Malgré les objectifs de souveraineté français et européen annoncés en 2021, certaines entreprises du cloud s’associent aujourd’hui aux géants américains. Le récent rapport d’un cabinet américain jette même le doute sur ces stratégies.

Les ambitions paraissaient pourtant claires. Bâtir des champions européens du cloud afin de retrouver une forme de souveraineté dans ce secteur clé. La stratégie du "cloud de confiance", adoubée par le gouvernement, un certificat agissant comme une garantie de qualité ainsi que de localisation en Europe devait enclencher ce développement. Cependant aujourd’hui, on observe différents partenariats entre des entreprises françaises et des GAFA. Thalès avec Google, le projet bleu regroupant Capgemini, Orange et Microsoft, Atos avec Amazon ou Cloud Temple qui combine un partenariat avec les deux mastodontes AWS et l’entreprise créée par Bill Gates. Le but : permettre aux solutions américaines d’accéder au marché européen en contournant l’obligation de localisation européenne (les serveurs des entreprises françaises étant situées sur le Vieux Continent), tout en facilitant l’accès à des technologies beaucoup plus avancées pour les entreprises françaises. Selon l'ancien secrétaire d'Etat au Numérique Cédric O, principal artisan de cette stratégie, il s'agissait de faire d'une pierre deux coups mais celle-ci n’est pas sans comportée plusieurs risques.

La justice américaine comme principale menace

L’aspect primordial du cloud souverain est la sécurité des données sensibles. En effet, les Américains sont dotés depuis 2018, d’une loi nommée le Cloud Act. Avec celle-ci la justice ou le gouvernement qui en fait la demande peut avoir accès aux données de toute entreprise disposant de données hébergées par des entreprises américaines. Le but du "cloud de confiance" devait être de se protéger de ces juridictions en étant localisé en Europe. Malheureusement, tout ne se passe pas comme prévu. En effet, la loi extraterritoriale Foreign Intelligence Surveillance Act, étrangement passé sous silence dans la communication gouvernementale, vise spécialement les entreprises étrangères. Elle permet aux services de renseignement d’installer des "portes dérobées" sur tout logiciels américains, dont le cloud, afin d’accéder aux données. La sécurité des données relèverait dans ce cas des compétences cyber de chaque entreprise, qui ne sont bien sur jamais infaillibles.

En effet, la loi extraterritoriale Foreign Intelligence Surveillance Act, étrangement passé sous silence dans la communication gouvernementale, vise spécialement les entreprises étrangères

De plus, selon le récent rapport du cabinet américain Greenberg Traurig LLB, les entreprises européennes peuvent aussi être concernés par le Cloud Act. En effet, les Etats-Unis considèrent que l’utilisation d’un programme américain peut suffire pour invoquer cette fameuse loi. Pour se protéger contre cela, les entreprises européennes devraient exercer entièrement le contrôle des données situées sur le Vieux Continent. Le cabinet de conseil surenchérit en affirmant aussi que le seul emploi de citoyens américains dans le traitement des données pourrait les obliger à les transmettre dans le cadre de la législation. Les entreprises européennes peuvent donc se protéger, mais la moindre faille pourrait être exploité par la large zone d’action du Cloud Act.

Une souveraineté à quel prix ?

Les structures françaises concernées clament que toutes les précautions sont prises. Leurs serveurs sont tous exclusivement situés en Europe sur lequel travailleront uniquement des salariés de leurs entités et non des entreprises américaines. L’Agence nationale de la sécurité des systèmes d'information (ANSSI) sera aussi sur le pont afin de veiller au bon fonctionnement de la coopération. Le gouvernement a aussi cherché à se défendre. Lors d’une visite au nouveau datacenter d’OVH Cloud à Strasbourg, champion français du secteur, le ministre de l’Économie et des Finances Bruno Le Maire accompagné par le chargé à la Transition Numérique Jean-Noël Barrot ont amorcé un changement de cap. Exit les termes "Cloud de confiance" pour être remplacé par "Numérique de confiance" et pas un mot sur "Thales", "Bleu" ou "Capgemini". La volonté était claire de remettre au centre du projet les pépites françaises tout en dépeignant les GAFA comme d’importants rivaux.

"Le cloud à la française n'a donc pas besoin d'être réinventé : il existe déjà !"

Enfin, le dernier problème de la stratégie du cloud de confiance réside dans le manque de développement national dû à l’utilisation des capacités des mastodontes américains. Dans une tribune dans Les Echos publié en juin 2022, les directeurs de Scaleway, CleverCloud et OVHCloud concluaient : "Le cloud à la française n'a donc pas besoin d'être réinventé : il existe déjà ! En investissant, en innovant et en recrutant depuis 20 ans, l'écosystème numérique français a su apporter des preuves reconnues de performance et de résilience, au service de la transformation numérique de l'économie et de la société française. Face aux sirènes marketing des géants de la tech, il est indispensable que l'excellence technologique de cette 'équipe de France du cloud' soit, enfin, reconnue à sa juste valeur, et encouragée." Une manière pour des leaders du secteur (notamment OVH Cloud qui malgré son statut de numéro un français n’a pas cédé aux sirènes de l’Oncle Sam) de souligner la qualité des entreprises européennes et la nécessité de se développer à cette échelle et non en utilisant les capacités étrangères.

Malgré ce fort engagement provenant d’acteurs au cœur du système, le plus grand aveu de faiblesse vient probablement de Guillaume Poupard. Le directeur de l’ANSSI était chargé de tempérer les annonces de Bruno Le Maire et calmer la grogne des GAFA lors d’une audition devant le Sénat. Un mois après le discours en Alsace du locataire de Bercy, monsieur Poupard déclarait alors que les acteurs numériques français ne sont pas "capables de développer un cloud de haut niveau avec des technologies exclusivement françaises." De quoi, réinterpréter les motivations du gouvernement en matière de souveraineté numérique.

Tom Laufenburger