Cloud Sovereighty Framework : quand le diable se cache dans les détails

Chacun s’accorde à saluer l’initiative de l’Union européenne de créer un cadre commun pour le marché public du cloud et favoriser les acteurs européens. Mais noyée dans des critères parfois abscons, la grille de notation retenue pourrait finalement avantager les GAFAM, s’inquiètent les opérateurs du cloud. Vous avez dit usine à gaz ?

Les objectifs de ce nouvel outil de pilotage sont clairs. Comme son nom l’indique, articulé autour de huit objectifs (souveraineté stratégique, juridique, opérationnelle, des données et de l’IA ou encore sécurité et conformité), ce cadre publié le mois dernier doit fournir une grille de lecture transparente et accorder demandeurs et offreurs sur des critères communs autour de la même sémantique pour définir la souveraineté. Mais comme souvent, c’est la méthodologie qui fait débat. Le CISPE, l’association des fournisseurs de services de cloud européen, s’inquiète. « Premièrement, nous ne pensons pas qu’une notation unique pour la souveraineté ait du sens, soit vous êtes souverain, soit vous ne l’êtes pas », affirme Francisco Mingorance, secrétaire général du CISPE. « Deuxièmement, la pondération des aspects clés qui déterminent la souveraineté juridique réelle ne représente que 10 % du score total. Cela signifie qu’un fournisseur étranger qui échoue complètement dans cette catégorie peut néanmoins obtenir une note élevée en matière de souveraineté en obtenant de bons résultats dans d’autres domaines. »

Fragmentation et confusion

C’est pourtant bien dans ce cadre controversé qu’un premier appel d’offres à 180 millions d’euros sur quatre ans a été lancé par la Commission pour équiper les institutions européennes. Quatre fournisseurs seront désignés. L’attribution de ce marché est prévue entre le mois prochain et février 2026. « Le principal risque est que ce cadre permette aux équipes chargées des marchés publics de prétendre qu’elles achètent des services souverains qui, en réalité, ne fournissent pas toujours des garanties d’immunité contre le contrôle et l’accès aux données par des régimes étrangers , ce qui est l’objectif fondamental de la souveraineté », assure M. Mingorance. Selon lui, un autre risque est que les autorités notent les candidats de différentes manières, ce qui entraînerait une fragmentation et une confusion quant aux services qui sont souverains et ceux qui ne le sont pas.

Un enjeu brûlant

On le voit, aussi transparent soit-il, ce nouveau référentiel (inspiré du cloud de confiance du Cigref, de Gaia-X et du cadre européen de certification de cybersécurité comme NIS2 et DORA) est loin de faire l’unanimité parmi les acteurs de l’industrie numérique. Les réactions sont d’autant plus vives que l’enjeu est brûlant. « La notion de score l’emporte sur celle de niveau, regrette Servane Augier, directrice des affaires publiques chez NumSpot, acteur français du cloud souverain. Le document rend trop complexes des concepts qui auraient pu être très simples puisqu’on a tous des analyses différentes à l’arrivée alors qu’on devrait être d’accord. » Désormais intégré aux marchés publics européens, ce nouveau référentiel administratif n’arrive d’ailleurs pas cet automne par hasard. L’outil est censé remplacer l’EUCS (schéma européen de certification de cybersécurité pour le cloud) embourbé depuis des années dans des discussions sans fin entre États membres. « Ce cadre crée de la confusion et de l’opacité au lieu de la clarté dont les clients et les fournisseurs ont besoin, fustige M. Mingorance, Les critères sont mal définis et l’attribution des points trop vague. »

Des coefficients différents

« L’outil contient des ambitions intéressantes, mais qui s’éloignent du sujet de la souveraineté, poursuit Mme Augier. Au chapitre environnement, on se demande par exemple en quoi les critères PUE (performance énergétique d’un centre informatique, ndlr) sont liés à un indice de souveraineté. Il ne faut pas tout mélanger. Cela laisse à penser qu’un cloud non souverain n’a pas besoin d’être « sustainable » (durable), ce qui serait une hérésie. La durabilité relève d’autres cadres. » Dans ce barème conçu pour mesurer la souveraineté des prestataires de cloud afin d’orienter les achats publics de l’administration européenne, tous les critères n’ont pas le même coefficient. La chaîne d’approvisionnement compte ainsi pour 20 % dans le score final alors que l’environnement (durabilité) ne représente que 5 %. « Les grands acteurs (AWS, Microsoft ou Google) pourront obtenir de très bons scores globaux élevés qui minimiseront l’impact des mauvais résultats en matière de souveraineté juridique et juridictionnelle, qui ne représentent que 10 % du score total », note M. Mingorance.

Les Shadoks pompaient

Dans chacune des huit catégories, le postulant obtient un score de 0 à 4, un « SEAL » (pour sovereignty effective assurance level) censé attester ou non de la souveraineté de son offre de cloud. La note globale est, elle, exprimée en pourcentage. Elle est ensuite intégrée dans la grille d’évaluation de l’appel d’offres, au même titre que la note technique, financière et jugeant la qualité. La souveraineté représente ainsi jusqu’à 15 % à 20 % du score total. « Puisqu’ils sont soumis à des lois américaines, les GAFAM ne passent pas l’échelon 1 sur la question de la souveraineté des données, constate Mme Augier. Le problème est réglé. À quoi bon ajouter un score total et pourquoi séparer les trois souverainetés (stratégique, juridique et opérationnelle) alors qu’elles sont indissociables ? On revient au temps des Shadoks qui pompaient ! » Même s’il n’est pas juridiquement contraignant, la Commission européenne incite les États membres à reprendre ce « Cloud Sovereignty Score » comme une grille commune d’évaluation pour leurs achats publics, afin d’harmoniser la demande. Le CISPE précise de son côté qu’il travaille sur son propre label de souveraineté.