La guerre en Ukraine, les tensions avec la Chine ont brutalement fait prendre conscience aux Européens que l’économie numérique ne relevait pas seulement de la politique commerciale mais soulevait des enjeux de puissance, de souveraineté et d’autonomie stratégique. Dans cette économie, la question du Cloud européen et de la réglementation qu’on lui applique, est devenue cruciale. Il est urgent que la Commission européenne élabore une politique de souveraineté cohérente et efficace. Cet article propose quelques pistes de réflexion. L’Europe a besoin dans ce domaine d’un « Buy European Act », miroir du « Buy American Act », qui structure la politique américaine depuis longtemps.
Qu’est-ce que le Cloud ?
Le terme « Cloud » est trompeur. Il donne l’impression que quelque chose d’immatériel flotte au-dessus de nos têtes. Une sorte de nuage de données qui nous suivrait un peu partout. C’est poétique, certes, mais très loin de la réalité.
Le Cloud, c’est à la fois une réalité matérielle et logicielle, qui consiste en une immense mise en commun de capacités informatiques. Pour le dire trivialement : le Cloud, c’est utiliser pour soi l’ordinateur… de quelqu’un d’autre. Ou si l’on veut être plus technique : c’est la mutualisation des capacités de calcul de serveurs répartis dans des data centers, eux-mêmes interconnectés par des réseaux Télécoms. Quand on parle de Cloud, on parle donc d’une accumulation de couches technologiques, aussi bien des câbles, des satellites, des centres de données, des serveurs, que des briques logicielles. Ce sont d’ailleurs ces briques logicielles qui créent aujourd’hui l’essentiel de l’intelligence, les économies d’échelle et les gains de productivité incroyables associés au Cloud.
Le Cloud s’est peu à peu imposé comme une « mise en données » vertigineuse de notre monde. Derrière ce terme se cachent nombre de gestes de notre quotidien : la consultation de son solde bancaire sur son smartphone, le stockage de ses photos ou la recherche de son itinéraire. Mais le Cloud est aussi devenu déterminant pour les entreprises et les administrations notamment dans le traitement d’informations sensibles comme les données de santé des Français, qui devraient être gérées par Microsoft au travers du « Data Health Club ». Le Cloud va devenir aussi de plus en plus stratégique pour la bonne conduite de certaines fonctions régaliennes de l’Etat et s’imposer comme une technologie non seulement civile mais aussi militaire. C’est pourquoi l’Europe doit être capable de proposer des alternatives industrielles face à la montée en puissance des fournisseurs de Cloud américains ou encore chinois, qui connaissent aujourd’hui la progression la plus rapide à l’échelle mondiale.
Le Cloud est un enjeu de souveraineté pour l’Europe
Nous sommes confrontés à trois menaces :
- Une dépendance accrue à des solutions techniques non-européennes,
- Une exposition des citoyens et des sociétés européennes à des législations extraterritoriales,
- La difficulté face à cette situation de dépendance industrielle et réglementaire, de continuer à défendre des valeurs européennes dans la sphère numérique.
L’Europe dépend – et elle en est en grande partie responsable – de plus en plus d’acteurs comme Amazon Web Services, Microsoft, Google cloud platform, ou encore le chinois Alibaba qui fournissent plus de 75 % des services Cloud en Europe, avec une réelle efficacité. La part de marché de ces quelques acteurs n’a cessé de croître au cours des dernières années, quand celle des Européens n’a, dans le même temps, eu de cesse de baisser. Les Etats-Unis sont les alliés des démocraties européennes, mais certains de nos intérêts économiques sont divergents, nous n’avons pas la même conception de la protection de la vie privée, et même sur les questions stratégiques et de défense, des désaccords peuvent émerger, comme on l’a vu lors de la présidence Trump.
Les données stockées et traitées par les Etats-Unis ou la Chine sont soumises à des législations non-européennes, motivées par des intérêts de sécurité nationale. Depuis 2015, la Cour de Justice de l’Union Européenne a invalidé de façon répétée les mécanismes mis en place pour permettre le transfert de données vers les Etats-Unis (invalidation du Safe Harbor en 2015, du Privacy Shield en 2020 via l’arrêt Schrems II), estimant que le régime de protection des données personnelles outre-Atlantique n’est pas équivalent aux protections offertes par le droit européen.
Ces législations non-européennes, auxquelles sont assujettis les acteurs dominants sur les marchés du Cloud, s’appliquent en outre sur le sol européen. Citons par exemple le Cloud Act, peut-être le plus emblématique, adopté par l’administration Trump en 2018. Ce texte permet aux autorités américaines, en cas d’enquête criminelle, de saisir, de manière légale et sans aucune procédure préalable, toutes les données qui pourraient « menacer l’ordre public » – une formule pour le moins floue – et seraient opérées par des services de Cloud américains. Cette saisie peut avoir lieu non seulement aux États-Unis, mais aussi à l’étranger, donc sur le sol français et européen, ce qui est beaucoup plus intrusif, et porte atteinte à la souveraineté. Citons encore le FISA (Foreign Intelligence Services Act) : votée en 1978 par le Congrès américain et modifiée en 2008 par le FISA amendment Act : cette législation autorise les administrations américaines à collecter, utiliser les données personnelles détenues par des personnes morales américaines, et permet de cibler spécifiquement, via sa section 702, les citoyens non-Américains, situés en dehors du territoire des Etats-Unis. Cette définition américaine de l’extra-territorialité est classique, et correspond à leur vision de la défense de l’intérêt national, mais elle fait courir un risque majeur à l’intégrité et à la confidentialité des données européennes.
Enfin, la souveraineté porte aussi sur un corpus de valeurs à défendre. A travers le numérique, c’est une vision du monde, de la place de l’Homme, de l’imaginaire, qui se construit. Le numérique a été, depuis vingt ans, la force de transformation la plus puissante de notre société. Ainsi, en acceptant la domination d’un Cloud non-européen, ce sont aussi nos valeurs dans la sphère numérique qui sont menacées. Ces « valeurs européennes numériques », diffèrent très nettement de celles des deux autres superpuissances, Etats-Unis et Chine, en particulier en termes de protection des données, de défense de la sphère privée, de transparence, d’Etat de droit et de séparation des pouvoirs. L’Europe doit continuer à refuser à la fois le capitalisme de surveillance et la dictature numérique.
Les data centers ne suffisent pas
Le Cloud, ce ne sont pas que les infrastructures physiques ! On a trop souvent tendance à croire que, si on a le data center, alors on a les données. C’est une vision simpliste, trop répandue en Europe. Les data centers ne sont pas l’enjeu principal. C’est la maitrise de ce que l’on appelle la « couche logicielle », celle qui permet de rendre intelligibles les données, de les exploiter, qui est au cœur de la bataille. Ce n’est d’ailleurs pas une simple coïncidence si tous les géants des marchés du Cloud – Amazon Web Services, Microsoft et Google – sont d’abord et avant tout des entreprises logicielles.
Dans son rapport Bilan approfondi des dépendances stratégiques de l’Europe, publié en février dernier, la Commission européenne a souligné combien notre continent était dépendant des technologies logicielles Cloud américaines. On pourrait aller jusqu’à dire, en poussant la provocation, qu’il existe en Europe une forme d’acceptation de cette situation, une « servitude volontaire », qui consiste à nous lier les mains, en confiant l’intégralité de nos données à une poignée de plateformes, américaines et chinoises. Dans un monde marqué par l’instabilité géopolitique, ce n’est sûrement pas une voie prudente pour l’avenir. Bien sûr, il ne s’agit pas de se couper du monde et de l’excellence technologique autour de nous – ce serait un non-sens politique, économique et industriel – mais dans un univers ultra-concurrentiel, nous devons pousser notre avantage, valoriser notre industrie Cloud et logicielle. Evitons de nous réveiller dans quelques années, comme c’est le cas aujourd’hui avec l’énergie, en prenant brusquement conscience d’un état complet de dépendance.
La France s’est attaquée au sujet en créant le principe de Cloud de confiance et la certification SecNum Cloud, délivrée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)
La qualification SecNumCloud, conduite par l’ANSSI, permet d’apporter, pour certains cas d’usage, des garanties de mise en œuvre de techniques de cybersécurité indispensables. Mais, si cette démarche répond à une vraie inquiétude des entreprises et des administrations, elle ne peut constituer à elle seule une politique industrielle digne de ce nom. Or, ce souci légitime de lutte contre le risque cyber en est venu à structurer une partie de l’écosystème Cloud français avec la mise en place de partenariats entre des fournisseurs américains de logiciels Cloud et des industriels français, en simple position de revendeurs : Microsoft associé à Orange et Capgemini, sous le nom BLEU, ou encore Google épaulé par Thalès, dénommé S3NS. Ces partenariats ont bel et bien été une réponse au label de « Cloud de confiance », développé par le gouvernement français pour parer à une double inquiétude – le risque cyber et la tentative d’immunité face à des législations extraterritoriales. Ce label, a priori rassurant, et ces partenariats constituent très certainement une réponse nécessaire à court terme pour permettre aux administrations françaises et aux entreprises de continuer à utiliser des solutions extra-européennes mais en aucun cas une réponse suffisante à la hauteur des enjeux à plus long-terme, en matière de volonté d’autonomie. On peut même considérer que le « Cloud de confiance » crée une illusion de souveraineté. Le bon déroulement de ces partenariats sera ainsi tributaire à la fois de l’évolution fluctuante du cadre juridique mais aussi, dans certains cas, du régime de contrôle des exportations aux États-Unis en matière de licences, avec par exemple la réglementation ITAR dans le domaine de l’armement. L’administration américaine, sous Donald Trump, a ainsi instrumentalisé à plusieurs reprises cette clause ITAR pour compliquer l’exportation du Rafale.
L’actualité récente renforce ces inquiétudes : une étude commandée par le ministère de la Justice des Pays Bas interroge sur l’immunité réelle à la portée extraterritoriale du droit américain, des offres qui découlent de ces partenariats. Ainsi, selon ce rapport : « le Cloud Act peut accéder aux données via des sous-traitants/fournisseurs de matériel et de logiciels, de/vers les fournisseurs de Cloud » . Du fait de l’exposition de ces offres au FISA, l’étude pointe aussi le risque accru lié à l’installation de portes dérobées dans les logiciels d’infrastructures Cloud, sans que leur code source ne soit accessible, ou auditable par l’ANSSI.
D’autre part, la conformité avec la jurisprudence européenne (arrêt Schrems II) va de nouveau être au cœur des débats, à la suite de la signature récente par le Président américain Joe Biden d’un Executive Order visant à surmonter les limitations des transferts des données personnelles de l’Union européenne vers les Etats-Unis – dans le respect des arrêts passés de la Cour de justice de l’Union européenne. Ce décret présidentiel américain a pour objet de mieux garantir la « proportionnalité » des dispositifs de surveillance américains, tout en introduisant de véritables voies de recours judiciaire. Il a été négocié avec la Commission européenne, mais cette démarche doit encore être validée par le Parlement européen, alors que certains députés européens critiquent déjà ce texte pour ses insuffisances.
Quelle que soit l’issue des discussions politiques et des recours à venir devant la CJUE, cette séquence souligne de manière saillante à quel point la stabilité de notre cadre juridique européen est dépendante des positions prises en dehors de notre continent.
Un Cloud Européen est-il encore possible ?
Un Cloud européen est non seulement possible, mais terriblement nécessaire. Il n’y a pas de fatalité technologique qui nous condamnerait à n’être que des revendeurs européens de solutions logicielles américaines ou chinoises, car la bataille du Cloud n’est pas perdue ! En réalité, le Cloud européen existe déjà, y compris dans sa dimension logicielle, car l’Europe a pour elle des ingénieurs parmi les mieux formés au monde, des entrepreneurs engagés, des entreprises positionnées sur la couche logicielle comme OVH, Outscale ou Scaleway (filiale du groupe Iliad), extrêmement dynamiques. Ce tissu industriel qui porte le Cloud européen a atteint une maturité permettant de satisfaire plus de 80% des cas d’usage rencontrés. Et contrairement aux écosystèmes américains ou asiatiques, les entreprises européennes du Cloud ont réussi à se développer, sans commande publique massive de l’Etat, ni marchés réservés à leur profit – basant leur croissance sur la seule qualité́ de leurs offres, dans un environnement concurrentiel très difficile face à la domination de quelques acteurs. L’Autorité de la Concurrence s’est d’ailleurs lancée, en France, en 2022, dans une enquête sur le fonctionnement concurrentiel du secteur du « Cloud ». Ses homologues aux Pays-Bas ou encore au Japon ont, plus tôt cette année, aussi pointé un certain nombre de pratiques anticoncurrentielles renforçant le positionnement des acteurs dominants. Cette attention croissante, aux quatre coins du globe, marque une prise de conscience du rôle structurant du Cloud.
La possibilité d’un rattrapage puis d’un rééquilibrage par rapport aux offres américaine et chinoise est donc réaliste. Mais à trois conditions.
D’abord, une plus grande confiance dans l’initiative privée. C’est parce que la NASA et la DARPA ont su faire confiance à Elon Musk qu’il a pu, en quelques années, développer Space X. Une réussite qui devrait nous inspirer, en Europe, pour créer un cercle vertueux, afin de valoriser l’initiative privée et la prise de risque.
La seconde condition, c’est une volonté politique forte, à l’échelle européenne. Si les Etats-Unis sont si puissants sur le Cloud, c’est parce que la commande publique gigantesque – dont on connait les effets d’entrainement – appuyée sur la taille du marché américain a joué un rôle clé dans l’adoption précoce des technologies Cloud. En effet, la stratégie de l’administration américaine concernant les services Cloud a été définie dès 2011 avec Cloud First, soit avec 10 ans d’avance par rapport à la France et la mise en place de la doctrine « Cloud au Centre ». Et dans cette commande publique, la Défense a évidemment un grand poids. L’adoption de services Cloud fait ainsi partie intégrante de la stratégie de défense nationale et de modernisation numérique du Pentagone avec notamment une commande de 10 milliards d’euros dans le cadre du contrat Jedi.
Il y a également une troisième condition. Chaque grande puissance (Etats-Unis, Chine, Inde, Brésil, Corée du Sud) a mis en place des réglementations en matière de localisation des données. Ces règles souvent liées à des problématiques de sécurité nationale, rendent « compliquée », c’est un euphémisme, une concurrence libre et non-faussée entre acteurs locaux et Européens. Elles structurent de fait des marchés captifs. Seul le marché européen n’est pas protégé. D’où cette situation assez cocasse qui fait que les industriels européens du numérique, bien que privés de débouchés éventuels importants à l’export, subissent, sur ce qui devrait être leur pré-carré, une concurrence étrangère féroce – nourrie à la mamelle de la commande publique locale – sur tous les segments de marché, y compris lorsque des données sensibles ou critiques sont en jeu.
La « bonne nouvelle », c’est que l’Europe, ses entreprises, ses administrations sont en retard dans l’adoption du Cloud : seulement 30% des capacités informatiques et 42% des entreprises européennes ont basculé vers ces solutions contre 94% aux Etats-Unis. Les prochaines années seront donc riches d’opportunités pour les industriels européens qui, malgré un contexte marqué par une forte adversité (pas de forte commande publique, ni de marchés réservés), ont su baser leur croissance sur la seule qualité́ de leurs offres. Collectivement, nous aurions ainsi tout à gagner à graver dans le marbre notre volonté, bien réelle, d’acheter européen, pour entamer un rééquilibrage des dynamiques de marché. Aux Etats-Unis, l’administration Biden s’emploie d’ailleurs à renforcer le Buy American Act, pour y intégrer l’achat de produits liés aux technologies de l’information, autant sur la couche matérielle que logicielle.
Accélérer l’adoption du Cloud et renforcer notre indépendance technologique : tel est le « en même temps » qui doit rythmer l’action collective européenne. A cet égard, on ne peut que regretter les promesses non-tenues de GAIA-X, initiative qui, à son lancement en juin 2020, visait à « garantir la souveraineté, la disponibilité, l’interopérabilité et la portabilité des données » et, « promouvoir la transparence » dans le Cloud en Europe. Deux ans et demi plus tard, l’impact de cette initiative est nul, notamment en raison d’une gouvernance ambiguë qui a rendu l’organisation perméable à l’influence des géants du numérique – à tel point que certains parlent désormais non plus de GAIA-X mais de « GAFAM-X ».
L’Etat peut, et doit, faire preuve de créativité pour favoriser, à travers l’achat public, des offres numériques et des entreprises qui créent de la valeur, de l’emploi en Europe, sont respectueuses des plus hauts standards en matière de protection des données, de réversibilité, d’interopérabilité, comme sur le plan environnemental… En somme, créer une doctrine de l’achat numérique responsable, qui irait bien au-delà des considérations de cybersécurité. La question environnementale doit y occuper une place essentielle. Seul un Cloud européen souverain permettrait de concilier deux exigences : d’un côté, le développement technologique – qui est indispensable – et, de l’autre, la protection de notre planète – qui est vitale. Au cours de la dernière décennie, la consommation énergétique du secteur numérique a augmenté très fortement, représentant désormais entre 6% et 10 % de la consommation mondiale d’électricité, qui est très intense en carbone à l’échelle planétaire. Les data centers et les serveurs qu’ils renferment ont évidemment un poids important dans ces évolutions. Un exemple : à l’horizon 2030, selon la direction régionale et interdépartementale de l’environnement et de l’énergie (DRIEE), les data centers pourraient représenter à eux seuls le quart de l’augmentation des besoins en énergie du Grand Paris, soit 1 000 MW sur un total estimé entre 3 000 et 4000 MW ! Par ailleurs, la fabrication des serveurs qu’ils accueillent a un impact environnemental considérable.
L’industrie des data centers et du Cloud doit donc répondre à ce défi. L’été caniculaire que nous venons de traverser a mis un coup de projecteur sur des pratiques très dispendieuses en matière de consommation d’énergie et d’eau. En Irlande, au Royaume-Uni, au Pays-Bas, en Allemagne, au Luxembourg, la question des data centers s’invite dans le débat citoyen, et politique.
L’Europe compte déjà parmi les acteurs les plus vertueux sur le plan environnemental, à l’échelle mondiale à la fois en termes d’efficacité énergétique mais aussi en termes d’utilisation de l’eau. Si l’on veut que la puissance publique, nationale et européenne, valorise les approches innovantes et fixe des objectifs environnementaux ambitieux à ce secteur industriel, il faut que les acteurs concernés dépendent de leur législation.
Le Cloud a une dimension (géo)politique évidente, et la force de l’autorité publique pour accompagner les acteurs européens reste encore sous-exploitée. Les résistances sur ce sujet demeurent fortes de la part de certains partenaires européens. Le travail de pédagogie sera long, avant d’assister à un « grand soir » de la préférence européenne.
Emmanuel Macron s’est encore récemment érigé en défenseur de la préférence européenne pour les véhicules électriques. D’autres initiatives sur les semi-conducteurs ou l’hydrogène sont tout en haut de l’agenda politique pour une vraie souveraineté européenne. Toutes ces initiatives ont en commun de s’appuyer sur des solutions Cloud et ne seront véritablement autonomes que si elles reposent sur un Cloud réellement européen. La prise de conscience est en marche. Quelques exemples : des députés européens ont pris position cet été en faveur d’un « Buy European Tech Act », des fournisseurs européens de technologie Cloud se sont organisés au sein d’Euclidia. La tectonique des plaques évolue. Sortons la tête des « nuages » : le Cloud européen est indispensable à la souveraineté de l’Europe.
La Cour de justice de l’Union européenne (CJUE) a rendu le 16 juillet 2020 un arrêt majeur, dit « Schrems II », invalidant le régime de transferts de données entre l’Union européenne et les États-Unis (Privacy shield). Les conséquences de cet arrêt sont nombreuses pour les organismes qui souhaitent transférer des données.
https://english.ncsc.nl/latest/weblog/weblog/2022/how-the-cloud-act-works-in-data-storage-in-europe
https://www.techtarget.com/searchcio/feature/Biden-wants-review-of-IT-exemption-in-Buy-American-law
https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html
https://www.politico.eu/article/grand-duchy-roars-at-google-data-center-luxembourg/