Ensemble de mesures de l'UE sur la souveraineté technologique : la souveraineté, condition préalable à la transparence à l'heure des changements géopolitiques

Vue d'ensemble du dispositif

S'appuyant sur la version de 2023, la loi « Chips Act 2.0 » déplace l'accent mis sur la recherche vers la commercialisation. Malgré l'intention de la loi initiale de mettre en place des lignes pilotes et des structures de coordination au sein de l'UE, l'Europe reste presque entièrement dépendante des fournisseurs américains et asiatiques pour les puces de pointe inférieures à 5 nanomètres, qui sont précisément celles requises pour les charges de travail liées à l'IA. La nouvelle loi propose la création de la première fonderie ouverte de l'UE pour la fabrication de puces de moins de 3 nm, avec une production pilote prévue pour 2030-2033. Elle introduit également des « accélérateurs de la demande », qui mettront en relation les fabricants de puces et les acheteurs par le biais d'accords d'achat. Cela est crucial, car les nouvelles usines ne resteront pas solvables assez longtemps pour s'implanter sans clients de référence.

La CADA concerne la dimension «cloud» et «IA» de la souveraineté technologique de l’Europe. L’idée centrale est ici que les États membres doivent évaluer quels systèmes de leur secteur public dépendent du cloud étranger, les classer par niveau de souveraineté et passer leurs marchés en conséquence. Le règlement vise également à tripler la capacité des centres de données de l'UE au cours des 5 à 7 prochaines années, ce qui nécessitera environ 200 milliards d'euros d'investissements, principalement privés. Parallèlement, le CADA introduit quatre niveaux de souveraineté du cloud basés sur des critères liés au contrôle du service et de la chaîne d'approvisionnement, au traitement des données d'inférence de l'IA, à l'emplacement de l'infrastructure et au niveau de cybersécurité.

Bien qu’elle soit la moins évoquée, la stratégie pour des écosystèmes numériques ouverts de l’UE constitue la partie la plus intéressante de ce paquet de mesures. L'UE finance actuellement des initiatives open source dans divers secteurs, telles que le projet openEuroLLM et le portefeuille d'identité numérique européen, mais sans modèle de maintenance cohérent. Pour remédier à ce problème, la stratégie propose un nouvel « instrument de maintenance open source » pour un soutien financier durable, une « Fondation européenne pour les infrastructures publiques numériques » chargée de la gestion des référentiels, et un principe de default open source pour les appels à projets de R&D financés par des fonds publics.

Enfin, la feuille de route stratégique pour la numérisation et l’IA dans le secteur de l’énergie aborde ce qui est sans doute le plus grand obstacle pratique du paquet : l’électricité. La demande en électricité des centres de données dans l’UE devrait plus que tripler d’ici 2030, passant d’une capacité installée d’environ 10 GW à environ 35 GW. La feuille de route définit trois piliers : l'intégration des centres de données dans la planification des réseaux nationaux par le biais d'accords tripartites entre les opérateurs, les autorités publiques et les acteurs du secteur de l'énergie ; le déploiement de l'IA dans l'ensemble du système énergétique (pour l'optimisation du réseau et la flexibilité du côté de la demande) ; et la mise en place d'un système de notation de l'efficacité des centres de données, couvrant l'efficacité énergétique, l'efficacité hydrique, l'utilisation des énergies renouvelables et la réutilisation de la chaleur résiduelle.

Souveraineté et open source : la bonne approche selon le cep

La stratégie de la Commission stipule explicitement que la souveraineté technologique « ne signifie pas l’isolement, le protectionnisme ou le découplage technologique ». Nous souscrivons pleinement à ce principe, car la souveraineté, dans son acception la plus sérieuse, est la capacité d’agir librement. Ce qui importe, en fin de compte, c’est une concurrence loyale. Dans le domaine numérique, cela signifie avoir la liberté de choisir entre différents fournisseurs, de changer de fournisseur sans coûts exorbitants et de maintenir les charges de travail sensibles sous la juridiction nationale lorsque cela est vraiment important, par exemple pour protéger les secrets commerciaux. Il est essentiel de noter que cela ne signifie pas automatiquement que la concurrence étrangère doive être exclue des appels d’offres publics.

Selon Anselm Küsters, expert en numérisation au cep : « La souveraineté est une condition préalable à l’ouverture, et non l’inverse. Si l’Europe ne peut pas construire et maintenir elle-même au moins une partie de ses infrastructures numériques critiques, elle perd sa capacité à négocier avec les fournisseurs, mais aussi avec ses rivaux géopolitiques. Les écosystèmes open source sont essentiels à cet égard, car ils offrent aux institutions et aux entreprises un moyen de construire sans être pris au piège. La stratégie de l’UE pour des écosystèmes numériques ouverts va dans le bon sens sur le principe. Cependant, il n’est pas encore clair si le modèle de financement envisagé tiendra sur l’ensemble du cycle de vie des logiciels ».

Le débat sur le cloud n'est pas clos

Le cadre d’évaluation de la souveraineté de la CADA peut aider les administrations publiques à comprendre leur vulnérabilité. Cependant, la question est de savoir quelles conséquences pourraient découler de cette analyse initiale. Cela ressort clairement du débat sur le système de certification de la cybersécurité dans le cloud de l’UE (EUCS), qui est au point mort depuis des années, en partie parce que les États membres et la Commission ont tenté d’intégrer des choix politiques controversés, tels que la localisation des données et l’immunité vis-à-vis de la législation des pays tiers, au sein d’un processus de certification technique. Comme le cep l’a fait valoir dans des travaux antérieurs, l’établissement d’exigences en matière de souveraineté relève de décisions législatives qui nécessitent un examen parlementaire approprié, une analyse d’impact et une base juridique claire. Importer en bloc dans la CADA l’approche EUCS en matière de cybersécurité, qui est imparfaite et a tout simplement échoué, risquerait de répéter la même erreur dans un nouveau cadre. L’état actuel du marché du cloud lié à l’IA ne justifie pas de préférences d’achat radicales : par exemple, les prix n’ont cessé de baisser au cours des deux dernières décennies, et la plupart des entreprises européennes ont aujourd’hui recours à des stratégies multicloud.

Selon Philipp Eckhardt, expert au cep et économiste au sein du département Technologies de l'information du cep : « L'EUCS a échoué parce que les choix les plus controversés ont été délégués à un organisme technique dépourvu du mandat ou de la légitimité nécessaires pour les prendre. La CADA a besoin d'un cadre législatif clair pour toute exigence de souveraineté qu'elle introduirait, un cadre qui fasse la distinction entre les systèmes véritablement sensibles des entités du secteur public et des opérateurs d'infrastructures critiques, et la grande majorité des cas d'utilisation du cloud où la priorité devrait être donnée à la concurrence, à la portabilité et au prix ». Il souligne qu’une telle distinction est décisive pour plusieurs raisons. Premièrement, l’instauration généralisée d’exigences de souveraineté ne ferait que renchérir les marchés publics et risquerait de gaspiller l’argent des contribuables. Deuxièmement, cela alourdirait la charge bureaucratique croissante pesant sur les procédures d’appel d’offres et, troisièmement, risquerait de créer de nouveaux compromis entre des objectifs de passation de marchés très différents. « Une politique industrielle légitime ne devrait pas primer sur la politique de concurrence, en particulier lorsque les fournisseurs européens s’appuient eux-mêmes sur des puces et des logiciels étrangers. »

Puces électroniques : le problème de la demande

La Commission reconnaît que la première version de la loi sur les puces électroniques (Chips Act) a donné de bons résultats en matière d’infrastructures de recherche, mais n’a permis que des progrès « limités » en ce qui concerne l’autonomie réelle de la production. Étant donné que les usines européennes de fabrication de puces sont confrontées à des coûts de construction plus élevés, à des procédures d’autorisation plus longues et à une pénurie de main-d’œuvre qualifiée par rapport à leurs concurrents d’Asie de l’Est, une nouvelle version de la loi sur les puces électroniques (Chips Act 2.0) doit également aborder la question de la demande : sans grands clients nationaux pour les puces conçues et fabriquées dans l’UE, les nouvelles capacités de production ne seront pas viables sur le plan commercial à court terme. Matthias Kullas, expert en semi-conducteurs au cep, commente : « Compte tenu de la situation géopolitique actuelle, l’Europe doit devenir plus autonome en matière de production de puces. L’accent accru mis par la Chips Act II sur la demande de puces européennes pourrait envoyer un signal crédible aux investisseurs pour qu’ils s’engagent dans de nouvelles usines. Le défi consistera à remédier aux faiblesses du côté de l’offre à moyen terme. »

Trois recommandations à l'intention des législateurs

Open source : l'« instrument de maintenance » est une bonne idée, mais l'enveloppe financière, actuellement estimée par la Commission à 2 milliards d'euros sur sept ans, provenant de sources publiques et privées, est insuffisante pour une stratégie censée remplacer 264 milliards d'euros de dépenses informatiques annuelles dans des solutions propriétaires. La Commission devrait lier explicitement le financement aux obligations liées au cycle de vie de la maintenance, et pas seulement au lancement de projets.

La CADA : les évaluations des risques liés à la souveraineté pour les administrations publiques peuvent constituer un exercice utile pour faire face au climat géopolitique actuel et renforcer la résilience européenne. Si les entreprises et/ou les administrations publiques sont tenues de se conformer à des critères de souveraineté spécifiques, ces obligations devraient toujours être établies par le législateur. De telles exigences ne devraient pas être déléguées à des actes d’exécution ou à des systèmes de certification. En outre, pour renforcer la souveraineté de l’Europe dans le domaine numérique, le recours aux marchés publics ne devrait être utilisé que de manière limitée et se restreindre à des domaines étroitement définis liés à la sécurité.

La loi « Chips Act 2.0 » : les « gigafactories » d'IA et les zones d'accélération des centres de données ne sont utiles en tant que demande de référence que si les règles de passation des marchés sont rédigées pour les soutenir. Sans préférences contraignantes pour le matériel d'origine européenne lorsqu'il existe et qu'il est compétitif en termes de qualité, l'argumentaire d'investissement en faveur de nouvelles usines en Europe reste fragile.

Conclusion

Dans son ensemble, le paquet « souveraineté technologique » constitue la tentative la plus cohérente que la Commission européenne ait entreprise jusqu’à présent pour remédier aux dépendances technologiques structurelles. Cela ne signifie pas pour autant qu’il soit exempt de risques. Une souveraineté recherchée par le biais de préférences en matière de marchés publics et de certifications protectionnistes engendre des industries protégées, et non compétitives. L’UE en a déjà fait l’expérience dans des secteurs allant des panneaux solaires à l’acier. Cependant, la souveraineté n’est pas un choix manichéen entre ouverture et autosuffisance. Lorsqu’elle est mise en œuvre correctement, elle implique le développement de capacités dynamiques, telles que des talents en ingénierie, des capitaux et une base industrielle, qui permettent à l’Europe d’être compétitive selon ses propres termes. Une Europe qui gagne en excluant la concurrence n’a pas résolu ses problèmes technologiques, elle les a simplement reportés. L’ambition de l’Europe doit être d’être compétitive sur la base de la qualité de ses technologies. Il s’agit certes d’un objectif ambitieux, mais c’est le bon.