Le 29 Octobre dernier au sommet numérique de Dortmund, le ministre allemand de l’économie, Peter Altmaier, a déclaré l’indépendance des données européennes, rien de moins.
Pour supporter cet élan souverain, le projet Gaia-X, d’origine allemande, embarque dans un premier temps cinq industriels de premier plan : Deutsche Telekom, Deutsche Bank, Siemens, SAP et Bosch, avant de s’ouvrir aux industriels européens dès ce mois de Novembre. Il a l’ambition de créer un réseau de « nuages » (de « clouds ») européens.
Dans la bouche du ministre français de l’économie Bruno Lemaire, c’est une « infrastructure de données européennes sûre et souveraine, incluant entrepôts de données et pools de données, pour développer une interopérabilité sur les données », en écho à l’appel de la chancelière allemande Angela Merkel début Octobre : « l’Europe a besoin de son propre Cloud ».
En 8 ans, la pression est montée
Cette prise de conscience n’est pas neuve : on se souvient des deux initiatives malheureuses françaises de 2012, financées à hauteur de 200M€ par l’Etat, qui ont fini l’une absorbée par SFR, l’autre prochainement arrêtée par Orange. Que s’est-il passé depuis, pour que Gaia-X émerge à son tour ? La pression est montée depuis 2012.
Le 23 Mars 2018, l’administration Trump promulguait le Cloud Act, « un cadre juridique moderne permettant aux agences d’exécution de la loi d’accéder aux données au-delà des frontières », selon Brad Smith, le Chief Legal Officer de Microsoft. Effectivement, Microsoft avait besoin d’un cadre plus clair pour transmettre les données déposées sur ses serveurs présents partout dans le monde et en Europe en particulier, aux juges américains, même si ces données appartiennent à des entreprises européennes. Pour Microsoft, la vie est maintenant plus simple (mais pas forcément plus rose): la volonté de ses clients passe après celle des Etats-Unis, c’est la loi, certes américaine, mais valide partout dans le monde.
Deux mois plus tard, l’Europe promulguait le RGPD, pour que les données privées européennes restent en Europe. Peine perdue, et malgré les campagnes de désinformation, les pouvoirs publics reconnaissent maintenant que le RGPD ne peut malheureusement pas contrer l’extraterritorialité contenue dans le Cloud Act.
Non-dit et espionnage
Hasard (?) du calendrier, c’était le 19 mars 2018 que le monde entier découvrait avec le scandale Cambridge Analytica ce qui pouvait être fait en accédant à des données réputées privées. La manipulation supposée d’élections, comme le référendum sur le Brexit, pourrait-elle être compensée par l’amende maximale de 500 000 £ imposée en début de semaine par l’ICO (la CNIL anglaise) à Facebook ?
La loi est effet de maigre ressource face au pouvoir que confèrent les données, qu’elles soient manipulées, exploitées, transformées ou simplement… lues. On touche ici au non-dit, merveilleusement illustré par Apple avec une publicité présente au dernier CES (voir plus haut).
Il s’agit bien sûr du risque d’espionnage, qu’Apple et Microsoft garantissent comme nul sur leurs infrastructures, car ces entreprises n’ont pas de business lié à l’exploitation des données, contrairement à au moins deux de leurs collègues des GAFAM. Mais étant juges et parties, elles n’ont guère de chances d’être crues.
L’ANSSI ne fait d’ailleurs pas dans la finesse, en nous assurant que oui, loi ou pas, les données stockées chez les hébergeurs américains sont lues par les entreprises américaines si leur connaissance peut servir leurs intérêts économiques. Version limite du patriotisme économique si l’on veut, mais l’excès de naïveté n’a pas servi en son temps ToysRUs, pour ne pas citer la myriade de petits commerçants qui se sont fait doublés par la machine Amazon une fois les ressorts de leurs business connus. Déboires garantis identiques avec Google si vous œuvrez dans la publicité, la vidéo (YouTube), ou l’e-commerce (Shopping)… et bientôt dans la mobilité (Waymo) ou les smart cities (SideWalk Labs) : bref, dans tous ces domaines, confier vos données à GCP revient à donner à Alphabet et ses filiales, vos concurrentes potentielles, une belle vue sur vos secrets industriels. La SNCF l’a réalisé l’année dernière, combien de temps vont attendre d’autres mastodontes du CAC40 ?
Séparer les pouvoirs
Il existe néanmoins une solution simple, en attendant Gaia-X. Elle a même été soufflée par un représentant d’AWS à une présentation de leur solution pour les données de santé : ne stocker que des données cryptées, pas par le système de cryptage de l’opérateur de cloud – qui a la clé par définition – mais par un tiers de confiance. Ce principe de séparation des pouvoirs : l’un crypte, l’autre traite, est l’une des pierres angulaires de l’association aNG (a New Governance) qui milite en France et en Europe pour l’ancrer dans la réglementation. Il est déjà mis en œuvre, par exemple par l’ACOSS (l’agence française centrale des Organismes de Sécurité Sociale, comme nous l’expliquait son DSI, Jean Baptiste Courouble, au dernier dîner de la rédaction d’Alliancy.
Il n’est d’ailleurs pas dit que Gaia-X n’en ait pas lui-même besoin, tant il est vrai que le retard pris par l’Europe dans les technologies du Cloud semble irrattrapable. D’ailleurs, les premiers membres du projet nouent dans le même temps des accords majeurs avec Azure, perçu comme le moins « dangereux » des GAFAM. Orange Business Service analyse de son côté que les entreprises « cloudifiées » font déjà appel en moyenne à 6 hébergeurs de cloud différents, principalement pour éviter d’être prisonnières d’un seul.
Alors, cette bataille du cloud qui semble perdue veut-elle dire que la guerre du numérique est définitivement perdue par l’Europe? Rien n’est moins sûr, à condition de penser l’avenir en mode disruptif, comme les transformations digitales nous le montrent tous les jours. Peter Altmaier aime présenter Gaia-X comme « l’Airbus de l’Intelligence Artificielle ». Car si les données doivent pouvoir circuler, c’est pour alimenter les Intelligences Artificielles qui gèreront nos voitures, nos maisons, nos villes, nos usines, nos conversations, bref, le monde qui nous entoure. On conçoit ici aisément l’enjeu de souveraineté des données comme garante de l’indépendance du continent.
Transmettre des données… ou de l’intelligence ?
Mais comment transmettre les téraoctets de données qui permettront à ces IA d’être opérationnelles ? Un élément de réponse nous est venu… de Chine, lors de l’Innovation Day de Huawei, ce lundi 4 Novembre à Paris, par les mots de son directeur du conseil d’administration et président de l’Institut de Recherche Stratégique, M. William Xu (Xu Wenweï). Bien placé, comme équipementier à la pointe de la 5G (où l’Europe est aussi très en retard : seuls 11% des abonnés 5G seront européens en 2024 !) pour parler transmission des données. Pour passer de l’innovation 1.0 que nous connaissons, à l’innovation 2.0 dont nous avons besoin, il va falloir, nous dit-il, percer plusieurs plafonds de verre technologiques, dont le théorème de Shannon. La seule solution à ses yeux sera de ne plus transmettre des données, mais de l’intelligence, du sens. En termes techniques, il s’agira de faire tourner les algorithmes d’IA au niveau des objets eux-mêmes, ou à proximité, ce qu’on appelle le « edge computing ». Ces objets communiqueront entre eux intelligemment, voire en toute autonomie. Le sens de leurs échanges sera porteur de valeur, réalisée directement, et ancrée par exemple dans une blockchain, sans plus avoir besoin de plateforme centralisatrice, mangeuse de marge et source de risque.
De ce nouveau changement de paradigme resteront les APIs, voix et ouïe des objets, qu’il faudra muscler pour répondre à la montée en puissance de cette nouvelle économie « machine to machine ». Gaia-X, quant à lui, pourrait bien rester un nouveau Godot… qu’il vaudrait mieux ne pas attendre, en mettant plutôt son énergie au service du sujet de la prochaine décennie : l’Internet de l’Intelligence.