera opérée par Orange et un de ses partenaires, qui seront majoritaires au capital. Microsoft sera, lui, fournisseur de licence.

Oui, nous concluons un accord commercial pour lequel nous fournirons la licence d'utilisation des technologies Microsoft.

Cela signifie que cette solution permet de s'affranchir juridiquement de l'extraterritorialité du droit américain, car vous êtes fournisseur de licence.

Absolument.

A contrario, cela montre que le Health Data Hub – qui fait écho à l'ensemble des débats tenus sur l'extraterritorialité américaine dans le cas de l'utilisation de votre cloud Microsoft Azure et de l'ensemble des clouds américains – est bien soumis à l'extraterritorialité américaine.

Nous n'avons jamais dit que nous ne l'étions pas. Nous sommes tout à fait soumis à l'extraterritorialité américaine.

Je pose la question car il a été affirmé à plusieurs reprises, et notamment par la directrice du Health Data Hub, que nous disposions des moyens juridiques pour sécuriser l'ensemble du processus. Elle a affirmé qu'en stockant les données en Europe, en les opérant avec des clés sécurisées et en obtenant des garanties juridiques supplémentaires, nous nous affranchissions de tout risque d'extraterritorialité du droit américain. Je préfère donc que l'on précise les choses, d'autant que nous avons eu à ce sujet des opinions très divergentes : IBM nous a expliqué que puisque IBM France était une société par actions simplifiée française, elle n'était pas soumise au Cloud Act et à toute l'extraterritorialité du droit. La seule solution juridique valide que vous ayez trouvée aujourd'hui pour répondre au Cloud Act et à l'invalidation du privacy shield est donc d'opérer sous forme de licence ?

Non. Quand Mme Stéphanie Combes explique que la mise en œuvre de l'hébergement du Health Data Hub par Microsoft est garantie et permet de se soustraire aux lois extraterritoriales et au Cloud Act, c'est aussi car le champ d'application de ces lois extraterritoriales ne correspond pas aux activités du Health Data Hub aujourd'hui. Tout simplement. Les raisons au titre desquelles un juge américain peut lancer un mandat sous Cloud Act ne coïncident pas avec les activités du Health Data Hub.

Il faut savoir de quoi l'on parle, et pourquoi nous avons conclu cet accord avec Orange et Capgemini. Il s'agit, par cet accord, de répondre aux besoins de clients ayant des besoins très spécifiques en matière de résilience, de sécurité, de gestion de données sensibles. Les objectifs de GAIA-X sont la gestion des données sensibles des Européens.

Tout un espace du cloud est, formellement, au titre du droit, éventuellement exposé à une juridiction américaine – mais il n'en fera pas l'objet, car cela ne sert à rien, au titre du Cloud Act, d'aller rechercher une donnée de santé anonymisée, dont on ne sait rien faire et qu'on ne peut pas déchiffrer. Oui, sur le principe, nous sommes exposés à l'extraterritorialité, mais, dans la pratique, cela ne peut arriver.

L'application des lois extraterritoriales américaines ne peut pas nous viser pour plusieurs raisons. Tout d'abord, certains éléments nous font dire que la décision Schrems II ne s'appliquera pas au Health Data Hub. Ce point est très important. Ensuite, chaque loi extraterritoriale dispose d'un champ d'application propre : celui-ci permet au juge américain de se saisir d'un mandat en poursuivant un objectif. Rien ne concerne aujourd'hui le Health Data Hub dans les champs d'application des trois types de mandats existant et ouvrant la possibilité à la justice américaine de saisir des données par un exercice extraterritorial de ses fonctions (Cloud Act, Foreign Intelligence Surveillance Act, Executive Order 12333). Cela est notre point de vue. De fait, Mme Stéphanie Combes a raison en affirmant que le Health Data Hub n'est pas concerné par le Cloud Act.

J'illustrerai mon propos par des exemples. Le Cloud Act nécessite que les données soient hébergées par Microsoft, qu'elles soient en notre possession, sous notre garde et notre contrôle. Les données du Health Data Hub ne sont pas en notre possession : elles sont sous notre garde, mais pas sous notre contrôle. De plus, elles sont chiffrées. En outre, pour être exposé au Cloud Act, il faut que le mandat spécifique concerne une personne visée par une enquête criminelle. Je ne vois pas comment un mandat – qui doit concerner une personne donnée, pour un crime donné – pourrait être édité au titre du Cloud Act afin d'accéder à des données anonymisées. Il faudrait, pour reconstituer ces données, disposer des bases de données originales et déchiffrées de la Caisse nationale de l'assurance maladie (CNAM) et du Health Data Hub. La reconstitution est donc très compliquée. Le Health Data Hub rassemble donc des données de santé qui n'entrent pas dans le champ d'une enquête criminelle du Cloud Act.

L'article 702 du Foreign Intelligence Surveillance Act (FISA) permet la surveillance ciblée d'une personne étrangère, à l'extérieur des États-Unis. Cela est important : cette définition a l'air très offensive et problématique en matière de souveraineté – je peux le comprendre. La cible du FISA est la surveillance d'un agent d'une puissance étrangère qui n'est pas un allié des États-Unis. La France est un allié des États-Unis et le Health Data Hub n'est pas un agent d'une puissance étrangère, tel que le définit le droit américain. L'article 702 du FISA cible le terrorisme (terrorisme international, activité clandestine de renseignement, prolifération d'armes). Le Health Data Hub ne sert à rien de tout cela. Il ne rentre donc pas dans le champ d'application de l'article 702 du FISA.

Le décret présidentiel Executive Order 12333 permet d'exiger la transmission de données en dehors des États-Unis et peut conférer à une autorité américaine le pouvoir de mener des activités de renseignement. Je comprends que cela puisse soulever beaucoup de questions. Il faut tout de même reconnaître la transparence des États-Unis dans l'exercice de ces activités de renseignement : ces dispositions sont prévues dans leur droit. Un fondement légal est nécessaire pour qu'une entreprise, dans notre cas Microsoft ou même le Health Data Hub, soit sommée de fournir des renseignements. Ce décret présidentiel vise à l'acquisition de renseignements importants pour la détection d'activités terroristes internationales, de prolifération d'armes de destruction massive et d'espionnage menées par des puissances étrangères de manière offensive contre les États-Unis. Franchement, les données contenues dans le Health Data Hub n'ont absolument rien à voir avec le champ d'application de ces trois lois extraterritoriales.

Enfin, nous pensons que la décision Schrems II ne s'applique pas au Health Data Hub. Le Conseil d'État a affirmé que la manière dont Microsoft a hébergé le Health Data Hub ne contrevenait absolument pas au RGPD même dans le cadre de la jurisprudence Schrems II. En fait, la décision Schrems II concerne le transfert de données d'une entreprise au sein de cette même entreprise, entre une filiale en Europe et une filiale aux États-Unis. Microsoft n'est que le pourvoyeur de la plateforme technologique d'hébergement du Health Data Hub. Le Health Data Hub a été construit par-dessus, comme une plateforme programmable totalement indépendante. Le Health Data Hub n'a pas d'entité juridique aux États-Unis, donc le Health Data Hub n'a pas à transférer de données vers les États-Unis. De fait, la décision Schrems II ne s'applique pas à notre cas et n'a pas de conséquence directe sur le fait que le Health Data Hub héberge ses données sur le cloud Microsoft en France.

Je me permets une remarque un peu acide. Vous avez insisté sur le fait que chaque activité extraterritoriale américaine repose sur une base juridique. Rappelons-nous les écoutes massives opérées par la National Security Agency (NSA) et notamment la mise sur écoute de la chancelière allemande. L'Allemagne était pourtant une alliée des États-Unis. Cela génère des questions dans l'esprit de tout le monde. Ces questions ne sont peut-être pas réelles mais elles sont au moins légitimes.

Absolument.

S'agissant de Schrems II, le Conseil d'État a également intégré à sa décision le fait que le gouvernement l'avait très rapidement informé que le Health Data Hub allait quitter le cloud Microsoft. C'est une des raisons pour lesquelles le Conseil d'État a rendu une décision dans ce sens-là. Le principe était bien la sortie du cloud Microsoft. Cela a été confirmé il y a quelques jours par le gouvernement – à l'inverse de ce qu'avait affirmé Mme Stéphanie Combes, en audition publique ici-même. Selon Mme Stéphanie Combes, le courrier fourni par le ministre de la santé au Conseil d'État et la prise de position de Cédric O devant les sénateurs n'allaient pas dans le sens de la sortie du cloud Microsoft – cela n'est pas vrai, et cela a été clarifié depuis.

Même si selon vous, Schrems II ne s'applique pas au Health Data Hub, un embarras persiste. Comment appliquer Schrems II pour respecter le droit européen et assurer la sécurité des données vis-à-vis du droit extraterritorial ? En quoi Bleu répond-il à cette question et les précédentes solutions n'y répondaient pas ?

Encore une fois, nous n'avons jamais affirmé ne pas être soumis aux lois extraterritoriales. Nous sommes une entreprise de droit américain, nous sommes soumis à la législation américaine. Je n'ai aucun problème avec cela et je suis totalement ouvert à ce sujet.

Nous mettons en œuvre des dispositions pour répondre aux exigences de la législation américaine et aux besoins de nos clients. Le Cloud Act a été émis suite à une contestation de la part de Microsoft d'une demande – qui ne nous semblait pas légitime – des autorités américaines d'accéder à des données situées dans un data center en Irlande. Nous sommes allées jusqu'à la Cour suprême pour cela. Nous savons donc aussi rejeter ce qui est illégal et défendre nos entreprises.

Quand avez-vous commencé à travailler avec le Health Data Hub ? Votre collaboration n'a pas été scellée au terme d'un appel d'offres mais par un contrat. Avez-vous commencé à travailler avec le Health Data Hub préalablement à la signature de ce contrat, notamment pour la constitution de l'architecture de la plateforme ?

Non. Nous avons pris les premiers contacts avec le Health Data Hub au moment du rendu des travaux de la mission de préfiguration. Si ma mémoire est bonne, cela a eu lieu en octobre 2018.

Je sais d'où vient cette question. J'ai vu sur les réseaux sociaux que certaines personnes avaient consulté les registres de la Haute autorité pour la transparence de la vie publique (HATVP), où les personnes comme moi doivent répertorier leurs rencontres avec les représentants de l'État et des autorités publiques. Si l'on regarde bien le registre de la HATVP, il me semble que nous sommes la seule entreprise à avoir déclaré avoir rencontré le cabinet ministériel et le Health Data Hub après la mission de préfiguration. Je vous invite à le vérifier.

Très bien. Il n'y a pas de critique de ma part à ce sujet. Je souhaitais simplement poser les faits.

Dans votre propos liminaire, vous avez affirmé que la souveraineté n'était pas l'apanage des sociétés privées – et a fortiori américaines – et qu'il appartenait plutôt à la puissance publique de la définir. La souveraineté est-elle un argument commercial en ce moment ? Votre site Internet propose un chapitre entier sur la souveraineté des données sur Azure et Azure Stack.

Nous définissons les offres souveraines en fonction des besoins exprimés par nos clients et du cadre réglementaire en vigueur, là où nous vendons le produit. L'Europe porte une attention toute particulière à sa souveraineté. Elle édicte des lois en matière de protection des données personnelles et de cybersécurité. Il est évident que la souveraineté fait partie des solutions qu'un acteur de notre taille est obligé d'appréhender, y compris d'un point de vue commercial, car nous répondons aux besoins de nos clients. Les besoins évoluent.

À l'époque, l'on ne parlait que du logiciel et l'on avait l'habitude de dire qu'il existait sept couches d'abstraction de souveraineté : le hardware, le language machine, le software, le système d'exploitation, le logiciel, etc. Il est normal que les pays qui ne maîtrisent pas l'ensemble de ces technologies portent une attention aigüe à la souveraineté. C'est le cas également des États-Unis, car le hardware et les puces électroniques sont construits en Asie.

Avec la crise sanitaire, les technologies cloud ont connu un très grand essor car elles ont permis la résilience des populations et de l'économie. Il est normal que l'attention aux questions de souveraineté porte aujourd'hui davantage sur ces technologies. Peut-être que demain, l'attention à la souveraineté portera sur l'informatique quantique.

Le mot souveraineté, aujourd'hui utilisé dans beaucoup de sujets différents (souveraineté industrielle, souveraineté des médicaments, par exemple), n'est-il pas devenu essentiellement un argument marketing ? Y'a-t-il, de la part de vos clients, de vrais intérêts et besoins en matière de souveraineté, accompagnés de demandes précises à ce sujet ?

La création de Bleu est le résultat d'un dialogue avec nos clients, qui ont exprimé des besoins très spécifiques en matière de souveraineté, de sécurité et de résilience. Il existe un marché important pour le cloud souverain. Il ne s'agit pas seulement d'un argument marketing. Bleu met en place des solutions techniques. Certes, la labellisation en cloud de confiance répond à certains impératifs juridiques, mais nous menons surtout un important travail d'ingénierie. Nous créons quelque chose de complètement nouveau, qui demande beaucoup d'investissements. Nous ne le ferions pas, s'il s'agissait seulement de développer un argument marketing. Nous le faisons car notre offre répond à un besoin.

Vous avez récemment reçu en audition les représentants du Club informatique des grandes entreprises françaises (Cigref). Ils ont exprimé leurs besoins en matière de souveraineté. Leur souveraineté ne se définit pas comme l'exclusion des technologies non européennes ou non françaises, mais comme la possibilité d'utiliser des technologies extérieures (notamment américaines) en toute compatibilité avec la protection des données, le droit européen, les valeurs européennes. C'est ce que nous sommes en train de faire.

Le gouvernement a récemment communiqué sur deux thèmes et je voudrais recueillir votre opinion à cet égard. Des communications ont été faites suite au rapport présenté par M. Éric Bothorel sur les logiciels libres. Quelle est votre opinion à ce sujet ? L'Éducation nationale dit promouvoir les logiciels libres, mais en même temps travaille notamment avec vous. Jusqu'où peut-on aller en matière de logiciel libre ? Comment analysez-vous la trajectoire du gouvernement sur ce sujet ?

L'État a mis en place une stratégie cloud pour les administrations centrales. Qu'en est-il des collectivités territoriales, par exemple pour les smart cities ? Certaines de vos solutions pourraient-elles répondre aux besoins définis par l'État dans sa stratégie cloud en la matière ?

Si le cloud de Microsoft répond aujourd'hui aux besoins de l'État, c'est parce que le cloud est une plateforme agnostique sur laquelle il est possible de faire ce que l'on veut (utiliser de l' open source, des logiciels propriétaires, ou développer ses propres logiciels).

Nous sommes capables, si l'État le souhaite, de répondre à l'ensemble des besoins énoncés dans sa stratégie cloud. Mais l'État peut aussi développer ses propres solutions à partir d'un cloud public comme le nôtre. Le cloud public est important : il permet des effets d'échelle très importants et une élasticité à la demande, notamment en matière de puissance. Les choix sont ouverts. La France offre, grâce à son écosystème, le plus grand nombre d'offres et d'approches du cloud.

La marketplace de Microsoft accueille également les éditeurs de logiciel de tierces parties, et notamment des éditeurs français. Cela permet de projeter cette offre dans le cloud et à l'étranger. Nous accueillons donc tout un écosystème à l'intérieur de la marketplace de notre cloud Azure.

Et le logiciel libre ?

Microsoft est aujourd'hui le premier contributeur mondial dans le logiciel libre. À l'échelle mondiale, près de la moitié des machines virtuelles installées dans notre cloud sont open source. Comme vous le savez, nous avons racheté GitHub, entreprise de développement de logiciels open source. Nous avons également rejoint la fondation Linux.

Microsoft a souvent été vu comme le grand détracteur de l' open source et du logiciel libre. Les dirigeants de Microsoft ont récemment reconnu que cette position constituait une erreur stratégique. Aujourd'hui, Microsoft considère que ses clients choisiront le mode d'utilisation qui leur conviendra le mieux, open source ou non – c'est le mode de distribution qui fait la différence.

Je dresserai un parallèle avec la barre de recherche Google sur les téléphones portables. Il a fallu légiférer pour exiger que la barre de recherche Google ne soit pas systématiquement imposée aux consommateurs dans les téléphones. S'agissant du hardware, un certain nombre de PC sont systématiquement proposés avec Microsoft. Cela est-il le fait de partenariats mondiaux ou cela est-il décidé par région ? Une réglementation similaire à celle visant la barre de recherches Google vous poserait-elle problème ? Ces demandes de dissocier le hardware de l'exploitation sont portées par un certain nombre d'associations de consommateurs et d'usagers du numérique.

Vous l'avez vous-même souligné : dans nos systèmes, les consommateurs ont le choix. Nous avons la volonté de proposer un choix pour l'installation du système d'exploitation. Les choix proposés se nouent sur la base de partenariats de développement. Il est clair que nous proposons et proposerons de façon constante ces choix. Il est possible aujourd'hui d'installer tout un choix de moteurs de recherches. Il s'agit de la même dynamique que l' open source. Nous souhaitons proposer une plateforme et la palette la plus large possible de propositions de solutions, afin de satisfaire les exigences des clients finaux.

Il est tout à fait possible de télécharger les distributions Linux avec Windows 10 et de les faire tourner de manière native. Cela progresse, et nous sommes les seuls à le faire. À travers nos ordinateurs, nous sommes donc aujourd'hui l'un des premiers vecteurs de diffusion de l' open source dans le monde.

Merci de le préciser. Il s'agissait d'une question et non d'une critique.

Je souhaiterais maintenant aborder le sujet de la formation. Comment Microsoft se positionne-t-il en ce qui concerne la formation au numérique ? Je pense à la fois aux formations internes et externes.

La formation et le développement des compétences numériques sont un des piliers majeurs et essentiels de Microsoft en France. Nous avons créé en 2018 les écoles IA, avec l'objectif de former 1 000 apprenants d'ici 2022. Nous disposons de 25 écoles IA et 16 sont en cours. Deux écoles cloud sont également en construction.

Nous sommes parti d'un double constat : il existe un vrai besoin en Intelligence artificielle et nous nous heurtons à l'absence de profils dits intermédiaires, notamment de techniciens. Cette formation est gratuite pour les demandeurs d'emploi et permet de devenir développeur en Intelligence artificielle.

Simplon est l'opérateur de cette formation depuis sa création. La pédagogie de Simplon est très active et axée sur les projets. Nous souhaitions une formation relativement courte et très orientée sur la demande, sur le marché de l'emploi. C'est une formation intensive de sept mois, suivis d'un an en alternance en entreprise. Ce partenariat inclut également Pôle Emploi, les régions et les entreprises. De nombreuses entreprises partenaires participent en intégrant ces écoles dans un cursus professionnel.

En 2019, la première formation était à 80% féminine. En 2020, elle incluait les intelligences atypiques avec une dizaine de profils Asperger.

Ces formations sont professionnalisantes : elles peuvent obtenir un titre de finalité professionnelle « développeur en Intelligence artificielle » avec un équivalent à bac+3.

Nous lançons cette année le programme des écoles cloud : nous accueillons deux promotions pilotes, toujours en partenariat avec Simplon, avec l'objectif de les former aux compétences de développeur technique et d'administrateur cloud.

Ressentez-vous un changement dans l'intérêt des jeunes pour ce type de formation ? La féminisation des formations fonctionne-t-elle ?

Nous évoluons dans la bonne direction. Mais il y a un énorme travail à faire en amont. Une fois que ces jeunes femmes ont postulé et intégré ces formations, le taux de réussite, de participation et d'engouement est extrêmement élevé. Mais il faut aller chercher ces jeunes femmes.

Les profils de techniciens manquent de femmes. Notre objectif est de sensibiliser les jeunes. Nous nous sommes ainsi appuyés sur l'association Unis-Cités pour lancer la mission « jeunes citoyens du numérique », qui a sensibilisé 19 000 jeunes aux compétences et aux formations numériques depuis 2018. Cet enjeu est critique pour les emplois du futur.

Nous avons été tant surpris par le succès de l'école IA que nous n'arrivons pas à répondre à la demande. L'État devrait aider les opérateurs comme Simplon à étendre ces formations.

Des besoins ont surgi, notamment en matière de transformation numérique des entreprises. L'objectif est de former une population capable de manier la data, d'entraîner à la data, de faire de l'Intelligence artificielle. Cela ouvre les perspectives pour les entreprises qui ne savent pas comment amorcer leur transformation numérique : des personnes très bien formées pourront répondre à leurs besoins. L'enjeu est de « matcher » ces personnes avec les entreprises, les plus matures comme les moins matures.

La formation délivrée par Simplon est-elle agnostique ?

Tout à fait.

D'autres formations non agnostiques connaissent-elles, elles aussi, une forte demande ? Des certifications pour les informaticiens existaient par le passé.

Elles existent toujours.

Ces formations continuent-elles à attirer du public, ou y'a-t-il eu un déport des apprenants de ces formations vers les nouvelles formations délivrées par Simplon ?

Les deux cohabitent, car elles ne s'adressent pas au même public.

Il faut bien connaître le secteur pour se renseigner sur les formations Microsoft : elles visent des personnes ayant une appétence sérieuse sur ces sujets, qui savent déjà coder et veulent passer une certification pour se professionnaliser. Elles couvrent de très hauts degrés de technicité. Ces certifications sont liées à des technologies (pas seulement les technologies Microsoft).

Les écoles IA s'adressent à des personnes en recherche d'emploi, en reconversion professionnelle, qui ont des compétences en mathématiques et une appétence pour le code, mais qui ne sont pas déjà formées à ces sujets. En revanche, les deux nouvelles écoles cloud recrutent à niveau bac.

Souhaitez-vous aborder un sujet dont nous n'avons pas discuté jusqu'à présent ?

À mes yeux, nous avons couvert l'essentiel des sujets que nous souhaitions vous présenter.

Je vous poserai une dernière question. Quelle sera la place du numérique dans nos économies à moyen et long termes, et comment Microsoft se positionne-t-il ?

Le numérique n'est pas porté seulement par ceux qui le fabriquent et produisent des technologies. Nous allons par exemple développer une grande plateforme pour un constructeur automobile à partir du cloud de Microsoft. Ce constructeur utilisera cette plateforme pour rationaliser sa logistique, agencer ses relations avec ses fournisseurs, ses sous-traitants, ses concessionnaires. Il disposera donc d'une plateforme qui lui appartient et qu'il continuera de développer : il construira pour cela des compétences, notamment en matière de langages, de logiciels, de frameworks. Il continuera à proposer un service approfondi, agrémenté et mis à jour. Il va donc lui-même devenir une partie de l'offre du cloud : il deviendra un cloud provider.

Notre entreprise propose des moyens de production du numérique. À l'avenir, ces moyens de production du numérique pénétreront des industries qui ne sont pas numériques au départ, mais qui le deviendront, dans leurs modèles d'affaires et leurs manières d'opérer leur logistique, leurs circuits de vente, jusqu'à leur sécurité.