Si l’assureur allemand Generali continue de stocker les milliards de données de ses assurés dans ses caves d’Aix-la-Chapelle[1], ces derniers bastions d’hébergement font figure de résistance dans un monde où le stockage des données sur des clouds s’est érigé en solution privilégiée de sauvegarde des données.
Concept récent, le « Cloud Computing » (informatique infonuagique) est le fruit de deux événements consécutifs : l’augmentation de la demande informatique et l’émergence d’une filière de la sous-traitance informatique en réponse à cette augmentation. Le cloud donne lieu à des définitions variées mais la CNIL retient qu’il s’agit de « la forme la plus évoluée d’externalisation, dans laquelle le client ou l’utilisateur dispose d’un service en ligne, dont l’administration et la gestion opérationnelle sont effectuées par un sous-traitant » qui offre « une facturation à l’usage »[2] et « une disponibilité quasi-immédiate des ressources ». Le National Institute Standards and Technology (« NIST ») américain définit quant à lui le cloud comme « l’accès via un réseau de télécommunication à la demande et en libre-service, à des ressources informatiques partagées » [3]. Aux termes de ces définitions, le cloud se caractériserait ainsi principalement par son extériorité (recours à des moyens distants et extérieurs au système d’information de l’utilisateur), sa mutualisation et sa flexibilité[4].
Au cours des années 1990, en vue de recentrer leurs activités, de nombreuses sociétés commencent à faire appel à des prestataires externes spécialisés et leur confient la gestion de serveurs, la maintenance d’applications, la gestion des postes de travail, etc[5]. En 1997, le professeur de système d’information Ramnath Chellappa présente un paradigme informatique appelé « Cloud » à l’université d’Austin au Texas. Deux ans plus tard, Salesforce est la première société à commercialiser le concept avec un logiciel de relation client, suivi en 2002 par Amazon[6].
Le cloud computing soulève aujourd’hui des enjeux à plusieurs échelles. Au niveau microéconomique d’abord : en 2018, plus d’une entreprise sur quatre utilisent les services de cloud computing dans l’Union européenne[7]. Ce recours massif aux solutions offertes par la sauvegarde en nuage s’explique par les gains d’ordres économique, technique et organisationnel générés par ces solutions. Au niveau macroéconomique ensuite, le développement du cloud computing s’inscrit dans celui, plus global, de l’économie de la donnée. Le refrain est bien connu : les données sont essentielles au développement de l’économie numérique. Savoir héberger les données des entreprises européennes sur le sol européen c’est inscrire l’Union européenne dans un marché du « nuage » aujourd’hui essentiellement dominé par les entreprises nord-américaines (notamment Microsoft, Google et Amazon) et chinoises (notamment Alibaba, Tencent et Baidu) et c’est garder la main sur le traitement et l’exploitation de nos données. Schématiquement, nombreuses sont les entreprises et organismes publics européens qui font appel à des leaders mondiaux dont les data centers se trouvent aux Etats-Unis. Personnes morales soumises au droit américain, le Clarifying Lawful Overseas Use of Data Act (aussi appelé « Cloud Act ») adopté le 26 mars 2018, autorise les autorités de poursuite américaines[8] à collecter, partout dans le monde, des données hébergées par des fournisseurs de service de communication électronique américains. Alors que la scène internationale se révèle de plus en plus austère sur un fond de nouvelle guerre froide entre les Etats-Unis et la Chine, la sécurité des données au sein de l’Union européenne est remise en question. Ainsi, les risques d’espionnages industriels et de manipulation des données planent au-dessus de l’Europe telle une épée de Damoclès, laissant entrevoir une perte de souveraineté de l’Union européenne dans la gestion des données. Dans ce contexte géopolitique, un nombre croissant d’entreprises européennes souhaitent avoir recours à des data centers dont la confidentialité et la propriété des données sont protégées, soumiss au droit européen et donc situés sur le sol européen : on parle alors de cloud souverain[9]. On comprend dès lors que le cloud est dit « souverain » lorsque les données sont entièrement stockées et traitées sur le territoire d’un Etat[10].
L’hébergement des données sur le territoire : une arme de souveraineté ?
Etat des lieux du marché du cloud computing
En 2006, le mathématicien et entrepreneur britannique Clive Humbly a mis en avant l’importance capitale des données sur le plan économique et stratégique – aussi bien pour les entreprises que les États – au même titre que les ressources naturelles comme le pétrole[11]. Cependant, il faut distinguer le « cloud » d’infrastructure qui s’adresse à une population de développeurs (« IAAS » pour « infrastructure as a service » et « PAAS » pour « plateforme as a service ») et le « SAAS » (pour « software as a service ») qui met à disposition un catalogue de logiciels applicatifs destinés à une population de clients utilisateurs.
- Géré par le bénéficiaire
- Géré par le fournisseur de cloud computing[12]
Alors que la gestion des données confidentielles est capitale pour les États et les entreprises, l’Europe est presque entièrement dépendante des clouds nord-américains et asiatiques. Dans ce contexte, les entreprises et les États européens craignent cette hégémonie extra-européenne et doutent de l’exploitation en bon père de famille de leurs données par les géants américains. En effet, avec un marché de 81 milliards de dollars[13], le marché du cloud est dominé par les entreprises nord-américaines avec une montée en puissance des entreprises chinoises. Coincée entre les géants nord-américains et asiatiques, l’Europe prend conscience de la nécessité de créer un cloud pour garantir sa souveraineté économique et numérique. Les citoyens et les États membres intègrent peu à peu l’importance de la valeur économique, stratégique et éthique des données car elles renferment des valeurs précieuses et sensibles. Dès lors, ces caractéristiques des données exigent un contrôle par les autorités et ressortissants nationaux et communautaires[14].
Un marché dominé par les entreprises nord-américaines
Le marché du cloud est aujourd’hui largement dominé par les entreprises nord-américaines AWS (32% du marché), Microsoft Azure (17% du marché) et Google Cloud (6% du marché)[15]. La dépendance des pays européens envers les clouds nord-américains est d’autant plus problématique depuis la promulgation du Cloud Act le 23 mars 2018 par l’administration Trump. Cette loi oblige les entreprises fournisseurs de cloud nord-américain (Microsoft, AWS, Google) à fournir des informations stockées sur leur cloud sans l’accord des tribunaux nationaux et sans en informer leurs utilisateurs. Autrement dit, une entreprise française utilisant un cloud nord-américain pour sa gestion des données peut voir ses informations confidentielles mises à disposition des autorités nord-américaines. Cela expose aussi bien les entreprises que les États à un potentiel risque d’espionnage menaçant la sécurité des pays européens. En dépit de l’adoption deux mois plus tard du Règlement Général de la Protection des Données en Europe, l’extraterritorialité du droit nord-américain semble ne pas pouvoir être contrée[16].
Une montée en puissance des entreprises chinoises sur le marché
Aujourd’hui, on observe qu’un deuxième concurrent se démarque progressivement sur le marché : les clouds chinois. En tête de ce classement : Alibaba Cloud, suivi par Tencent Cloud puis Baidu AI Cloud[17]. En 2018, le marché chinois du cloud computing avait atteint une valeur de 96,26 milliards de yuans, soit une croissance de 39,2% par rapport à 2017[18]. Le fondateur d’Alibaba, Jack Ma, a annoncé qu’il comptait investir près de 28 milliards de dollars au cours des trois prochaines années dans sa filiale consacrée au cloud souverain[19]. Cette décision d’investissement s’inscrit dans une démarche chinoise plus globale annoncée en 2017 qui consiste à faire du pays le champion mondial de l’intelligence artificielle[20]. Subsidiairement, cette décision vise à dépasser les États-Unis dans la course technologique que les deux États se livrent depuis désormais plusieurs années. Par ailleurs, la loi chinoise sur la cybersécurité, entrée en vigueur le 1er juin 2017, constitue un outil puissant de contrôle et de protection des données ainsi qu’un appui au développement d’un marché local en pleine croissance. Cette loi impose notamment aux entreprises étrangères d’avoir recours à des fournisseurs chinois[21].
Alors que le gouvernement des Etats-Unis intervient autoritairement dans la protection de ses clouds avec les interdictions de Wechat et TikTok[22] sur son sol, l’Union européenne a tardé à comprendre les enjeux et la nécessité d’un cloud européen fiable, au même titre que la défense nationale afin de préserver son intégrité.
Quel modèle pour le cloud souverain européen ?
Le cloud souverain, du point de vue français, est un modèle dans lequel l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont physiquement réalisés dans les limites du territoire national par une entité de droit français et en application des lois et normes françaises[23]. Imaginer un cloud souverain européen, c’est donc penser un cloud computing limité géographiquement à l’Europe et soumis au droit européen, sous réserve des dispositions du Règlement (UE) 2018/2017 consacrant la liberté de circulation des données non personnelles[24]. Établir un cloud souverain européen apparaît comme un moyen de faire face aux concurrents étrangers et d’assurer la compétitivité des entreprises européennes tout en garantissant un traitement transparent et éthique des données[25].
Néanmoins, plusieurs tentatives avortées d’établir un cloud souverain nous permettent de tirer des leçons de nos échecs. En 2012, une myriade de projets de clouds souverains (Numergie, Cloudwatt…) se sont développés mais aucun n’a pu voir le jour. Les experts expliquent ces échecs par trois facteurs : le manque de logiciels, un marché prématuré peu – ou pas – au rendez-vous et un manque de réversibilité dans les solutions offertes aux opérateurs du marché. La demande privée apparaît également comme un élément fondamental ; il existe en effet une disparité à ce niveau : certaines entreprises sont plus ou moins soumises à des risques d’espionnage industriel. Mais la demande publique doit également prévaloir et les pratiques actuelles ne permettent pas de garantir une demande homogène. A titre d’exemple, en Allemagne, la police fédérale sauvegarde encore ses données sur le cloud AWS d’Amazon[26].
Pourtant, les États-Unis et la Chine ont réussi à établir des clouds souverains qui leur permettent de profiter d’un marché domestique très dynamique. Force est de constater que ces États disposent d’un atout de taille : l’importance et l’homogénéité de leur marché domestique respectif. Ces caractéristiques leur permettent d’amortir les coûts de façon considérable. Rien n’est pourtant perdu : avec un marché de 500 millions de consommateurs potentiels[27], l’Union européenne produit une quantité astronomique de données. Penser un cloud souverain au niveau européen est d’autant plus intéressant qu’un cloud souverain limité à l’échelle d’un Etat membre impliquerait de se priver de données pour nourrir des algorithmes, ce qui limiterait leur puissance. Une infrastructure commune permettrait à la recherche européenne de bénéficier d’un foyer de données qui seraient partagées de façon sécurisée. Cela renforcerait la collaboration à l’échelle européenne, indispensable pour intégrer l’écosystème de l’intelligence artificielle. En ce sens, la Commission européenne a affirmé sa volonté de faire de l’Europe un acteur mondial de premier plan en matière d’innovation dans l’économie fondée sur les données[28].
L’objectif est ainsi désormais de faire émerger un acteur européen du cloud computing. La chancelière allemande Angela Merkel a rappelé en ce sens que « l’Europe a besoin de son propre cloud ». Pour certains, la première étape doit être réalisée par les Allemands et les Français et cela s’étendra ensuite naturellement à d’autres partenaires européens[29]. Le projet Gaia-X dévoilé au cours du Sommet numérique de Dortmund du 29 octobre 2019 s’inscrit dans cette volonté de coopération entre la France et l’Allemagne[30] et pose les fondations d’une infrastructure de données sécurisées européennes. Gaia-X parachève la volonté européenne d’établir un réseau de centaines de fournisseurs européens de cloud[31] tout en insistant sur plusieurs principes cardinaux dont la souveraineté, la transparence et la sécurité des données. Le 4 juin 2020, les ministres de l’Économie français et allemand, Bruno Le Maire et Peter Altmaier, ont dévoilé les contours du projet qui vise, sous certaines conditions, à faire bénéficier les opérateurs européens d’un label Gaia-X. Si les conditions sont strictes, elles sont gage de fiabilité des opérateurs et donc de confiance des utilisateurs. Celles d’interopérabilité et de portabilité permettent par exemple aux utilisateurs de migrer d’une plateforme à l’autre. Particulièrement intéressants, ces critères visent à lutter contre les phénomènes de « réseaux » et de monopole.
En dépit d’une volonté ferme de vouloir instaurer une « infrastructure de données européennes sûre et souveraine »[32], certains spécialistes alertent sur le retard technologique de l’Europe face aux « hyperscalers » que représentent Amazon et Microsoft[33]. Par ailleurs, il est fondamental qu’un travail de confiance soit effectué en amont de la mise en place d’un tel cloud car, les données de leurs activités en dépendant, les entreprises doivent pouvoir avoir une confiance absolue dans le cloud souverain à venir. C’est le parti pris du dernier projet français du cloud souverain « de confiance », copiloté par Michel Paulin, le directeur général d’OVH, et Édouard de Rémur, le cofondateur et directeur général d’Oodrive[34]. D’après les industriels européens, la confiance se gagnerait progressivement par la mise en place d’un cadre juridique européen intelligible pour les offres de cloud computing déjà existantes.
La maîtrise de la donnée constitue aujourd’hui un véritable enjeu de souveraineté. Le développement d’une filière nationale et européenne de cloud souverain, sur le modèle du projet Gaia-X, permettrait tout d’abord de rapatrier sur le continent européen l’ensemble des données des entreprises et administrations européennes. Ensuite, cela contribuerait à faire émerger un véritable savoir-faire européen en la matière afin de donner confiance aux entreprises européennes. Le cloud souverain européen constitue ainsi une nouvelle pierre pour le développement d’un écosystème européen de la donnée, indispensable pour accueillir l’émergence de l’intelligence artificielle.
Source : www.affiches-parisiennes.com