Alors que la crise sanitaire actuelle pousse l’Europe à réfléchir aux moyens techniques et économiques de sa souveraineté, elle vient déjà de franchir une étape cruciale avec l’adoption d’un référentiel commun en matière de cloud computing, appelé Gaia-X avec des services attendus dès 2021.

Le cloud computing « mondialisé » a montré ses limites, verrons-nous dans un premier temps ; Gaia-X constitue une réponse crédible de l’Europe.

Les limites du cloud mondialisé

Le modèle unique d’un cloud mondial unique avec un service qui soit le même pour tous ne résiste pas aux contraintes légales nationales qui se développent partout dans le monde.

C’est d’abord et surtout le Cloud Act, adopté le 23 mars 2018, qui a marqué un tournant très fort.

Le Cloud Act est l’acronyme de « clarifying lawful overseas use of data act », signifiant en français : loi de clarification du transfert légal de données Outre-mer. Certes, sous contrôle du juge, toute société de droit américain doit désormais fournir de telles informations, indépendamment de la localisation physique de l’information. Le Cloud Act s’applique à toute « United States person », définie très largement comme étant pour les personnes morales, toute société de droit américain, filiale étrangère incluse.

Comme cela a été mis en exergue par le député Raphaël Gauvain dans un rapport remis au Premier ministre, et plus récemment dans une ordonnance du Conseil d’Etat, cette loi,[paywall] conjuguée aux législations à vocation extraterritoriale de lutte contre le terrorisme, la corruption ou encore la contrefaçon, peut permettre un accès à un nombre d’informations considérable.

L’onde de choc a été très importante et l’émergence de législations équivalentes dans d’autres Etats a renforcé les craintes de nombres entreprises cherchant alors par des clouds privés coûteux, à défaut de clouds souverains, à relocaliser et cloisonner autant que faire se peut leurs données stratégiques.

Le Contrôleur européen et le CEPD ont déjà exprimé leur inquiétude sur le Cloud Act. Leur principale recommandation est que le prestataire, dès lors que cela peut être envisageable par cette loi, devrait s’engager par contrat à en contester la mise en œuvre auprès du juge compétent. Le 2 juillet 2020, le Contrôleur ne devait finalement relever que de modestes progrès du côté des documents contractuels Microsoft pour les institutions européennes. Le 16 juillet 2020, l’arrêt dit Schrems II a annulé la décision d’adéquation qui permettait à toute société américaine « auto-certifiée » aux standards RGPD d’exporter sans autre formalité des données à caractère personnel outre-Atlantique.

L’heure d’un cloud souverain européen a véritablement sonné.

Gaia-X : un référentiel commun

Avant d’envisager un cloud souverain, il a été tiré les conclusions de l’échec des initiatives nationales, notamment en France. Proposer un service standard déconnecté du réel besoin du marché, tout en contraignant des concurrents à travailler ensemble, ne peut que mener à l’échec.

C’est donc sur la base d’un cadre résolument plus souple et mieux connecté aux attentes des clients que l’initiative européenne devait se construire tout en affirmant la souveraineté numérique européenne. Les lignes directrices du cloud européen Gaia-X sont désormais connues. Le projet européen répond à trois principaux objectifs :

  • Concrétiser la conception technique et économique des infrastructures ;
  • Créer un écosystème commun d’utilisateurs et de prestataires issus d’organisations de l’administration publique, de la santé publique, des entreprises et des institutions scientifiques ;
  • Créer un cadre favorable et des structures de soutien.

Empruntant son nom à la déesse grecque de la Terre, Gaia-X a vocation à devenir une plateforme d’offres multi-services, multi-prestataires de stockage des données.

Gaia-X se présente comme un « méta cloud » en ce qu’il fixe un référentiel technique commun à tous les adhérents à la fondation, structure juridique qui le porte. Cette plateforme offrira à terme un catalogue de services numériques porté par des hébergeurs et des éditeurs de logiciels, préalablement engagés autour de standards visant à renforcer la confiance des utilisateurs.

Gaia-X fonctionnera autour de trois principes :

  • Interopérabilité : les plateformes doivent communiquer entre elles, sans placer le client dans une situation de trop forte dépendance technique. Il s’agit aussi de la réversibilité des données. Les utilisateurs pourront récupérer leurs données hébergées chez un fournisseur pour les transférer chez un autre fournisseur, et ce grâce à des API aisément configurables ;
  • Transparence : les entreprises devront indiquer le lieu de stockage des données et d’implantation des data centers ;
  • Confiance : chaque membre de la fondation doit faire certifier[11] tout ou partie des services proposés.

Seules les offres répondant aux normes de sécurité, d’intégrité et de protection des données du projet y seront alors proposées.

Gaia-X ne ferme pas la porte aux acteurs non européens qui respecteraient les normes de confidentialité les plus strictes.

Gaia-X est la réponse à la fois technique, commerciale et juridique au cloud act américain. La méthode Monnet-Schuman, dite des « petits pas », reposant sur la réalisation de projets concrets devrait, une fois encore, faire ses preuves dans la construction d’une souveraineté numérique européenne.

Source : https://alters-media.fr/2020/12/03/gaia-x-vers-un-cloud-souverain-europeen/

elementum eleifend tristique ipsum consequat. id,