[REPLAY] Le cloud souverain – conférence annuelle 2021
8 décembre 2021
[INTERVIEW] Regards croisés sur le cloud souverain
20 janvier 2022
Par Magali Vennin
La conférence annuelle consacrée au Cloud Souverain s’est tenue le 1er décembre 2021 à Sciences Po. Organisée par la Chaire Digital, Gouvernance et Souveraineté cette conférence a entre autres permis aux étudiantes et étudiants d’écouter des acteurs et actrices du monde digital afin de penser aux stratégies numériques en France et à l’étranger. Cet évènement s’est notamment articulé autour de deux panels : le premier portait sur la question suivante « Avons-nous vraiment besoin d’un cloud souverain ? Les risques réels ou supposés du transfert de données hors de l’Europe », alors que le second interrogeait les possibles modalités de la mise en place d’un cloud souverain en France.
L’importance d’un échange autour du digital, s’inscrivant dans les enjeux actuels
Le directeur de Sciences Po, Mathias Vicherat, a introduit la conférence en rappelant l’importance triple de cette thématique. Premièrement, dans un contexte de crise sanitaire, la protection des données de santé de la population est devenue un enjeu majeur, comme l’illustre la question du Health Data Hub, dont la gestion a été confiée à Microsoft. Dans un tel contexte, on peut s’interroger sur le point de savoir s’il est nécessaire d’envisager un cloud souverain dans lequel les données seraient stockées par des acteurs européens. Deuxièmement, la question du cloud souverain est un enjeu de gouvernance et de citoyenneté. A cet égard, Sciences Po s’est engagé dans la transition numérique et digitale, notamment grâce au partenariat conclu avec l’ Institut Franck McCourt. Enfin, cette conférence annuelle s’inscrit dans l’actualité, car la question du cloud souverain sera traitée dans le cadre de la Présidence française de l’UE.
La Présidente du CNNUM Françoise Mercadal Delasalles, a ensuite rappelé l’importance majeure de la question du cloud souverain, vingt ans après la grande révolution numérique. En effet, ce sujet symbolise les promesses et difficultés de l’ère numérique, de l’utopie des débuts du web, avec ses promesses de liberté et d’autonomie, à la mue porteuse d’asymétrie au bénéfice des acteurs dominants du web qui maitrisent les nouvelles technologies et disposent des moyens pour garder un temps d’avance. Rappelant l’importance du partenariat entre Sciences Po et Franck McCourt, madame la Présidente a invité les étudiants à réfléchir à la notion de souveraineté et a suggéré d’élargir cette thématique à la question de l’autonomie de l’individu dans un contexte de centralisation accrue des données.
Les risques des transferts des données hors de l’Europe ou du stockage par des prestataires non européens
Une réflexion a ensuite été engagée dans le cadre du premier panel, consacré aux risques du transfert de données hors de l’Europe. Florence G’sell, professeur de droit à l’Université de Lorraine et titulaire de la Chaire Digital, Gouvernance et Souveraineté, a introduit le panel en rappelant que 70% de l’offre de cloud en Europe provient des grandes entreprises technologiques américaines (Amazon, Microsoft, Google). Cette situation pose un problème du point de vue de l’indépendance technologique mais aussi de grandes difficultés juridiques car les données détenues par les entreprises américaines sont à la merci des règlementations extraterritoriales et des programmes de surveillance américains. Dans ce contexte, le gouvernement français a récemment annoncé un soutien à la filière française du cloud à hauteur de 1.8 milliard sur 4 ans. Il a également créé le label « cloud de confiance » qui certifie que le stockage des données est réalisé dans des conditions permettant de garantir l’« immunité » par rapport aux lois extraterritoriales américaines. Mais peut-on vraiment s’assurer que le recours à des fournisseurs américains se fasse avec des garanties techniques et juridiques satisfaisantes ?
Madame Claire Gayrel du Contrôleur européen de la protection des données (CEPD) a rappelé le cadre législatif européen. Elle a souligné que la question de la protection des données devait être analysée à la lumière de l’article 8 de la CEDH, selon lequel chacun doit pouvoir bénéficier de la protection de ses données à caractère personnel, et dans lequel s’est inscrit le « Privacy Shield » invalidé en 2020. Elle a également rappelé que le CEPD veille à ce que le stockage et l’éventuel transfert des données se fassent en accord avec les valeurs européennes.
L’intervention de Bertrand Pailhès, Directeur de l’innovation et des technologies à la CNIL, s’est ouverte sur un rappel que la définition du mot « souveraineté » doit être déterminée en amont de tout débat : il s’agit dans ce contexte de la primauté du droit européen à appliquer au monde numérique. Ce droit européen a vocation à s’appliquer, bien que les trois principaux fournisseurs de cloud dans le monde – les « hyperscalers » – soient américains. Dans ce cadre, il est possible d’envisager des partenariats entre fournisseurs de service américains et opérateurs français. C’est qu’a été lancé le « Projet Bleu », fruit d’une collaboration entre Orange et Capgemini ainsi que l’accord récemment conclu entre Google et Thalès.
Enfin Charles Thibout, chercheur associé à l’IRIS et chercheur au Centre européen de sociologie et de science politique, est intervenu au sujet de l’évolution récente dans la protection des données en Chine : en effet, la loi chinoise sur la Protection des Informations Personnelles (LPIP) est entrée en vigueur le 1er novembre 2021, transformant complètement les habitudes de traitement de données en Chine. Ce changement de règle place les GAFAM dans « une situation intenable ». « Soit ils coopèrent avec le régimes chinois et enfreignent les règles américaines (ndlr car ils ne respectent pas le Cloud Act ou le FISA), soit ils se délient de leur obligation vis-à-vis de Pékin, ce qui les exclut du marché chinois ». La protection des données devient un enjeu géopolitique, avec un rééquilibrage du rapport de force entre la Chine et les États-Unis.
Les modalités du Cloud souverain en France
Le second panel consacré aux modalités du Cloud souverain en France s’est ouvert avec une courte introduction de la part de Sarah Guillou, modératrice du panel et par ailleurs, directrice du département Innovation et Concurrence, OFCE-Sciences Po ainsi que membre du comité scientifique de la Chaire Digital, gouvernance et souveraineté de Sciences Po. Alors que certaines entreprises ont besoin de pouvoir accéder à des services de Cloud (et doivent ainsi s’en remettre à de grands acteurs), comment anticiper la concentration des pouvoirs de marché et les conséquences que celle-ci pourrait avoir sur les dynamiques de marché ? Si le débat avait déjà été tenu à propos du transfert de technologies il y a quelques années, quid du transfert des données ? Enfin, comment éviter le contournement des régulations par les grands acteurs privés, à l’instar des GAFAM en Chine, comme évoqué lors du premier panel ? Ce deuxième panel évoque ainsi la problématique industrielle de la création d’un cloud souverain.
L’intervention de Christian Saint-Etienne, Professeur titulaire de la Chaire d’économie industrielle au Conservatoire National des Arts et Métiers, a débuté par une présentation de la note de l’Institut Choiseul, intitulée « Favoriser l’adoption du cloud en France » ; celle-ci se concentre sur les conditions via lesquelles la France pourrait rattraper son retard dû à la « désindustrialisation massive (…) qui engendre un déficit extérieur ». Le cloud devrait ainsi se penser dans un contexte de réindustrialisation par « la robotisation, la numérisation, et l’implantation de l’intelligence artificielle dans tous les secteurs productifs ». L’économiste formule deux propositions : (i) le soutien par le gouvernement d’OVH et Scaleway face aux grands acteurs ; (ii) le chiffrement des données dans la négociation des contrats, afin de répondre aux enjeux posés par le duopole sino-américain. Pour lui, une stratégie réaliste en matière de cloud devrait se traduire par des politiques d’investissement à hauteur de 30 milliards d’euros par an pour aboutir à une véritable réindustrialisation.
Yann Lechelle, CEO de Scaleway, s’est ensuite exprimé au sujet des enjeux industriels de l’industrie de Cloud. Il a regretté avant tout les conclusions de la note de l’Institut Choiseul qui soutient la politique du gouvernement. Or, pour lui celle-ci n’est « pas à la hauteur de la complexité de l’enjeu » et se révèle « simple voire simpliste ». En matière de souveraineté, il constate qu’il n’existe pas de « souveraineté numérique, ni en France ni en Europe ». Ainsi, l’Europe ne serait « qu’un porte-monnaie pour alimenter les caisses américaines ». Développer une offre de cloud en France impliquerait donc de créer – en collaboration avec les acteurs locaux du système – une offre ouverte au marché, s’alignant avec les réglementations nationales.
Ce fut ensuite au tour de Catherine Morin-Desailly, sénatrice de la Seine-Maritime, d’envisager les politiques industrielles devant soutenir les acteurs européens. Après avoir souligné le retard des politiques industrielles en Europe, madame la Sénatrice a insisté sur la nécessité de se préoccuper davantage du « développement de cet écosystème». Ce développement est d’autant plus important qu’il existe aujourd’hui, selon elle, une menace numérique pesant sur la souveraineté des États et l’exercice de leurs fonctions régaliennes. Il faudrait créer une « troisième voie » – le modèle européen – dans laquelle la souveraineté numérique serait garantie et qui répondrait aux enjeux démocratiques et politiques comme l’ont fait des réglementations européennes récentes, tels le RGPD ou la directive droit d’auteur et droits voisins. Toutefois, certaines politiques de l’État limitent le développement de l’écosystème français. En effet, en soutenant le partenariat entre Thalès et Google, « alors que [ce dernier acteur] ne veut pas appliquer les directives européennes », le gouvernement paraît faire abstraction des enjeux de souveraineté. Une véritable ambition industrielle implique que la stratégie menée « articule national et européen pour construire un écosystème souverain » : pour cette raison, il faudrait confier le marché du cloud aux entreprises régionales.
Mathieu Bonnet, directeur Cloud Design chez Sopra Steria Next, s’est ensuite exprimé au sujet du rôle du cloud dans l’accélération de la transformation numérique française. Le Cloud et par extension les offreurs de service cloud – soit les hyperscalers et « les cloudeurs français » – sont un levier essentiel de cette transformation. Toutefois, celle-ci doit être souveraine pour les données et leur traitement, à la fois pour se « prémunir du hacking classique » mais aussi pour anticiper les risques juridiques et stratégiques. Aussi, la souveraineté de la transformation numérique implique l’accompagnement des entreprises de manière à ce que le tissu d’offre de cloud puisse croître et se développer.
Enfin, Pierre Noro – co-fondateur de Pebble et chargé d’enseignement à Sciences Po – s’est exprimé sur la sémantique choisie par le gouvernement qui évoque un cloud de confiance et une souveraineté des données plus qu’un « cloud souverain ». Ce choix serait politique : pour le gouvernement, cela signifie que l’important dans la souveraineté numérique est la protection juridique des données. Or, selon Pierre Noro, la souveraineté numérique a également une dimension géostratégique, soit « une capacité à fournir des services essentiels en toute indépendance », que l’on peut « adapter à nos valeurs ». Dans son Policy Brief pour la Chaire Digital, Gouvernance et Souveraineté intitulé « Les enseignements des projets de Cloud souverain pour la stratégie numérique de l’État français », Pierre Noro écrit : « Sous prétexte de concilier l’accès aux offres de cloud standards sur le marché mondial et la « souveraineté des données », (…) le cloud de confiance semble contredire les stratégies antérieures de souveraineté numérique en France, en oubliant ses aspects stratégiques et économiques, et en affaiblissant sur le long terme les acteurs de l’écosystème d’innovation français et européen. » Il conclut le débat en soulignant la dépolitisation du débat engendrée par la stratégie actuelle : sous prétexte que la France fait preuve d’un retard technologique, l’État « décrédibilise et invisibilise le discours technique ».
Mission accomplie pour cette conférence qui a permis aux étudiantes et étudiants de mieux saisir les principaux enjeux du cloud souverain, désormais essentiel dans la transition numérique des administrations et des entreprises.
Magali Vennin est étudiante en Master à l’École d’Affaires Publiques. Elle s’intéresse particulièrement aux enjeux de transition sociale, environnementale et numérique dans un contexte économique et géopolitique international.