À la suite de l’approbation accordée par la CNIL le 31 janvier dernier sur l’hébergement de certaines données de santé par Microsoft, une réalité déplorable a bien été révélée ; l’Europe est face à un dilemme, d’une part, elle éprouve un besoin accru des services proposés par les hyperscalers américains et d’autre part, elle doit affirmer sa souveraineté.
Actuellement, selon le rapport appuyant la décision en cause, les services cloud présentés par les homologues européens ne sont pas à la hauteur pour subvenir aux besoins du projet envisagé.
Cette situation témoigne de la dépendance croissante de l’Europe aux hyperscalers étrangers pour les services cloud. Une dépendance qui l’expose à des risques importants en matière de protection des données et de souveraineté numérique.
Mise en contexte
Face à ces conséquences alarmantes, des mesures sont prises par l’Union européenne. Au niveau national, la France de son côté contribue à ce mouvement de transition politique.
L’objectif aujourd’hui est de garantir que la France puisse contrôler ses propres données et infrastructures numériques, tout en favorisant l’innovation, la croissance économique et la protection de l’environnement.
Plusieurs solutions sont mises en avant par cette politique.
Solutions pour renforcer la souveraineté numérique
- Stratégie d’accélération Cloud
Entre la fin de 2020 et 2021, un intérêt particulier à ces sujets a été explicitement formulé à travers les stratégies d’accélération annoncées à l’occasion de la présentation de France Relance.
Ainsi, la France a posé les piliers majeurs de sa politique de l’économie numérique. À travers ce projet, elle forge sa stratégie sur des fondements robustes ayant pour objectif principale :
- Soutenir des investissements prioritaires pour la transition économique et sociale.
- Mobiliser tous les leviers nécessaires pour soutenir l’innovation, depuis la conception jusqu’au déploiement en lien avec les territoires.
L’importance du cloud et sa place emblématique lui ont permis de prendre une place significative au sein de ces stratégies.
Le gouvernement français a même lancé une stratégie nationale pour le cloud, axée sur trois piliers : le visa SecNumCloud, la doctrine « cloud au Centre » et la stratégie d’accélération cloud.
Cette stratégie holistique vise à soutenir et développer, avec un investissement de 1,8 milliard d’euros et ce pour stimuler l’innovation et favoriser l’émergence de champions français dans le domaine du cloud.
Plusieurs projets innovants et à forte valeur ajoutée ont déjà été financés pour 380 millions d’euros.
- Accompagnement des PME vers le visa SecNumCloud
Le projet France 2030 évoque l’importance de l’accompagnement des projets cloud national dès la conception.
C’est dans cette optique que l’ANSSI a mise en œuvre un dispositif d’accompagnement à la qualification pour les jeunes pousses et les PME proposant des services en PaaS/SaaS afin de favoriser l’obtention des visas par ces organismes et la modernisation des entreprises et des administrations.
En outre, des projets sont également en cours de développement sur la scène régional. Des collaborations entre États membres sont notamment perçues dans le domaine du cloud.
- PIIEC Cloud Coordonné France-Allemagne
Ce projet européen d’importance stratégique vise à renforcer la souveraineté numérique de l’Europe en développant des technologies avancées du cloud, contribuant ainsi à réduire la dépendance aux fournisseurs étrangers et à promouvoir l’innovation.
- IPCEI-CIS
Lancé sous la présidence allemande, ce projet européen rassemble 12 États membres pour achever une infrastructure cloud-edge de nouvelle génération. Cette initiative est orientée sur des principes tels que l’interopérabilité, la durabilité, la cybersécurité et la standardisation.
- Gaia-X
Avec un aspect plus technique, Gaia-X est conçu comme une association professionnelle axée sur des valeurs communes de cloud, elle instaure les lignes directives de la collaboration entre État membre en matière de cloud. Elle se centre principalement sur des principes techniques qui permettront la facilitation des échanges de données sectorielles et l’établissement de normes d’interopérabilité.
Réponse des hyperscalers américains
Les hyperscalers américain directement concernés ont commencé de leur part à élaborer des solutions qui pourraient apaiser les craintes des États membres. AWS par exemple a annoncé que « des systèmes de garanties, de contrôles et de dispositifs de sécurité permettront aux clients d’appliquer des restrictions d’accès afin qu’aucune personne non accréditée, y compris au sein d’AWS, ne puisse accéder à leurs données personnelles ».
Restrictions et Défis
Malgré ces initiatives, des menaces sont imminentes ; le manque de collaboration découlant d’une divergence entre les différents États membres pourrait éventuellement entraver cette trajectoire. La France pourrait éventuellement être amenée à abandonner cette position « laxiste » et « ciblée » contre les entreprises américaines. Des pressions politiques pourraient donc intervenir incombant des changements au niveau de ces initiatives.
Actuellement, les négociations des critères pour la certification cloud européen « EUCS » (European Union Cybersecurity Certification Scheme for Cloud Services), sont révélatrices de ces tensions. Ces négociations s’accentuent sur le sujet de la suppression des exigences autour de la localisation des données dans les niveaux les plus élevés de la certification.
Des États s’avèrent favorables aux pratiques américaines et notamment par exemple l’Allemagne et le Pays-Bas qui se montrent indulgents dans ce contexte et sont défavorables à certaines mesures considérées sévères.
Néanmoins, les répercussions à venir sont non négligeables surtout par rapport à la souveraineté des États membres. L’Europe risque de s’enfermer davantage dans une dépendance technologique et économique aux GAFAM.
La récente prorogation par Washington du Foreign Intelligence Surveillance Act (FISA), avec une extension de son champ d’application et du principe d’extraterritorialité sur les données, pose de nouveaux défis à l’Europe.
Donc même si des solutions sont notamment avancées par la France, des contraintes pourraient intervenir. Les divergences au sein de l’Union ralentissent la procédure et bloquent la possibilité de collaboration.
Sources :
https://www.economie.gouv.fr/cloud-cinq-nouveaux-dispositifs-soutenir-developpement-secteur#
https://www.entreprises.gouv.fr/fr/actualites/commission-europeenne-approuve-lancement-piiec-cloud-coordonne-france-allemagne
https://www.economie.gouv.fr/cloud-cinq-nouveaux-dispositifs-soutenir-developpement-secteur#
https://www.entreprises.gouv.fr/fr/actualites/france-2030/des-avancees-significatives-pour-l-offre-cloud-de-confiance
https://france.representation.ec.europa.eu/strategie-et-priorites/les-politiques-cles-pour-la-france/le-soutien-la-transition-numerique-en-france_fr
https://www.bpifrance.fr/download/media-file/75935#:~:text=Le%202%20novembre%202021%2C%20le,le%20cadre%20de%20France%202030.
https://www.01net.com/actualites/la-cnil-valide-microsoft-comme-hebergeur-de-donnees-de-sante-des-francais-mais-avec-des-regrets.html
www.euractiv.fr/section/donnees/news/souverainete-dans-le-cloud-les-divergences-saccentuent-entre-france-et-allemagne
https://www.contexte.com/article/tech/gaia-x-souverainete-cloud_150712.html