FIC 2023 Course d’obstacles pour le cloud souverain européen

En dépit de l’optimisme et du volontarisme affichés par les acteurs publics et privés du cloud souverain européen, il y a encore loin de la coupe aux lèvres pour le ce projet hautement stratégique. C’est ce qui ressort en filigrane de la table ronde « Vers un contre-modèle européen aux normes cloud US ? » organisée au sein du FIC 2023 à Lille.

Le constat qu’y dressait Solange Viegas Dos Reis, directrice juridique groupe chez OVHcloud, était sans appel : « En 2017, la part des acteurs européens dans le marché européen du cloud était de 27%. Cinq ans plus tard, le marché a explosé et les mêmes acteurs européens ne pesaient plus que 13 % ». Les Américains dominent le secteur de la tête et des épaules et l’Europe accuse son retard en termes de part de marché et de technologies.

Et les défis sont loin d’être uniquement économiques, comme l’expliquait à la tribune Hugues Foulon, CEO d’Orange Cyberdefense. « L’un des principaux problèmes pour certains de nos clients, ce sont les enjeux d’extraterritorialité, liés notamment au Cloud Act et au Patriot Act. Nous avons vocation chez Orange à ne pas être naïfs, à faire comprendre les conséquences des choix, quels qu’ils soient d’ailleurs. »

L’extraterritorialité du droit américain ? Vous devenez justiciable des États-Unis dès lors que vous employez un bien ou un service américain, qu’il s’agisse d’un simple dollar ou d’une adresse Gmail. Conséquence directe : tout utilisateur d’un service de cloud d’une société américaine tombe sous le coup de la loi américaine et la confidentialité de ses données n’est dès lors plus garantie.

Face aux enjeux du cloud, « ne pas être naïf »

« Nous parlons de protection des données et de son importance, mais nous oublions le lien avec les droits fondamentaux, c’est-à-dire le droit à la vie privée. Et la vie privée ne s’étend pas seulement aux individus qui vivent dans l’Union européenne, elle s’étend aussi aux personnes morales, comme les entreprises », détaillait Peter Sund, CEO du FISC (Finnish Information Security Cluster, l’association des entreprises finnoises de cybersécurité).

Le cloud en Europe ? Un marché totalement dominé par des acteurs étrangers parfois intrusifs, dont le gouvernement peut s’arroger le droit d’accéder aux données de tout citoyen ou entreprise, tout le contraire d’un « cloud de confiance ». Une expression très française, soulignait Rayna Stamboliyska, Uncertainty management specialist chez RS Strategy et animatrice de la table ronde, avant de demander aux intervenants ce que « veut dire la confiance dans le cloud et comment ils la mettent en œuvre dans leur quotidien, technique, technologique et opérationnel ».

« Il se résume au fait que l’utilisateur a une liberté de choix grâce à l’interopérabilité des technologies, la réversibilité. De plus, il est sûr que ses données seront protégées et ne seront pas utilisées à d’autres fins que celles qu’il a choisies », répondit Solange Viegas Dos Reis. Des principes opérationnels auxquels a souscrit Hugues Foulon, qui a plaidé pour « des solutions pragmatiques qui permettent d’avancer et de gagner en autonomie stratégique. Et c’est ce qu’on a fait avec “Bleu” ». Opérationnelle en 2024, cette co-entreprise d’Orange et de Capgemini, en partenariat avec Microsoft, visera précisément à fournir un « cloud de confiance » ou « souverain » aux acteurs publics et privés à la recherche du plus haut niveau de sécurité et de confidentialité.

« Schrems II », les acteurs du cloud au pied du mur

Une solution qui a « l’avantage d’être conforme by design. C’est la seule façon d’être conforme au RGPD », soulignait Bertrand Pailhès, directeur des technologies et de l’innovation à la Cnil. En effet, la technique à elle seule ne suffit pas : un cadre légal et réglementaire cohérent est également indispensable pour assurer la confiance dans le cloud. Et de ce point de vue, l’UE semble avoir pris le taureau par les cornes. « L’Europe a mis un principe assez fort qui, je pense, fait consensus, qui est de dire la protection des données des Européens doit être garantie en tous lieux et en tout temps », se félicitait encore Bertrand Pailhès. Le RGPD, très protecteur des données personnelles, est ainsi élevé au rang de norme de facto sur laquelle les autres régions du monde sont invitées à s’aligner.

C’est le sens de l’arrêt « Schrems II », que la Cour de justice de l’Union européenne (CJUE) a rendu le 16 juillet 2020. Estimant que la protection des données personnelles aux États-Unis n’était pas au niveau, la CJUE a cassé le « Privacy Shield », le régime de transferts de données qui existait entre Washington et Bruxelles. Problème : aucun accord de substitution n’a été mis en place et le marché n’est pas prêt, selon le directeur des technologies et de l’innovation à la Cnil.

« La décision de la CJUE “Schrems II”, c’est à partir du 17 juillet. À partir de demain, il est interdit de transférer les données vers les États-Unis. Il n’y a pas de période de mise en conformité », déplorait Bertrand Pailhès lors du FIC. « C’est parfois complètement irréaliste de penser que parce qu’un juge à Luxembourg a décidé que le marché n’était pas conforme aux droits fondamentaux, tout le monde allait se mettre d’accord avec ça », ajoutait-il. Et le régulateur doit dans ce cas faire preuve de souplesse le temps qu’assez « de solutions alternatives (sic) émergent ».

Micmac législatif

Le législateur européen est donc plein de bonnes intentions, mais celles-ci ne se heurtent parfois au réel… A moins que ce ne soient des « questions réglementaires qui soient, d’une certaine manière, complètement opposées les unes aux autres », relevait Peter Sund, pour qui « il est toujours délicat d’arriver à un équilibre » entre des objectifs contradictoires. Ainsi, la protection des données personnelles et les pouvoirs accordés à la police et à la justice pour enquêter sont-ils antinomiques. Il a pris l’exemple du dispositif baptisé « un meilleur Internet pour les enfants », destiné à lutter contre la pédopornographie.

Pour ce faire, la Commission européenne prévoit que les autorités puissent avoir accès aux photos et autres matériels hébergés par les fournisseurs de services en ligne, notamment les messageries chiffrées. Alors que la sécurité du cloud repose en bonne partie sur le chiffrement des données, cette mesure le ferait voler en éclats. « Cela risque de semer la confusion et de créer une situation qui va à l’encontre des objectifs du cloud », s’inquiétait Peter Sund, tout en reconnaissant l’importance de la lutte contre la pédocriminalité.

De fait, soulignait Bertrand Pailhès, les États-Unis se sont appuyés sur une législation robuste pour développer le cloud : « Elle a été lancée il y a dix ans, elle est hyper complète, le secteur est hyper réglementé et ça, et ça a permis en fait à l’écosystème américain du cloud d’émerger, parce qu’il avait des règles claires sur ce qui était attendu de lui. »

« L’Europe doit créer des champions »

Ce cadre favorable n’est que l’une des expressions d’une volonté politique forte, a abondé Solange Viegas Dos Reis : « quand on voit aujourd’hui les champions du cloud comme les Américains ou les Chinois, on se rend compte que ce sont des champions qui se sont renforcés sur leur marché domestique avec un très fort soutien étatique, en ayant des marchés publics, en requérant des financements et des soutiens à la recherche. »

Une volonté qui a longtemps fait défaut de ce côté de l’Atlantique, tant le credo libéral (aucun coup de pouce ni entrave au marché) de la Commission restait fort. Mais cela pourrait changer : « nous soutenons le “Buy European Act”, qui permettrait d’avoir un soutien concret, financier, de donner à tous les acteurs du cloud les moyens nécessaires à leur développement », lançait encore Solange Viegas Dos Reis.

Il serait temps que les lignes bougent, estimait d’ailleurs le CEO d’Orange Cyberdefense France. « L’Europe doit créer des champions dans ce domaine », plaidait Hugues Foulon, qui soulignait de plus que la question ne s’arrêtait pas là. Le cloud, ce n’est pas que des data centers, ce sont aussi des solutions logicielles en évolution rapide, de la cybersécurité, de la maintenance, bref, tout un environnement. Et selon lui, « l’Europe n’a pas tout à fait conscience de ces gros enjeux de formation ». Le continent manque encore de développeurs et d’experts en tout genre et sans ces compétences, « ça sera compliqué de faire marcher un écosystème cloud stratégiquement autonome ».

« On va avoir du mal à créer “from scratch” un écosystème aussi performant que celui des leaders du marché. Je pense que c’est une aventure qui se compte plutôt en décennies », avertissait Hugues Foulon, qui plaidait pour une approche pragmatique, à l’exemple du partenariat entre « Bleu » et Microsoft. Sera-t-il même un jour possible de faire sans les GAFAM ? Les professionnels européens veulent y croire.