Depuis quelques années, les géants américains du cloud computing multiplient les annonces d’offres présentées comme souveraines à destination du marché européen. Oracle, Amazon Web Services (AWS), Microsoft et Google, les quatre plus grands fournisseurs mondiaux, tous basés outre-Atlantique, lorgnent les données les plus sensibles des entreprises et administrations du Vieux Continent. Mais cette conquête ne se fait pas sans heurts, ravivant le débat sur la définition même de la souveraineté numérique.
Cloud souverain ou de confiance : une question de terminologie ?
L’émergence d’offres estampillées « souveraines » chez les acteurs US a suscité de vives réactions en France. Pour beaucoup, à l’instar d’Henri d’Agrain, délégué général du Cigref, association des grandes entreprises et administrations publiques, il s’agit avant tout d’un argument marketing : ces offres n’auraient rien à voir avec la vraie souveraineté. Un avis que ne partagent pas les fournisseurs concernés.
Le problème vient d’abord de la difficulté à s’accorder sur une définition unique de la souveraineté numérique, notion devenue fourre-tout. Si l’on s’en tient à la souveraineté classique, on parle de l’autorité suprême d’un État sur son territoire et de son indépendance vis-à-vis des puissances étrangères. Appliquée au cloud, cela soulève de nombreuses questions.
Pour clarifier la situation, le gouvernement français a créé en 2021 le label « Cloud de Confiance« , basé sur le référentiel SecNumCloud de l’ANSSI. Il vise à garantir qu’un service cloud est à l’abri des législations extraterritoriales comme le CLOUD Act et le FISA américains.
Des offres souveraines « à l’américaine »
Plutôt que de viser la qualification SecNumCloud, jugée trop contraignante, AWS et Oracle misent sur une séparation physique et logique de leurs clouds européens, opérés et sécurisés uniquement par du personnel local. Ils affirment ainsi échapper à toute obligation de livrer des données aux autorités US.
De leur côté, Microsoft et Google ont choisi de nouer des partenariats avec des acteurs français (Orange et Capgemini pour le premier via Bleu, Thales pour le second avec S3NS) dans le but d’obtenir in fine la certification Cloud de Confiance. Un choix plus conforme aux attentes du marché hexagonal.
Au-delà de la souveraineté, l’enjeu de l’autonomie stratégique
Si le label SecNumCloud apporte des garanties, beaucoup jugent illusoire de totalement empêcher l’accès des États-Unis ou d’autres puissances aux données européennes. Pour certains experts comme Ophélie Coelho, auteure d’un ouvrage sur la géopolitique du numérique, l’essentiel est ailleurs :
La vraie question, c’est de savoir produire la technologie et la maîtriser, plutôt que de chercher des stratagèmes pour contrôler des technologies qui ne nous appartiennent pas.
– Ophélie Coelho, chercheuse indépendante en géopolitique du numérique
C’est tout l’enjeu de la quête française d’autonomie stratégique dans le numérique. Il ne s’agit pas de se couper des technologies américaines, mais de garder un degré de contrôle et d’indépendance jugé vital pour les données les plus sensibles.
Une problématique éminemment politique, à laquelle le gouvernement tente d’apporter une réponse avec sa doctrine du cloud de confiance, qu’il espère voir reprise au niveau européen via la future certification EUCS.
Le débat reste ouvert sur la possibilité et la pertinence pour des acteurs non-européens, fussent-ils des leaders technologiques, de fournir un cloud réellement souverain au sens des critères hexagonaux. Une chose est sûre : la bataille pour ce marché stratégique ne fait que commencer.
