« Le but du local first, c’est aussi de ne pas être dépendant d’un prestataire »

Quel regard portez-vous sur les mobilisations actuelles de l’État et des acteurs privés pour construire une « souveraineté numérique » en France et en Europe ?

Il y a beaucoup d’effets d’annonce et de buzz, il faut le reconnaître. Même après un sommet comme celui de Berlin en novembre, beaucoup de questions subsistent : sur la place exacte de l’open source, sur le respect du chiffrement de bout en bout, sur les pays qui vont être capables de se mobiliser collectivement… Au niveau de l’ensemble des solutions technologiques existantes, on ne peut pas nier qu’il existe encore des trous dans la raquette pour couvrir tous les besoins, mais la maturité et les réponses arrivent progressivement sur le marché. C’est pour cela que nous sommes dans un moment important pour soutenir les initiatives de l’écosystème. Je trouve que l’État a mis trop longtemps à s’intéresser au sujet, et parfois certaines de ses décisions peuvent encore laisser perplexe. D’autant plus qu’en parallèle, on a un problème en France avec le terme « souveraineté », son acceptation et son utilisation…

Dans ce contexte, je pense que nous n’en sommes évidemment pas au stade où nous allons faire passer 60 millions d’utilisateurs de Google ou Microsoft à des solutions open source qui manquent encore de visibilité ; le pays n’est pas prêt. Mais il faut bien dire que, sur certains sujets et usages, nous sommes au contraire prêts et qu’il est possible d’agir dès à présent pour réduire les dépendances vis-à-vis des GAFAM. La part de marché possible pour le « post-GAFAM » est énorme, mais il faut s’associer pour y parvenir. On doit avoir les moyens de partager les responsabilités, d’avancer plus loin ensemble, plutôt que de tout refaire chacun de notre côté. C’est pour cela que l’open source est la base.

NextGraph fait partie de ces réponses opérationnelles ?

NextGraph est un système décentralisé et chiffré de bout en bout qui permet notamment aux développeurs de bâtir des applications dans une optique « local first ». À partir de standards ouverts, nous proposons des référentiels de données auxquels il est possible d’accéder à tout moment, de n'importe où, en ligne ou hors ligne, et qui se synchroniseront et fusionneront toujours sans conflit. C’est un moyen différent de proposer une forme de « cloud » sécurisé qui respecte vraiment la confidentialité.

La genèse de ce projet date de ma prise de conscience du fait que l’utilisateur n’a pas le contrôle sur sa vie numérique et qu’il est bien trop soumis aux applications et aux choix réalisés par ceux qui les éditent. En 2013, les révélations de Snowden ont montré à tous que le fait d’être accro aux big tech pose des problèmes quand les services de renseignement américains viennent y piocher ce qu’ils veulent. C’est préoccupant pour les individus, mais ce n’est pas idéal pour le business non plus, quand on se retrouve sur des projets face à des concurrents américains. Les manipulations économiques qui peuvent découler de la surveillance massive des données constituent un sujet de sécurité pour les entreprises.

La réponse a donc été le « local first » ?

Les premières expérimentations n’ont pas permis de proposer une vraie réponse décentralisée. Mais vers 2020, la technologie CRDT (Conflict-free Replicated Data Type) est apparue. Cela a ouvert des possibilités pour sortir des conflits sur les données et maintenir une cohérence sans les synchronisations habituelles. C’est ce qui a permis de faire décoller le mouvement « local first », dont l’objet est de déplacer le logiciel du serveur vers le client — le terminal de l’utilisateur — tout en gardant les avantages en termes d’usage qu’a démocratisés le cloud. C’est ce qu’ont commencé à faire des applications de chat, mais l’idée est d’étendre ce fonctionnement à toutes les applications professionnelles, comme les CRM, les ERP, etc. Aujourd’hui, nous proposons par exemple aux développeurs un SDK pour transformer une application existante en sa variante local first.

Comment cette approche est-elle accueillie en Europe ?

En début d’année, j’ai appris que nous allions bénéficier d’une subvention de la DG Connect (Direction générale des réseaux de communication, du contenu et des technologies, le département de la Commission européenne en charge de la politique numérique de l’UE, NDLR) dans le cadre du projet Open Internet Stack (OIS). Ce programme vient d’être lancé pour prendre la suite de l’initiative NGI (Next Generation Internet), qui a duré huit ans. Les objectifs sont désormais beaucoup plus clairement orientés vers l’autonomie stratégique en utilisant l’open source. Nous avons deux à trois ans pour passer un cap. Nous voulons profiter de cet élan pour mieux réunir les acteurs compatibles au sein de notre consortium ELFA afin de proposer une plateforme avec des fonctions pour les utilisateurs finaux. C’est déjà le cas, par exemple, avec CryptPad sur la partie traitement de texte et tableur… Ils mettent à jour leur technologie et transforment leur produit pour faire profiter du local first à un million d’utilisateurs.

Vous avez participé récemment au FOSDEM, le plus grand évènement du logiciel libre, en co-organisant la partie consacrée au « local first ». Qu’en retirez-vous ?

C’est effectivement la plus grande rencontre open source non seulement en Europe, mais dans le monde. Le cœur de l’audience est composé d’ingénieurs et de chercheurs européens qui se réunissent durant deux jours à l’Université libre de Bruxelles, mais de nombreuses autres conférences sont organisées la même semaine par des associations professionnelles ou politiques. On parle de 10 000 participants et de 30 conférences qui ont lieu en parallèle sur le même créneau. Nous avons pu mener 25 présentations sur le local first et la salle était pleine à chaque fois.

Le terme « local first » plaît, il attire l’attention. Mais on doit rassurer les professionnels qui craignent qu’un tel changement de paradigme implique de devoir « tout refaire » sur un système. Le cœur de nos explications porte donc bien sur le fait que ce n’est pas l’application qui change, seulement sa partie « backend ». On évite les API qui parlent à un serveur distant pour créer des liens en local. Ce qui rassure, je pense, c’est que les CRDT sont une technologie mature : les bases de données avaient fortement besoin d’évoluer dans leur approche sur la disponibilité et les mises à jour des données, et cela a été le travail de nombreux chercheurs pendant des années.

Au-delà des préoccupations en termes de dépendances technologiques et de souveraineté, qu’est-ce qui mobilise les organisations à se poser la question du « local first » ?

Ce qui intéresse les gens, ce n’est pas seulement la performance en local, c’est la résilience en cas de cyberattaque, d’incident physique ou numérique. Le cloud a créé de la dépendance et a fait perdre à beaucoup d’entreprises la compréhension d’une résilience numérique globale. On l’a vu avec les pannes mondiales provoquées ces derniers mois par Cloudflare ou d’autres acteurs devenus systémiques… De plus en plus d’organisations recherchent donc les moyens de ne plus être privées d’accès à leurs systèmes.

Nous travaillons par exemple avec une start-up française, omyn.ai, qui s’adresse aux hôpitaux ne souhaitant pas être dépendants de leur connexion internet pour faire fonctionner leurs systèmes. Aujourd’hui, si un acteur cloud coupe ses services pour une raison ou une autre, plus rien ne fonctionne. Mais les progrès faits sur le local first rebattent les cartes : il est possible de tout faire en local… y compris de l’intelligence artificielle ! Le but du local first, c’est aussi de ne pas être dépendant d’un prestataire : rendre simple et effective la portabilité des données. Le protocole IP comprend ce type de transfert : pas besoin d’un nom de domaine pour NextGraph, par exemple. Et la recherche s’oriente aujourd’hui vers le transfert de données sans Internet… Demain, il sera donc peut-être possible d’aller encore plus loin en termes d’autonomie.

Quels sont les grands rendez-vous pour NextGraph en 2026 ?

Nous aurons une première version utilisable de notre plateforme d’espace de travail cet été. Nous cherchons évidemment des financements complémentaires, en subventions mais aussi via du mécénat privé en France. Nous aimerions faire émerger une fondation privée pour accepter les contributions pour le consortium ELFA, car on ne peut pas se limiter ni se satisfaire du financement public. Pour rester indépendants, nous ne voulons pas entrer dans une logique d’investissement classique. En France, NextGraph est une association loi 1901 de deux personnes : l’année 2026 sera aussi consacrée au recrutement, et nos partenaires dans le consortium font de même. Cela va démultiplier nos moyens. J’aimerais en parallèle mettre en avant notre base d’utilisateurs dans les entreprises. Nos « early adopters » sont les acteurs les plus à risque : PME devant protéger des données critiques, journalistes, avocats, médecins, dirigeants de grandes entreprises… Demain, nous irons vers le BtoC, mais la transition ne sera pas immédiate.

Quel est pour vous le message important à faire passer aux directeurs du numérique aujourd’hui ?

Savez-vous vraiment où sont les données de votre organisation et qui peut les lire ? Car elles seront lues par d’autres. Cela se fera de manière délibérée, avec de l’espionnage économique, ou involontaire, dans le cas d’une fuite de données. C’est pourquoi faire une analyse de risque sérieuse de vos dépendances est important, et le chiffrement de bout en bout essentiel. Toutes les organisations ont le droit d’éviter que leurs données soient lues par leurs concurrents…