3a Ed. 'Geopolítica en la agenda del Consejo' | Tecnología: gobernanza, disrupción y soberanía (III)
Audio Summary
AI Summary
Le cycle de conférences, organisé conjointement par le Centre de Gouvernance d'entreprise de ESADE Madrid et ESADE Geo, aborde la place prépondérante de la géopolitique dans les ordres du jour des conseils d'administration. Après avoir traité de la sécurité et des chaînes d'approvisionnement, cette troisième journée se concentre sur la dimension technologique, en soulignant son caractère transversal et sa connexion avec l'ensemble des risques géopolitiques.
Raquel Jorge, Directrice des Affaires Européennes et du Bureau Bruxellois de A Digital, éclaire la vision européenne de la géopolitique de l'innovation. Elle rappelle le concept d'autonomie stratégique, évoqué il y a deux ans, et la feuille de route "Resilient 2030" qui identifiait trois scénarios de technologies critiques pour assurer cette autonomie. Ces scénarios concernent les technologies où l'Europe a une valeur ajoutée compétitive (engrais organiques, biotechnologies, médicaments innovants, décarbonation, cybersécurité, IA), celles où elle a un potentiel de leadership (serveurs de données, nouvelles éoliennes, batteries, services numériques), et celles où elle doit au moins disposer d'une capacité critique minimale (panneaux solaires, semi-conducteurs). Elle illustre la difficulté de leadership européen dans certains domaines, comme celui des semi-conducteurs où TSMC considère l'Union Européenne comme un client plutôt qu'un fournisseur. Le Rapport sur les Risques Mondiaux du Forum Économique Mondial identifie pour la première fois la confrontation géoéconomique comme le premier défi pour les entreprises à court terme.
Deux tendances fondamentales sont mises en avant : la sécurité économique et la souveraineté technologique. La sécurité économique se manifeste par des mesures coercitives et leur impact sur les entreprises. Un exemple concret est la règle de diffusion de l'intelligence artificielle du Département du Commerce des États-Unis, qui, bien que de courte durée, a révélé la complexité de la gestion des exportations technologiques et la fragmentation du traitement des données au sein de l'Union Européenne. La stratégie de sécurité économique de la Commission Européenne repose sur trois piliers : promouvoir, protéger et partenariat, avec quatre axes de travail : résilience des chaînes d'approvisionnement, sécurité des infrastructures critiques, sécurité et fuites technologiques, et coopération économique. Des propositions sont en cours pour renforcer le contrôle des investissements directs étrangers, superviser les investissements sortants de l'Europe, et contrôler les exportations de biens à double usage. La recherche et développement ainsi que la sécurité de la recherche scientifique sont également renforcées.
La souveraineté technologique, un concept plus récent que l'autonomie stratégique, se décline en souveraineté numérique et européanisation de la production. La Commission Européenne prépare un "paquet de souveraineté technologique" comprenant des propositions réglementaires sur les semi-conducteurs et le cloud, une feuille de route stratégique pour la numérisation et l'IA dans l'énergie, et une stratégie de codage ouvert. Le modèle de sécurisation du cloud pour les institutions publiques européennes, appelé "Digit Digit", est présenté comme une référence potentielle pour les entreprises, définissant huit objectifs de souveraineté : stratégique, légale et juridictionnelle, des données et IA, opérationnelle, de chaîne d'approvisionnement, technologique, de conformité et sécurité, et environnementale. Ces objectifs sont ensuite évalués à travers cinq niveaux de souveraineté, allant de la non-souveraineté à la souveraineté numérique totale.
L'impact sur les entreprises est multiple : gestion des contrats et des fournisseurs, résilience des chaînes d'approvisionnement, existence de filiales dans des pays tiers, affaires publiques, migrations de services cloud, réputation et cybersécurité. Le rôle des conseils d'administration est crucial dans l'anticipation de ces risques et dans la définition de stratégies d'adaptation. L'écosystème des entreprises, y compris les partenariats avec les PME et startups, est également un facteur clé.
Juan Boscoso del Prado, conseiller auprès de l'INRA et membre senior de SADE, souligne le changement de paradigme avec une intensification de la relation public-privé dans un contexte géopolitique nouveau. Les entreprises ne peuvent plus agir seules face aux réglementations et aux décisions publiques concernant la souveraineté technologique et la sécurité économique. L'Union Européenne lance des initiatives comme la directive sur l'accélération industrielle pour contrôler les investissements étrangers productifs. Cependant, Juan Boscoso exprime des doutes quant aux instruments dont dispose l'Europe pour mettre en œuvre ces politiques, soulignant un manque de souveraineté financière et de capacité à générer des investissements massifs dans les technologies d'IA, contrairement aux États-Unis. Il met en avant le besoin d'une union des marchés de capitaux pour financer les initiatives technologiques européennes. La numérisation ne doit pas être confondue avec l'amélioration de la souveraineté technologique.
Maite Arcos, conseillère auprès de Nagas et directrice générale de la Fondation Esis, aborde la souveraineté énergétique. Elle rappelle que la souveraineté ne signifie pas autarcie, mais la capacité de choisir librement. L'Europe, historiquement dépendante des énergies fossiles, a géré ce risque par la diversification des sources d'approvisionnement. Elle s'inquiète du discours identifiant la souveraineté à l'autarcie, ce qui pourrait entraîner des coûts économiques et des retards technologiques. La réforme de la loi sur la cybersécurité (NIS 2) et la proposition de la Commission Européenne de janvier 2026 visent à renforcer la sécurité de la chaîne d'approvisionnement et à se méfier de certains fournisseurs. Cependant, l'absence d'analyse d'impact économique et la question de qui supportera les coûts de ces décisions sont préoccupantes. Elle souligne que le coût de la sécurité économique et nationale est supporté par les entreprises privées, sans que les institutions démocratiques aient toujours une vision claire des conséquences. La diversification reste un outil essentiel à court terme.
Juan Boscoso revient sur le concept de technologies à double usage, expliquant que la notion de sécurité a évolué de la sécurité traditionnelle (armement) vers la sécurité économique. Les dépenses de cybersécurité et les équipements numériques prennent une part croissante des budgets de défense. Il cite l'exemple du département de la Défense américain qui a restreint l'utilisation de certains algorithmes cloud pour des raisons de sécurité nationale. La situation devient de plus en plus floue, et la dépendance à l'égard de certains pays pour des matières premières critiques, comme la Chine pour les F-35, complexifie le scénario. Il insiste sur la nécessité d'un plan en cas de blocage commercial absolu, même si ce scénario n'est pas souhaité. La nouvelle loi espagnole sur l'industrie, qui prévoit des réserves stratégiques de capacités, pourrait être une réponse, mais son coût est élevé.
Raquel Jorge conclut en soulignant le rôle des États membres dans l'harmonisation du marché unique. La directive NIS 2, en cours de transposition, vise à intégrer les approches nationales et à éviter les "plaquages or" (obligations supplémentaires dans certains pays). La proposition de loi sur la cybersécurité, en tant que règlement, devrait garantir une application uniforme.
Maite Arcos aborde la cybersécurité, affirmant qu'il n'y a pas de risque zéro dans le monde numérique. Les conseils d'administration ont une responsabilité non-déléguable en matière de cybersécurité, devant approuver les stratégies, équiper adéquatement les équipes et former le personnel. Les conséquences d'une cyberattaque, ou même d'une erreur technique, peuvent être dévastatrices financièrement, réputationnellement et juridiquement. Les conseillers doivent comprendre l'impact de ces risques sur leur entreprise, au-delà des aspects techniques.
La discussion se tourne ensuite vers la dimension humaine : les gens, le talent technologique, et la requalification professionnelle. Raquel Jorge mentionne l'article 4 du règlement européen sur l'IA, qui traite de l'alphabétisation numérique, et le débat actuel sur son caractère obligatoire ou volontaire. Elle souligne l'importance pour les dirigeants de comprendre les risques liés à l'utilisation de l'IA, notamment pour éviter les mauvaises décisions lors de l'établissement de contrats ou de propositions de produits financiers. Juan Boscoso ajoute que les entreprises sont confrontées à un déficit d'approvisionnement en talents, et que la formation et la requalification sont essentielles. Il met en évidence le rôle des États-Unis dans l'attraction des talents chinois et le défi pour l'Europe de maintenir sa compétitivité. Maite Arcos insiste sur l'importance de l'alphabétisation à l'utilisation de l'IA et la nécessité du développement de l'esprit critique.
En conclusion, la souveraineté technologique est coûteuse et nécessite des investissements massifs. Il n'existe pas d'alternative absolue à ce scénario, et les décisions doivent être prises en tenant compte des coûts et des bénéfices. La cybersécurité est une responsabilité non-déléguable des conseils d'administration, essentielle à la survie économique des entreprises. La gestion des risques, la diversification et l'harmonisation des réglementations sont des éléments clés pour naviguer dans ce paysage géopolitique complexe.