Souveraineté numérique: il y a loin de la coupe aux lèvres

7 octobre 2022

L’histoire mérite d’être contée. Soucieuse de préserver leur souveraineté politique, leur autonomie technologique et la confidentialité des données de leurs citoyens, la France puis l’Europe ont fait le choix du « cloud de confiance » pour le stockage et la gestion de leurs données. Elles ont labellisé cette politique « souveraineté numérique ».


La France, dans le cadre du plan Rocard-Juppé, avait présidé à la création de deux pôles dans le cloud animés l’un par Orange et l’autre par SFR. L’initiative ne fut pas un grand succès mais leurs héritiers, les consortia animés aujourd’hui par Orange et Thales, traitent avec l’État pour les données de santé (Health Data Hub) et les données financières liées aux prêts garantis par l’Etat du plan anti-Covid (PGE).


Mais voilà, ni l’un ni l’autre groupe ne détiennent les capacités technologiques, les matériels ou les savoir-faire pour mener à bien ce type d’opérations.


C’est pourquoi un compromis est négocié  en partenariat avec des groupes américains de cloud, Amazon (AWS), Google et Microsoft.


Ce partenariat est même monté dans l’agenda politique euro-américain avec la récente offre data contre pétrole faite par Biden pour débloquer le problème de la confidentialité des données.


Trois problèmes


Le Health Data Hub est une vaste base de données sur la santé des Français. Il a d’emblée posé trois problèmes, qui se posent avec encore plus d’acuité quand on raisonne à l’échelle européenne : qui doit fournir le service ? Sur quelle plateforme ? Localisée dans quel pays ?


S’agissant de l’opérateur, la notion de souveraineté renvoie au choix d’acteurs nationaux ou européens, mais les candidats pour opérer ce service sont tous américains. Certes OVHCloud en France ou Deutsche Telekom sont biens placés sur leurs marchés nationaux, mais il n’y a pas de grands acteurs européens du cloud. Le marché européen est en effet dominé par Amazon, Google et Microsoft qui à eux trois ont une part de marché de 70%.


S’agissant de la localisation des données, l’évidence dans une démarche de souveraineté suggère une inscription sur le sol national des serveurs et autres équipements. Mais les opérateurs des grandes plateformes, tous américains, ont une partie de leurs installations hors d’Europe et l’informatique en « nuages » (cloud) s’accommode mal avec l’ancrage territorial.


Qu’il s’agisse de technologies, d’opérateurs ou d’équipements la solution est de fait américaine : les opérateurs européens sont petits et dépendants de technologies américaines. Comment concilier ce fait avec l’impératif de souveraineté numérique ?


Le premier compromis a été trouvé sur les opérateurs, avec le choix de faire confiance à des acteurs nationaux en partenariat avec les grandes firmes américaines détentrices de la technologie et des logiciels. C’est ainsi que sont nées les offres « Bleu » (technologies Microsoft proposées par Orange et CapGemini) et S3ns (Google avec Thales).


Le second compromis a été trouvé sur la localisation des fermes de serveurs : elles pourraient être localisées hors de France, mais c’est le droit français de protection des données qui s’appliquerait et non le droit américain. En somme les Américains renonceraient à l’application sur leur sol de leur droit et pour cela accepteraient que des « murailles de Chine » protègent les données européennes !


Sitôt trouvé, le compromis a buté sur un nouvel obstacle : le Cloud Act (Clarifying Lawful Overseas Use of Data Act, une loi fédérale américain adoptée en 2018) peut fournir aux autorités américaines la possibilité d’accéder à des données françaises protégées : il suffit que du personnel, des entreprises, des matériels américains soient utilisés.


En signe de bonne volonté, Biden a déclaré que les données européennes traitées par des entreprises américaines seront protégées des incursions des autorités américaines et qu’il veut bien accélérer les ventes de gaz et de pétrole en échange de la conclusion d’un tel accord.


Que nous raconte cette histoire?


Une politique du cloud souverain européen est affichée mais les acteurs, les serveurs, les technologies sont américains ou accessibles aux Américains.


L’extraterritorialité du droit américain qui est en soi un problème se trouve redoublée quand il s’agit de souveraineté numérique.


Certes, si l’on considère les enjeux de Défense, il ne faut pas s’exagérer l’importance de thèmes comme la confidentialité des données : ce n’est pas principalement d’Amérique que viennent les cyber-risques qui seront au centre des futures confrontations. Et, techniquement, on peut sécuriser des données tout en les stockant sur des serveurs situés en Europe sur des clouds de société américaines. Il serait donc absurde, dans cette optique, de se priver du potentiel offert par les fournisseurs de services numériques américains. En revanche, dès lors que les sujets touchent aux normes, à l’usage industriel des données européennes, il y a là un domaine stratégique dans lequel l’Europe a décidé d’être offensive.


L’Union a pris des initiatives, notamment en matière normative, et tente de fédérer les initiatives pour faire converger les approches en matière de sécurité. GAIA X, une « infrastructure européenne des données », lancée en juin 2020 par la France et l’Allemagne, consiste pratiquement en un consortium de grandes entreprises des télécoms dialoguant au sein d’une entité de gouvernance qui édictera de grands principes de sécurité, d’interopérabilité et de portabilité des données. Cette version normative du « cloud souverain » répond principalement à des enjeux industriels, identifiés depuis près de dix ans par les Allemands dans le cadre de leur projet Industrie 4.0. Elle vise notamment à optimiser l’exploitation des données par l’intelligence artificielle, avec en vue les véhicules autonomes et l’IoT : ce sont des questions majeures pour le secteur automobile dont on connaît l’importance en Allemagne, mais elles se posent plus largement à de nombreuses industries.


Le problème est qu’une approche normative, en la matière, est un peu courte. Si l’Europe se plaît à dire le droit de la protection des données individuelles elle est privée de fait des compétences et des acteurs pour jouer dans la cour des grands.


Comment en est-on arrivé là?


Ce qui se joue avec le cloud souverain reproduit une histoire déjà ancienne, celle de la volonté européenne de combler le gap technologique avec les Américains et de s’inscrire à la frontière technologique dans le domaine du numérique.


Ce fut d’abord le cas avec la révolution des technologies de l’information dans l’informatique et les télécommunications, les programmes Esprit Jessi puis Eureka devaient permettre le rattrapage technologique et la naissance d’acteurs européens capables de donner le la dans le hardware. L’échec a conduit à un changement de priorités. L’Europe, grand marché de communication, pouvait être leader dans les usages innovants à défaut de concurrencer Intel, Apple et IBM dans le hardware, ou Microsoft dans le software.


Avec la révolution Internet et le déferlement des plateformes, l’Europe change de cap. Avec l’Agenda de Lisbonne, elle se projette en leader mondial de l’économie de la connaissance. C’est par les services, la recherche, l’innovation, les usages qu’elle entend faire la différence.


L’échec dans cette ambition la conduit aujourd’hui à adopter une démarche plus modeste sans renoncer à l’ambition de l’autonomie stratégique. Le RGPD de 2018 a été une première pierre pour policer l’univers des data, et l’édifice a été complété en 2022 avec le règlement sur les marchés numériques (DMA) et le règlement sur les services numériques (DSA). La Commission, saisissant l’importance des enjeux, a autorisé des aides publiques en réformant en 2014 le régime des projets importants d’intérêt européen commun (PIIEC), autrefois réservés aux infrastructures, et en validant plusieurs PIEECs depuis 2018. Dans une démarche de plus en plus explicite de politique industrielle, l’Union entend reconquérir des positions perdues dans les composants, les satellites, et en prendre d’autres dans des secteurs émergents comme l’hydrogène ou le quantique. Le cloud souverain s’inscrit dans cet arsenal. Il s’agit à la fois assurer une maitrise de ses données et aider des acteurs européens à émerger pour répondre à la demande des États et de leurs administrations.


L’exemple du Data Health Hub montre néanmoins que la voie reste semée d’embuches et que les effets du Cloud Act américain sont difficiles à contourner.


En fait l’Europe reste prisonnière de son idéologie de marché. Il est d’ailleurs symptomatique que sa politique soit labellisée « autonomie stratégique dans une économie ouverte » comme s’il s’agissait de conjurer les horreurs colbertistes que sont la promotion de champions européens et la commande publique. En veillant avant tout à la concurrence, en distillant des aides insuffisantes à la recherche pré-compétitive, en réprimant à la base la formation de champions européens l’UE s’interdit d’atteindre les objectifs qu’elle se fixe.


La volonté européenne récente d’investir les champs de la Défense et donc de s’assurer la maitrise au delà des armements et des infrastructures critiques débouche sur des programmes plus audacieux dans les composants, le new space, le nucléaire du futur, les ordinateurs quantiques, la filière hydrogène… Ces programmes devront monter en puissance, ils déboucheront sur des productions sur le sol européen et devront à un moment profiter d’une commande publique européenne. Ce n’est qu’à cette condition que la notion de souveraineté commencera à prendre corps et que les obstacles à l’extraterritorialité du droit américain commenceront d’être levés.