Entre cloud souverain et cloud de confiance, le cœur de la France balance. Sur un sujet avant tout diplomatique face aux risques géostratégiques, les pays européens ne pourront quoiqu’il en soit pas trouver de réponses satisfaisantes sans changer profondément les règles du jeu. Analyse.
« Souveraineté », un mot complexe pour les entreprises
C’est moins la dimension technique de ces projets qui fait discuter, que le sujet critique de l’aspect juridique (face à la fameuse extraterritorialité assumée par le droit américain sur le cloud et la data) et le développement de l’industrie numérique européenne. Ce qui est certain, c’est que le besoin de profiter des services innovants, industrialisés, des hyperscalers cloud américains pèse plus que jamais dans la balance pour les organisations en transformation. Mais à quelle condition cette association peut se faire en confiance ? Et parler de souveraineté sur le cloud en Europe a-t-il du sens ? Depuis des années, le sujet se pose et se repose sous différente forme, sans trouver pour beaucoup de réponses vraiment satisfaisantes. De fait, il renvoie à une question de géopolitique plutôt qu’à une simple vision de cybersécurité, comme cela a pu être parfois résumé. L’invocation du concept de « souveraineté technologique » est courante ; mais le mot n’est pas d’un usage facile quand il est question avant tout de la réalité pragmatique du monde des entreprises.
« Le Cigref reste prudent sur cette notion, car la souveraineté est un attribut de l’Etat. Nous préférons caractériser des facteurs de confiance dans le numérique » a ainsi décrit Jean-Claude Laroche, président du Cigref, lors de l’Assemblée générale de l’association des grandes entreprises en transformation numérique, le 12 octobre dernier. Tout en refusant le principe d’exclusion par principe des acteurs américains de l’équation, il a cependant rappelé le besoin d’une régulation de haut niveau sur le cloud, y compris au niveau européen.
Celle-ci est en discussion, difficilement, depuis plusieurs mois sous le nom d’European Cybersecurity Certification Scheme for Cloud Services (EUCS). Initié par l’agence de cybersécurité européenne, l’Enisa, dans la foulée du Cyber Act de 2020, ce texte présenté comme technique porte de fait de profonds questionnements géopolitiques qui inquiètent les membres de l’industrie numérique. Dans la version du texte de mai 2022, qui a « fuité » auprès des spécialistes, EUCS semble prévoir trois niveaux de certifications s’alignant sur l’idée de SecNumCloud, le plus haut niveau de sécurité intégrant une dimension notable d’exclusion des acteurs, en fonction de la part des capitaux étrangers dans l’entreprise ou le groupe d’entreprises. Une logique dites « d’immunity » (sous-entendu, à l’extraterritorialité).
La certification EUCS critiquée
Pour Thomas Boué, qui supervise les activités de politique publique EMEA de BSA Software Alliance, une association qui regroupe les principaux grands éditeurs de logiciels mondiaux, cela montre bien que le texte n’est pas seulement technique et consacré à la cybersécurité : « Le groupe de travail de l’Enisa est trop fermé, avec des discussions à huis clos. Ce qu’on aimerait, c’est plus de transparence, car le schéma en train d’être négocié a une forte dimension politique. Il faudrait que la discussion ait lieu au niveau du groupe de travail transversal sur les télécoms et du groupe de travail horizontal « Cyber issues », pour qu’il y ait une étude concrète sur les impacts économiques ».
C’est d’ailleurs en substance ce qu’ont demandé récemment à Roberto Viola, qui dirige le département « Communications Networks, Content and Technology » de la Commission européenne, trois directeurs généraux de ministères allemands (l’Intérieur, l’Economie et le Numérique). « Il y a des questions structurantes de politiques commerciales européennes qui se posent. Par exemple : ne va-t-on pas déroger aux grands principes de l’OMC avec ce type de disposition ? » indique Thomas Boué. L’European Banking Association s’est d’ailleurs fait l’écho de ces préoccupations en estimant que « si les fournisseurs non européens n’étaient pas en mesure d’être certifiés par rapport au niveau d’assurance le plus élevé [dans le cadre d’EUCS], le résultat pourrait être préjudiciable à la fois pour l’innovation et la résilience des banques européennes en tant qu’utilisatrices de services cloud ».
Le texte EUCS, dont l’adoption était initialement imaginée pendant l’été 2022, se retrouve donc coincé dans un débat politique entre les visions des différents Etats-membres et repoussé à 2023. Comme le rappelle The Economist dans un récent éditorial (Charlemagne, « Fetchez les barricades ! », 22 octobre 2022), c’est l’ambivalence de l’Europe entre son soutien historique au libre-échange et à la mondialisation d’un côté, et ses pulsions protectionnistes, qui joue aujourd’hui à plein. Dans un sondage organisé par les institutions européennes, les trois quart des citoyens du Vieux Continent se déclarent en faveur du libre-échange… mais dans le même sondage, ils sont également plus nombreux à avoir une opinion positive du protectionnisme qu’à dire s’y opposer !
Les règles de la concurrence européennes contre les clouds souverains
Cyrille Dalmont, chercheur au sein de l’institut Thomas More, un think tank basé à Bruxelles et spécialiste des questions de politiques publiques européennes précise la situation vis-à-vis du Cloud. « Le problème est qu’un « cloud souverain » européen n’a pas vraiment de sens, car l’UE est une organisation internationale dont le fonctionnement repose sur le principe de délégations de compétences d’Etat, certaines exclusives certes. Cela ne correspond pas à une souveraineté directe. Donc son bras de levier reste de faire des cahiers des charges, de la certification, des normes… pour les entreprises qui auraient à vocation à travailler dans son espace. Elle peut afficher politiquement l’ambition d’une position plus restrictive, mais cette volonté politique est assez difficile à affirmer ensuite. »
A part en cas d’une nouvelle délégation exclusive de compétences sur les sujets numériques, fort peu probable, c’est donc aux niveaux des Etats-membres que se joue théoriquement le sujet du « cloud souverain ». Mais ces derniers se retrouvent confrontés à la philosophie de la concurrence libre qui est au cœur du fonctionnement européen aujourd’hui, d’après le chercheur : « Un Etat européen qui souhaiterait avoir une logique de cloud souverain totale rentrerait en opposition avec ces principes de libre-concurrence. Toutes les distorsions peuvent être attaquées devant la CJUE (Cours de justice de l’Union européenne, NDLR). En fait, les outils juridiques dont dispose la Commission ne permettent pas vraiment d’exclure du marché des entreprises extra-européennes. ». Ces principes s’appuient en effet sur trois piliers qui servent à définir la majeure partie du droit européen vis-à-vis du comportement des entreprises : la lutte contre les aides des Etats à leurs entreprises nationales, la lutte contre l’hyper-concentration au sein des secteurs économiques, et la lutte contre les ententes entre entreprises sur un marché.
Exemptions fiscales, attributions de marché, réserves sur les intérêts nationaux…
« C’est un jeu de dupe, car si on regarde la façon dont une entreprise comme Google s’est imposée, ces trois possibilités ont joué un rôle fondamental. Aux USA comme en Chine, les exemptions fiscales majeures, les attributions et partages de marchés, ont été le cœur de la croissance des Gafam et des BATX, et ce, malgré les règles anti-trust affichées… » détaille Cyrille Dalmont, pour qui le problème est plus généralement lié au timing de la construction européenne de l’époque Maastricht, qui n’a pas été parfaitement calquée sur le boom du numérique.
Et le chercheur enfonce le clou : « A l’inverse, l’UE a mis en œuvrer un accord multilatéral sur les marchés publics, avec une obligation de mise en concurrence toutes les entreprises mondiales qui souhaitent répondre. De leur côté, les Etats-Unis ont mis en place des réserves d’intérêt national très larges sur leurs marchés de la Défense, du BTP, des PME… En Europe, une entreprise américaine comme Palantir, notoirement liée à la CIA, peut tout à fait prétendre à un contrat avec l’Armée française sans difficulté. »
Dès lors, à moins de changer en profondeur les règles européennes, la logique du « cloud souverain » ne pourra rester qu’extrêmement limitée. Reste, l’espoir d’un « cloud de confiance » qui, sans être piloté uniquement par des entreprises européennes, garantirait des règles communes et éviteraient les mauvaises surprises. Un espoir qui renvoie à la qualité de la relation diplomatique, notamment avec le partenaire américain.
Des initiatives qui vont dans le bon sens
Pour Paul-Olivier Gibert, président de l’AFCDP (association française des correspondants à la protection des données à caractère personnel), la dimension diplomatique et géopolitique l’emporte de toute façon largement sur toute autre considération. « La technologie évolue tellement vite que l’on voit bien que l’adaptation législative est toujours en difficulté. Quand on parle d’un monde de confiance « post-Snowden », on est en fait très loin de considérations techniques. Une certification européenne peut aider, mais elle ne peut pas suffire, car on est vraiment au cœur de la géopolitique de la data au niveau mondial. Et la relation transatlantique avec un allié américain beaucoup plus puissant a toujours été compliquée sur de tels sujets ».
Il note toutefois des motifs d’espoir : « Ce qui est positif ces dernières années, c’est que la logique de mettre au centre la protection des individus fait son chemin. Le RGPD a inspiré le monde occidental dans ses rapports géopolitiques autour de la data. Il faut en ce sens se féliciter du dernier Executive Order sur la data de Joe Biden. Reste à voir s’il survivra à Max Schrems ». En effet, les textes précédents qui entendaient donner le cadre d’une nouvelle géopolitique de la donnée en confiance, comme le Privacy Shield, ont systématiquement été mis en défaut devant la CJUE, par le juriste autrichien Max Schrems ces dernières années.
Dans ce contexte, le président de l’AFCDP juge que des initiatives comme Bleu (le rapprochement entre Microsoft avec Orange et Capgemini sur le Cloud) et l’accord entre Thales et Google sont des initiatives intéressantes qui vont dans le bon sens. Il résume : « Aujourd’hui, on voit s’affronter sur le cloud deux grandes philosophies : ceux qui estiment que malgré de nombreuses différences, nous avons plus de points communs avec les américains, un « fond commun de civilisation » qui fait que l’on peut arrimer notre développement, notamment technologique à eux. Et ceux qui estiment que les différences sont plus fortes et que l’Europe doit donc faire cavalier seul, malgré toutes les difficultés que cela représente. » Entre les deux, il estime qu’une troisième voie est envisageable : « A la manière des Pays-Bas pendant la révolution industrielle, l’Europe pourrait chercher à se dégager des espaces de souverainetés sur de nouveaux segments de marché et de nouvelles activités pour préparer demain. Nous avons laissé les innovations cloud et data aux Etats-Unis, appuyons-nous dessus pour saisir les prochaines innovations. On ne peut de toute façon plus être souverain partout. »
Préparer l’étape d’après, permettre les champions interétatiques ou mieux encadrer l’existant ?
Dans cet état d’esprit, le quantique pourrait d’esprit faire partie de ces futurs « game changer » pour l’Europe, malgré le fait que son horizon réel soit encore indéterminé. Au sein de l’Institut Thomas More, Cyrille Dalmont ne croit cependant pas trop à cette possibilité : « On ne passe pas de la charrette à bras à la Ferrari. Il n’y a jamais eu de telles ruptures technologiques dans l’Histoire. Pour viser les étapes d’après, il faut pouvoir s’appuyer sur un écosystème industriel cohérent aujourd’hui. Le message des lobbies chinois ou américain est de dire, tout est perdu, l’Europe ne rattrapera pas son retard. Mais ce n’est pas aussi simple : les Chinois eux-mêmes ont bien été capables de développer leur propre operating system mobile en seulement deux ans pour faire face à la situation critique de l’embargo technologique américain ! ».
Pour lui, à condition de changer le droit à la concurrence européen et la nature des investissements réalisés, faire émerger un écosystème souverain, porté par des rapprochements en différents Etats-Membres est envisageable. « Les Etats doivent reprendre la main : il faut une coopération interétatique mais qui ne serait pas soumis au droit européen de la concurrence. C’est possible : dans les commentaires concernant le Chips Act européen, la Commission reconnait elle-même qu’elle va devoir accepter des exceptions à l’interdiction générale des aides d’Etats au vu du montant des investissements concernés ».
Faut-il donc militer pour que la Commission Européenne lève également ces règles pour permettre la création d’un cloud interétatique « souverain » ? Interrogé par Alliancy sur la question en marge de l’assemblée générale du Cigref le 12 octobre dernier, Jean-Noël Barrot, ministre français du numérique, n’était pas aussi catégorique : « L’idée est plutôt de porter une “politique de concurrence 2.0” qui fasse que tout le monde joue avec les mêmes règles. La mise en place de DMA, DSA, du Data Act, vont dans ce sens, avec une politique antitrust cohérente. Il faut faire en sorte que l’espace numérique qui échappait aux règles de la concurrence soit traité comme tous les autres espaces économiques ».
Rétablir la confiance au niveau international
Du côté de la BSA Software Alliance, la vision d’un « bloc occidental » parait être la plus réaliste. « On ne voit pas d’alternatives sur le cloud aux différents hyperscalers. Alors oui, il y a des tensions entre pays occidentaux, mais ils sont aussi des alliés. Les difficultés sont des sujets diplomatiques » estime Thomas Boué, qui pense que l’OCDE et le G7, le groupe de discussion et de partenariat économique qui réunit Etats-Unis, France, Canada, Allemagne, Royaume-Uni, Japon et Italie, sont les meilleurs canaux pour répondre aux doutes sur les clouds de confiance. « Nous sommes mobilisés auprès de ces institutions, car pour nous il faut avant tout construire des gardes fous limitant la tentation des gouvernements de part et d’autre de toucher aux données utilisées par les citoyens et les entreprises. Il faut redéfinir une base de négociation saine. Nous espérons qu’un accord au niveau de l’OCDE sera défini dans les prochaines semaines pour recréer la confiance qui a été perdue du fait des révélations d’Edward Snowden en 2013 sur les pratiques d’espionnages. »
Et les entreprises dans tout cela ? A ce stade, l’enjeu est avant tout de les faire gagner en maturité dans leur gestion du risque et de leurs responsabilités vis-à-vis des données. « C’est très visible sur les différents niveaux de certification de type EUCS ou SecNumCloud. Il faut qu’elles aient le réflexe de comprendre ce qu’implique comme contraintes le plus haut niveau de protections et pourquoi. Si toutes les données et services sont traités de la même manière, cela n’a aucun sens ». Mais au-delà, les acteurs de l’écosystème ne manqueront pas de peser pour que des espaces de souveraineté soient envisagés et développés : à l’annonce de la création du consortium Numspot, le Cigref a ainsi immédiatement réagit, au même titre que le gouvernement français, pour saluer l’initiative, en précisant que l’association appelait pragmatiquement de ses vœux l’émergence de solutions industrielles répondant à son référentiel de Cloud de confiance.