Cloud souverain, de confiance, autonomie numérique… Le gouvernement a précisé sa stratégie nationale pour le Cloud gouvernemental -basée sur 3 piliers : le label ‘‘Cloud de confiance’’, la politique du ‘‘Cloud au centre’’ pour les administrations et une politique industrielle mise en œuvre dans le prolongement de France Relance. Point d’achoppement : le Cloud de confiance à la française pourra faire appel à des technologies étrangères. Première partie.
Autonomie stratégique, autonomie décisionnelle les vocables liés à la souveraineté numérique semblent dépassés. Mais de quoi parle-t-on ? De son côté le Secrétariat général de la défense et de la sécurité nationale (SGDSN) en donne une définition dans son rapport de 2017 comme étant « le fait de conserver une capacité autonome d’appréciation, d’action et décision dans le domaine cybernétique, tout en protégeant d’autres composantes de la souveraineté nationale face aux nouvelles menaces engendrées par la numérisation. Cette souveraineté doit reposer, notamment, sur la maîtrise de certaines technologies telles que le chiffrement, et sur la consolidation d’une base industrielle nationale ou européenne. »
« Cette autonomie ne peut être acquise et sauvegardée que si l’on dispose d’une filière française et européenne », poursuit le SGDSN. D’où l’importance du développement économique pour préserver et maintenir cette filière. L’organisme mentionne également « qu’une stratégie industrielle basée sur le logiciel libre, sous réserve qu’elle s’inscrive dans une démarche industrielle et commerciale réfléchie, peut permettre aux entreprises françaises et européennes de gagner des parts de marché. Et, par là même, à la France et à l’Europe, de reconquérir de la souveraineté numérique. »
Nouvelle stratégie nationale pour le Cloud
Depuis le 17 mai dernier, changement de décor avec l’annonce par le gouvernement de la stratégie nationale pour le Cloud gouvernemental français. Une stratégie qui s’appuie sur trois piliers. À commencer par le label ‘‘Cloud de confiance’’ qui remplace définitivement l’expression ‘‘Cloud souverain’’. Viennent ensuite la politique du ‘‘Cloud au centre’’ des administrations et enfin une politique industrielle mise en œuvre dans le prolongement de France Relance. Ce ‘‘Cloud de confiance’’ est assorti du visa existant SecNumCloud que délivre l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Lequel est censé garantir un haut de niveau de sécurité sur le plan technique. Aujourd’hui, les sociétés tricolores Oodrive, 3DS Outscale et OVHcloud ont d’ores et déjà décroché le label SecNumCloud sur certaines activités. Et elles « seront de facto labellisées ‘‘Cloud de confiance’’ », assure Cédric O, secrétaire d’État au numérique.
Reste que, pour obtenir le label ‘‘Cloud de confiance’’, qui sera également délivré par l’ANSSI, il faudra rajouter des éléments juridiques afin de se protéger contre les réglementations d’extraterritorialité de certains pays étrangers à l’Union européenne. Comme le Cloud Act ou le Foreign Intelligence Surveillance Act (FISA) américains. Sur ce point Bruno Le Maire, ministre de l’Économie et des Finances, a précisé lors de la conférence de presse du 17 mai que les serveurs du ‘‘Cloud de confiance’’ devaient être « basés en France et que les entreprises qui vendent ces services soient possédées par des Européens ». Bref, « la notion de Cloud souverain est définitivement dépassée par celle de ‘‘Cloud de confiance’’ », résume Jérôme Nicole, consultant indépendant spécialisé en infrastructures télécom et informatiques.
Assurer un ‘‘Cloud de confiance’’ avec des technologies américaines ?
Malgré la confiance affichée, le gouvernement n’a peut-être pas gagné la bataille sur le terrain juridique. « Il reste une grande incertitude juridique. Car, selon certaines associations professionnelles et selon notre avocat, les lois d’extraterritorialité US continuent de s’appliquer même si les serveurs sont en France », soulève Stéfane Fermigier, coprésident du Conseil national du logiciel libre (CNLL) qui représente 300 entreprises du Cloud et du logiciel libres en France. Un secteur qui pèse 5 milliards d’euros de chiffre d’affaires global, en croissance de 8 % à 10 % par an, et emploie 60 000 salariés. Stéfane Fermigier se réfère aussi à l’activiste autrichien Maximilian Schrems qui a obtenu l’invalidation, par la Cour de justice de l’Union européenne, de l’accord Safe Harbor. Lequel encadrait le transfert des données des internautes européens vers les États-Unis et leur utilisation par de nombreuses entreprises américaines. Puis en juillet 2020, il a rendu caduque l’accord américano-européen Privacy Shield qui permettait de recourir à des prestataires certifiés aux États-Unis dans le cadre du traitement de données personnelles.
Google et Microsoft bien positionnés
Autrement dit, et c’est là que le bât blesse, la stratégie gouvernementale du ‘‘Cloud de confiance’’ impliquera « la commercialisation d’offres Cloud américaines, comme celles de Microsoft ou Google, par des acteurs européens du secteur », indique Bruno Le Maire. On s’en doute, les géants américains sont déjà à la manœuvre. Google au travers d’un partenariat officialisé en octobre 2020 avec OVHcloud. Lequel permet à l’opérateur français de déployer et vendre la plateforme Google Anthos. Dans le cadre de ce partenariat, la firme de Mountain View apparaît comme un simple éditeur logiciels auquel l’opérateur français paie des licences de sorte à fournir lui-même les services Cloud au client final. Même type de stratégie du côté de Microsoft. La firme de Redmond se prépare à commercialiser un environnement Azure (le Cloud de Microsoft) dans une version spécialement développée pour l’occasion, notamment auprès de Blue, le consortium monté le 27 mai dernier par Cap Gemini et Orange.
Une opposition qui se construit
Or certaines voix, notamment celle d’Anticor, s’élèvent contre ce type de partenariat en se référant au Health Data Hub (HDH) qui a été accordé en mars 2020 à Microsoft. Sans mise en concurrence, « au motif que seul Microsoft aurait les capacités technologiques de fournir une telle infrastructure », dénonçait Anticor qui a saisi le Parquet national financier. S’il est bien précisé que la localisation des données est prévue par défaut au sein de l’Union européenne, elle « ne s’applique qu’aux données “au repos”. Tandis que le contrat mentionne l’existence de transferts de données en dehors de l’UE dans le cadre du fonctionnement courant de la plate-forme. Notamment pour les opérations de maintenance ou de résolution d’incident », poursuit Anticor. Une chose est sûre : les autorités américaines peuvent contraindre les entreprises nationales à leur fournir les données qu’elles hébergent. Cette question fait l’objet d’une procédure soumise à la Cour de justice de l’Union européenne.
Erick Haehnsen
Retrouvez notre seconde partie la semaine prochaine.
Commentez