Emmanuel Sardet (Cigref) : « Notre autonomie stratégique doit se construire maintenant »

Un an après son élection à la présidence du club, Emmanuel Sardet dresse un premier bilan. Entre dépendances numériques, surabondance réglementaire, initiatives européennes, il appelle les grandes entreprises et administrations à développer leur autonomie stratégique et à jouer un rôle dans l’émergence d’un écosystème numérique européen crédible, au bénéfice de la croissance et de l’innovation.

---

Entretien avec Emmanuel Sardet, Président du Cigref

---

Comment conciliez-vous votre rôle de président du Cigref (Club informatique des grandes entreprises françaises) avec vos responsabilités professionnelles au Crédit Agricole ? Qu’est-ce que cela vous apporte ?

Les deux rôles sont très synergiques. Certes, cela prend plus de temps que si je me consacrais uniquement à mon métier, mais la richesse est réelle : l’intelligence collective, le contact avec l’écosystème, les travaux d’influence, les réflexions communes… C’est d’ailleurs pour cela que le Crédit Agricole est adhérent du Cigref : cela complète et nourrit mon action au sein du Groupe.

Le rôle de président et celui que chacun exerce dans son entreprise ou son administration constituent un voyage commun. Un voyage qui enrichit, qui fait grandir, et qui donne plus de sens à nos responsabilités respectives.

L’étude du Cigref sur les dépendances numériques a suscité le débat, mais elle les a surtout chiffrées : 264 Md€ de coûts pour l’Europe. Quelle était la finalité de ce travail et quelles suites en tirez-vous ?

Cette étude n’était bien sûr pas là pour apprendre à nos adhérents qu’ils étaient dépendants : chaque DSI en a une conscience intime au moment de reconduire un budget ou d’intégrer une innovation. L’objectif était de prendre conscience collectivement de cette situation et de proposer pour la première fois un cadre de mesure. C’est assez frappant : il n’existe pas d’outil pour évaluer ces flux, qui échappent aux balances commerciales.

Certes, la méthode a ses biais et ses approximations, mais elle tend la main aux décideurs publics, aux fournisseurs et aux consommateurs que nous sommes : si l’on veut que ce cadre normatif soit utile, il faut l’améliorer ensemble.

Surtout, c’est un appel à l’action concrète, opérationnelle : comment mieux orchestrer notre autonomie stratégique ? Cela veut dire réduire les risques, planifier, quantifier la dépendance, se donner des marges de manoeuvre et explorer les alternatives. Certains évoquent 10, 15 ou 20 % d’achats européens. Le vrai enjeu, c’est de transformer cette intuition quotidienne en stratégie de résilience et d’autonomie.

Quel distinguo faites-vous entre autonomie stratégique et souveraineté européenne ?

L’autonomie stratégique, c’est le traitement concret des risques de dépendance, qui nous font perdre nos marges de manoeuvre, favorisent les positions dominantes et freinent l’innovation. C’est le vrai sujet pour les entreprises et les administrations. La souveraineté, elle, est attachée à un territoire et à un État, ou à une délégation d’autorité au niveau européen. Beaucoup d’acteurs ont donc un agenda de souveraineté, car nous opérons sur un territoire, en France, en Europe, avec nos collaborateurs et nos ressources locales. Mais tout ne passe pas par un écosystème souverain.

Être un fournisseur européen ne fait pas toujours de vous un modèle. Demandez aux DSI industriels confrontés aux éditeurs de progiciels supply chain : leurs pratiques ne sont pas toujours plus vertueuses que celles des grands acteurs américains du cloud. Mais le Cigref en est convaincu, c’est avec une alternative crédible, européenne plutôt que nationale, que nous créerons de la valeur et réduirons les risques de dépendance.

Vous avez mis en garde contre la multiplication des réglementations et l’inflation de charges administratives qui en découle. Comment éviter que les entreprises soient étouffées par NIS 2, DORA, CRA et autres textes européens ?

Le risque, c’est d’empiler les textes comme des poupées gigognes, sans logique d’ensemble. Aujourd’hui, le SecNumCloud en France, l’EUCS au niveau européen… On additionne ou on juxtapose des cadres, chacun avec ses spécificités. Et pour les grandes entreprises qui opèrent dans plusieurs pays, c’est vite infernal.

Notre priorité, depuis un an, c’est de travailler au niveau européen avec nos associations soeurs – Beltug en Belgique, Voice en Allemagne, CIO Platform Nederland. Nous ne sommes que quatre, alors qu’il pourrait y en avoir vingt-sept, mais cette union est essentielle (les secondes rencontres numériques de Strasbourg, organisées en avril dernier avec Numeum, ont accueilli pour la première fois ces trois associations « soeurs » du Cigref.). Nous voulons pousser une voie unifiée, pour éviter une fragmentation réglementaire coûteuse et inefficace.

Un autre combat, c’est de repousser la charge de la conformité vers les fournisseurs. Il n’est pas acceptable qu’ils accèdent au marché européen sans intégrer ces règles by design. Aujourd’hui encore, quand on demande à un fournisseur : « Quelle est votre offre pour une banque en Europe soumise à DORA ? », il répond : « Voici mon produit, et ensuite on verra comment vous vous mettez en conformité. »
Même chose avec le CRA (Cyber Resilience Act). S’il n’est pas appliqué correctement, il risque d’augmenter la charge des DSI au lieu de les soulager de certains risques.

Il faut que la conformité devienne un argument commercial : les acteurs qui intégreront ces exigences dès la conception gagneront en attractivité. Et en parallèle, nous travaillons avec les régulateurs pour simplifier : réduire la complexité, harmoniser au niveau européen, éviter qu’il y ait vingt-sept implémentations différentes. Les États-Unis le font pour eux, la Chine le fait pour elle. L’Europe doit en être capable aussi.

Après l’acquisition de VMware par Broadcom, vous avez alerté la Commission européenne sur les risques de pratiques anticoncurrentielles. Comment anticiper et se prémunir de ce type de dépendances critiques ?

L’histoire Broadcom était à la fois inacceptable, prévisible et attendue. Non pas que ce soit dans l’ordre des choses, mais parce que la stratégie de Broadcom était limpide dès son annonce du rachat de VMware en mai 2022. Elle a été exécutée point par point : hausse brutale des prix, suppression d’offres ou de produits, clients placés devant le fait accompli.

Ce n’est pas illégal à ce stade. Nous avons saisi la Commission européenne avec nos homologues européennes dès 2022, mais pour Bruxelles, « même si un fournisseur fait x 5 000 sur ses tarifs, ce n’est pas une preuve de position dominante ». Le vrai sujet n’est pas seulement le prix, c’est l’ensemble des leviers employés pour verrouiller le marché.

Comment s’en prémunir ? Certaines grandes entreprises, comme le Crédit Agricole, ont les moyens de décider une sortie de produits, même si cela fait très mal. Mais si l’entreprise est petite ou moyenne, elle subit beaucoup plus. Il faut donc préparer en amont des alternatives, y compris des ruptures brutales.

C’est une culture que nous n’avons pas encore en Europe : nous aimons les relations de long terme, de confiance avec nos fournisseurs. Mais il va falloir apprendre à faire différemment. Exiger la portabilité, inscrire dans les contrats l’absence de frais de sortie. Et s’appuyer sur des socles réglementaires comme le Data Act (adopté en 2023, qui impose la portabilité des données et encadre l’accès aux données industrielles) pour rééquilibrer les rapports de force.

Le vrai risque, c’est que le succès boursier de Broadcom inspire d’autres fournisseurs dans l’IA, la data ou le cloud. Il faut donc panser nos blessures, mais surtout se préparer à éviter d’autres « cas Broadcom » dans les cinq ans qui viennent.

Vous avez soutenu Eurostack et la Suite numérique, portés par la Dinum, en tant qu’alternatives européennes. Quels rôles peuvent-elles jouer pour les DSI et avec quelles limites ?

Ces initiatives, toutes imparfaites qu’elles soient, sont à saluer. Leur objectif, c’est de faciliter l’apparition d’un cadre qui permette aux DSI de gagner du temps. Elles peuvent choisir une solution en sachant qu’elles n’auront pas à le regretter plus tard en termes de conformité ou de protection.

Certains voudraient que ce soit un supermarché idéal, bien organisé et garanti par l’État. Ce n’est pas le vrai monde. La réalité, c’est que vous ouvrez le supermarché, et vous découvrez que la grande allée est surtout remplie de produits américains… Ce sont eux qui sponsorisent la logistique. Cela ne veut pas dire que l’idée est mauvaise. Au contraire, il faut se dire : prenons-nous en main. Les grandes entreprises et administrations ont la capacité de se fédérer, d’adopter des comportements qui favorisent l’émergence d’acteurs européens crédibles, sans attendre uniquement des initiatives publiques. Regardez GAIA-X : cela donne un cadre normatif, bien construit, pour que des entreprises et acteurs publics partagent en confiance, et cela a permis l’éclosion d’un écosystème d’acteurs de solutions et services. C’est vertueux.

Mais il y a un travers typiquement européen – et français – qui consiste à subventionner l’incertitude du marché et à espérer que les champions soient désignés à l’avance. Le rôle de l’action publique, c’est plutôt d’être exemplaire : appliquer elle-même les solutions qu’elle promeut et éviter de morceler l’écosystème. Nous avons besoin de consolidation, pas de dispersion. Un acteur uniquement français ou allemand ne nous sert à rien. Il en faut qui soient capables d’entrer en compétition au niveau européen, avec des écosystèmes solides, crédibles, et soutenus par des comportements d’achat cohérents des grandes entreprises.

L’apparition de nouvelles régulations européennes suppose des compétences accrues. Comment le Cigref peut-il aider les DSI et leurs équipes à s’y préparer ?

C’est un sujet central. Chaque année, nous travaillons avec près de 4 000 collaborateurs des entreprises et administrations qui participent à nos ateliers à produire des guides opérationnels : comme récemment, sur la mise en oeuvre de l’AI Act.

Nous avons aussi lancé un nouveau cycle sur la manière de comprendre et d’intégrer les règlementations européennes. La Commission européenne publie énormément d’appels à contribution. Or les entreprises y répondent en ordre dispersé, pensant que les associations professionnelles verticales le feront plus globalement pour elles. C’est une erreur car pendant ce temps, les lobbyistes sont très structurés.

Il nous faut donc contribuer plus directement, mais encore faut-il savoir comment. Est-ce le rôle des affaires publiques ? Des informaticiens ? Des juristes ? Des acheteurs ? Des risk managers ? On voit une grande hétérogénéité d’organisation selon les entreprises. Notre mission est de faire gagner du temps par la pédagogie notamment : partager des retours d’expérience, produire des publications utiles à nos membres, mais aussi aux plus petites entreprises. Le guide de l’audit des SI est devenu une référence au-delà du Cigref ; et celui des métiers du numérique est utilisé par beaucoup de DRH. Imposer ces références nous permet aussi de peser auprès des fournisseurs, pour les inciter à aligner leurs offres sur nos exigences.

Reste un chantier immense : influencer en amont la création des compétences, depuis l’université jusqu’à l’entreprise. En France, le décalage reste criant entre la formation académique et les besoins réels des entreprises. Les jeunes diplômés arrivent avec des savoirs qui ne correspondent pas toujours aux métiers créés. Cet écart à l’entrée est très compliqué à réduire.

Quels seront les grands enjeux pour l’année à venir ?

Trois priorités ressortent clairement. D’abord, renforcer encore le lien avec nos 160 membres. Le Cigref grandit, et nous devons être en prise directe avec leurs besoins réels. Nos adhérents ne veulent pas seulement que nous débattions du DMA ou de l’AI Act avec Bruxelles : ils attendent que nous transformions ces textes en outils pratiques qui leur permettent de se développer.

Ensuite, il y a un agenda européen. Nous travaillons main dans la main avec nos associations soeurs en Belgique, en Allemagne et aux Pays- Bas. L’objectif est clair : éviter une fragmentation réglementaire et peser collectivement pour simplifier et harmoniser les cadres, au bénéfice de toutes les entreprises.

Enfin, il y a la transformation de l’écosystème des fournisseurs numériques. Nous devons aider les DSI à reprendre la main sur l’adoption de l’innovation, à choisir quand et comment elle crée de la valeur, et à réduire la part des dépendances.

À titre professionnel, au Crédit Agricole, je vis cela de manière très concrète : le Groupe est ancré dans les territoires, face à des défis majeurs, mais avec une capacité unique à accompagner la rupture numérique au bénéfice de nos clients, de nos marchés et de nos pays. C’est passionnant de transformer ces défis en opportunités. Et à titre plus personnel ? Ce qui me fait courir, ce n’est pas de voir la capitalisation boursière d’un fournisseur s’envoler. C’est de constater que le numérique, lorsqu’il est bien pensé, bénéficie aux citoyens, aux entreprises et aux territoires. C’est là que réside l’aspect vertueux de notre action.

Propos recueillis par THIERRY DEROUET / Photos MAŸLIS DEVAUX

À LIRE AUSSI :

Gouvernance

Emmanuel Sardet (Cigref) : « L’autonomie stratégique numérique doit devenir un réflexe européen »

Laurent Delattre

6 Juin

À LIRE AUSSI :

Gouvernance

Entre Cigref, collectivités et éditeurs, 50 nuances de souveraineté IT en débat

Thierry Derouet

26 Sep