- Accueil
- Souveraineté numérique
- La Longue Marche vers le Cloud souverain
La Longue Marche vers le Cloud souverain
Alors que les États-Unis sont au cœur de l’attention médiatique avec le résultat de la présidentielle, la question se pose avec une acuité particulière : la France est-elle un protectorat numérique américain ?
Elle est en tout cas légitime aux yeux de certains au vu du bilan apparemment désastreux de sa souveraineté dans le cloud. Paris a confié à Amazon Web Services (AWS) les données des 530 000 entreprises ayant sollicité un PGE (prêts garantis par l’État dans le sillage de la crise Covid) et une partie des données d’EDF relatives à la maintenance de ses centrales nucléaires. Ses données de santé ? Gérées par Microsoft ! Ceci pour ne citer que quelques exemples ayant trait aux services essentiels de l’État qui ont défrayé la chronique ces dernières années.
Ne parlons même pas des milliers d’entreprises – stratégiques ou non – qui profitent des services performants et compétitifs des hyperscalers sans toujours se soucier de l’œil volontiers inquisiteur de nos alliés d’outre-Atlantique. Au total, AWS, Microsoft Azure et Google détiendraient à eux trois pas moins de 70 % du marché du cloud en France (clients publics et privés confondus), selon le cabinet Markess by Exægises.
Dans le même ordre d’idées, la cybersécurité de tous les ministères – sauf celui des Armées – sera à nouveau assurée par un attelage canado-français, Wavestone/CGI. Un coup dur pour la souveraineté numérique française ? Au moins en apparence, d’autant que comme le relevait InCyber, un consortium 100 % français était sur les rangs de cet appel d’offres de 500 millions d’euros attribué en août 2024.
AWS, Azure et Google 70 % du cloud en France
Il comprenait Cap Gemini, Thalès, Atos et Headmind Partners et semblait plus en phase avec la « stratégie nationale d’accélération pour la cybersécurité » inscrite dans le plan d’investissement « France 2030 » d’Emmanuel Macron. Là comme ailleurs, le critère de prix a été déterminant, l’alliance Wavestone/CGI se positionnant 30 % sous l’offre tricolore, reconduisant ainsi sa prestation entamée en 2019.
Autant de sujets sur lesquels les autorités se veulent pourtant rassurantes. Ainsi, Pascal Allizard, sénateur (LR) du Calvados, s’inquiétait en juillet 2020 de voir les données des PGI récoltées par la banque publique d’investissement (BPI) filer chez AWS : « Cette solution technique inquiète tant les entreprises que les spécialistes de l’intelligence économique dès lors qu’elle pourrait permettre un accès à des données stratégiques, à savoir l’état de santé financière complet d’une entreprise française ». À sa question écrite, Bercy avait répondu… en février 2021 que « les données BPIfrance hébergées chez ce prestataire ne sont pas accessibles à l’hébergeur, étant intégralement chiffrées par une clef privée BPIfrance, elle-même stockée chez BPIfrance ». Le ministère de l’Économie avait par ailleurs souligné que « le Privacy Shield américain, qui ne concerne que les données hébergées sur le sol américain, ne s’applique, par ailleurs, pas aux données hébergées à Paris. »
Données stratégiques à la merci des USA ?
Une remarque de toute façon sans objet puisque ledit Privacy Shield (un accord de 2016 qui autorisait les entreprises européennes à transférer des données personnelles en outre-Atlantique, en reconnaissant que la législation américaine offrait les mêmes garanties que le droit européen) avait été invalidé par la Cour de justice de l’Union européenne… le 16 juillet 2020, jour du dépôt de la question de M. Allizard. De plus, Bercy avait oublié de mentionner le Cloud Act, qui permet aux services de renseignements d’accéder aux données stockées par des entreprises américaines n’importe où dans le monde. Restait donc à espérer que le chiffrement des données de la BPI résiste à la puissance de calcul et aux compétences des nombreuses agences américaines « à trois lettres » (CIA, FBI, NSA, etc.)
Même période, mêmes choix discutables quand, en pleine crise Covid, Microsoft Azure s’était vu confier les données de santé des Français. L’idée était ambitieuse : centraliser une base de données de 67 millions de personnes permettrait de booster la recherche médicale française et le développement d’une IA orientée santé, mais aussi de mettre en place des essais thérapeutiques virtuels, voire de détecter « des signaux faibles » dans la population. C’est aussi courir le risque de voir des données hautement personnelles et confidentielles des Français tomber entre les mains d’acteurs étrangers au nom du Cloud Act et de la loi FISA (Foreign Intelligence Surveillance Act), laquelle régit les procédures des surveillances physiques et électroniques sur le territoire américain et à l’étranger.
Le réveil du cloud de confiance à la française
Face à l’annulation du Privacy Shield, la CNIL et le Conseil d’État avaient exigé que le « Health Data Hub » soit hébergé par une structure relevant exclusivement des juridictions de l’Union européenne. Olivier Véran, ministre de la Santé, avait alors promis de s’exécuter « dans un délai de 12 à 18 mois, et en tout état de cause dans un délai ne dépassant pas deux ans ». On attend encore l’appel d’offres pour remplacer Azure.
À la décharge des structures concernées, la notion de cloud souverain était alors floue : devait-il s’agir d’infrastructures 100 % françaises ou au moins en partie européennes ? À quels critères juridiques, techniques, opérationnels devaient-elles répondre ? Si instinctivement, on se disait que de choisir un acteur américain revenait à faire entrer le loup dans la bergerie, les critères fiables et objectifs indispensables au lancement de tout appel d’offres public ou privé manquaient alors.
Ce n’est qu’en 2021 que la France a précisé les choses avec la doctrine de « cloud au centre », destiné à sécuriser tout nouveau projet informatique public impliquant des données régaliennes ou sensibles. Avec cette stratégie, actualisée en mai 2023, pour obtenir le label de « cloud de confiance », il faut passer par les Fourches Caudines du RGPD et du SecNumCloud, le plus haut label français de cybersécurité (ou une qualification au moins équivalente au niveau européen). Sésame indispensable pour lancer un projet de stockage et traitement de données sensibles, dont les données de santé et d’une manière plus générale, aux opérateurs d’importance vitale (OIV) et aux opérateurs de services essentiels (OSE).
Dérogations sine die
Or, la version 3.2 de ce référentiel prévoit que les clouds concernés soient hors d’atteinte des lois extraterritoriales comme le Patriot Act, le Cloud Act ou le FISA. Voilà qui exclut de facto les hyperscalers américains et pose les bases d’un véritable cloud souverain, au moins à l’échelle du Vieux Continent. En effet, les acteurs dont le siège social n’est pas situé au sein de l’Union européenne ou ceux qui dépendent capitalistiquement d’acteurs non européens ne sont plus éligibles à la qualification.
En attendant, ces normes ne concernent que les nouveaux projets, et qu’il s’agisse des données liées aux PGE, de celles du « Health Data Hub » ou d’autres programmes lancés avant cette actualisation, les contrats avec les prestataires américains courent toujours.
Il est vrai que la circulaire prévoit qu’« à titre transitoire, pour les projets déjà engagés, une dérogation à l’alinéa précédent pourra être accordée sous la responsabilité du ministre dont relève le projet, et après validation du Premier ministre, sans qu’elle ne puisse aller au-delà de 12 mois après la date à laquelle une offre de cloud acceptable (c’est-à-dire dont les éventuels inconvénients sont supportables ou compensables) sera disponible en France ». Avec la notion sujette à toutes les interprétations d’« offre de cloud acceptable », on comprend aisément que l’exécutif n’entend pas bousculer ses ministères et autres organisations critiques.
Les acteurs français s’activent pourtant pour décrocher le fameux label « cloud de confiance », afin de profiter de la commande publique pour se développer, comme l’ont fait leurs concurrents américains il y a plus de deux décennies.
Technos US dans le cloud souverain ?
Cinq fournisseurs ont ainsi fait certifier certains de leurs services, le label SecNumCloud étant octroyé offre par offre. Outscale, Cloud Temple, Wordline et OVHCloud ont ainsi fait certifier leurs offres IaaS (Infrastructure as a Service, dans laquelle le fournisseur héberge, gère et met à jour uniquement l’infrastructure backend). Oodrive et Whaller ont obtenu le précieux sésame pour leurs offres SaaS (Software as a Service, dans laquelle le fournisseur met à disposition l’intégralité de la pile d’applications). OVH ambitionne de faire certifier l’ensemble de son catalogue, pour se distinguer d’une concurrence de plus en plus fournie. En effet, Orange Business, SFR Business Free Pro et NumSpot sont en cours de certification d’offres IaaS.
S3NS est sur les rangs pour des offres Iaas et PaaS (Platform as a Service, dans laquelle le prestataire fournit et gère l’infrastructure backend ainsi que les fonctionnalités et outils logiciels nécessaires au développement d’applications). Quant à Bleu, il présente à l’ANSSI des offres SaaS et IaaS. Ces deux derniers acteurs présentent la particularité de s’appuyer sur des technologies américaines, celles de Google pour le premier et de Microsoft pour le second, tout en contrôlant entièrement leurs solutions. Bleu est détenu par Capgemini et S3NS par Thales, leurs serveurs sont implantés en France, ils ont donc les prérequis pour postuler à la certification.
La perspective d’une IA souveraine
Soulignons cependant qu’à l’heure où cet article est publié, leur dossier est en cours d’instruction à l’ANSSI et qu’il est trop tôt pour présager de sa réponse : SN3S espère obtenir son label à l’été 2025, Bleu au second semestre 2025, ce qui permettrait notamment à ses clients de bénéficier de la suite bureautique Microsoft 365 ou des services MS Azure dans un « cloud de confiance ».
Les usages du cloud ne se limitent cependant plus depuis longtemps au stockage, collaboration en ligne et autres services décentralisés. C’est l’IA et notamment les LLM (Large Language Model) qui ont actuellement la cote. Outscale en propose désormais un « as a service » sur la base de ses infrastructures certifiées SecNumCloud 3.2 et du grand modèle de langage de Mistral. D’autres initiatives similaires sont dans les cartons d’Orange, HPE, OVH… à des stades plus ou moins avancés.
En attendant, l’État poursuit sa politique de « cloud au centre ». Mais pour quelques solutions basées sur un cloud de confiance, comme la dématérialisation de la démarche d’inscription sur les listes électorales, les systèmes d’information de l’Agence du Numérique en Santé (ANS) ou l’application carte Vitale, combien de projets tombent encore dans l’escarcelle des hyperscalers américains ?
la newsletter
la newsletter