De l’affaire Snowden à l’invalidation du Privacy Shield, en moins de 10 ans, la confiance en une infrastructure Cloud globale opérée par des acteurs internationaux, et particulièrement américains, s’est sérieusement érodée. La CNIL a opposé son véto à la gestion par Microsoft du Dossier Médical Partagé, Google Analytics est également dans son viseur, et l’agence autrichienne de protection des données a également conclu que l’usage de Google Analytics ne respectait pas le RGPD. La question de la souveraineté des données s’est invitée sur la feuille de route des DSI et DPO. Elle reste intrinsèquement liée à celle du choix du Cloud provider. Enjeux de la souveraineté des données, conséquences pour les entreprises, maturité du marché français et européen : on fait le point.
Un enjeu économique
Comment définir la souveraineté des données ? Cela signifie que les données d’une entreprise sont soumises aux lois du pays, et que l’entreprise est en capacité de les protéger d’inférences étrangères. On ne peut donc pas considérer la souveraineté des données sans la capacité de la garantir, or la souveraineté du Cloud est un des moyens de garantie. Une entreprise française peut ainsi faire le choix politique d’un Cloud provider français plutôt qu’américain, afin d’assurer la souveraineté de ses données.
Nous faisons face aujourd’hui à une double tendance : d’une part l’évolution de la législation qui va pousser les entreprises à chercher le moyen de garantir la souveraineté de leurs données, et d’autre part l’émergence d’une initiative de Cloud souverain européen, qui pourrait répondre aux enjeux de souveraineté de plateforme et de données. Dans ces conditions, comment se préparer et choisir l’option la plus pérenne, dans un contexte économique européen où il y a une volonté forte de reprendre la main sur le traitement des données ?
Un enjeu technologique
Investir dans le Cloud au niveau européen, c’est se positionner en tant que leader technologique. Le moment est peut-être venu de reprendre la main sur les sujets technologiques innovants, comme les processeurs ou le Cloud. L’initiative vise ainsi à proposer un écosystème de “Cloud Européen”, même si elle inclut des fournisseurs américains comme AWS ou Microsoft. Au-delà de la démarche de rassembler des acteurs, Gaia-X vise aussi à expliciter, à faire prendre conscience des enjeux de ce sujet.
Cependant à l’échelle française, la maturité des offres Cloud reste bien en deçà de la concurrence américaine ou chinoise. De fait, se lancer dans une démarche de souveraineté des données basée sur une offre Cloud française réduit le champ des possibles. Il manque aux Cloud providers français un effet de levier, ou de marché, qui leur permettrait de déclencher des investissements d’infrastructure propres à concurrencer l’offre américaine. Aujourd’hui, seule la Chine est capable aujourd’hui d’apporter autant d’investissement que les CSP américains, pour les concurrencer sur leur marché intérieur, car ils ont un volume suffisant et captif.
L’absence d’un cadre européen
Si l’initiative Gaia-X a le mérite de provoquer le débat et la réflexion, il manque encore un cadre structurant autour de la souveraineté à l’échelle européenne. La RGPD par exemple n’est pas appliquée partout, et pas déclinée de la même manière. Un cadre normatif européen devra aussi apporter un cadre d’interopérabilité, soit un format d’échange qui garantisse que toutes les données au sein de l’espace européen soient dans le contexte d’une souveraineté européenne. Avec un tel standard, les entreprises pourraient s’affranchir de Google Analytics par exemple, car elles auraient à disposition une solution équivalente, dont les investissements et les règles d’utilisation seraient communs à l’espace européen.
Quelles options pour une donnée souveraine européenne ?
Attendre le développement d’un hypothétique Cloud souverain européen, développer des solutions ad hoc, ou bien se limiter à des fournisseurs français, au risque de marquer le pas sur l’innovation ? Avant toute chose, la première étape est de mener un travail de classification des données et distinguer les données confidentielles parmi toutes celles opérées. Selon le volume, on pourra ensuite facilement opter pour une approche hybride, dans laquelle les données sensibles seront hébergées dans une bulle sécurisée et à la souveraineté garantie par différents mécanismes.
Perspectives à moyen terme
Si le marché du Cloud européen est aujourd’hui estimé à 53 milliards d’euros, il devrait atteindre 560 milliards d’ici 2030. Cette perspective de croissance soulève la question de la pérennité de ce marché, sur lequel s’opposent deux conceptions a priori contradictoires. D’une part, la réglementation américaine, très permissive sur les règles d’exploitation de la donnée, et d’autre part une culture européenne conservatrice, favorable à un encadrement strict de l’exploitation des données. De fait, on peut s’interroger sur la viabilité d’une offre de Cloud européen, quand la majeure partie du reste du monde s’affranchit de ces contraintes autour de l’exploitation de la donnée. Sans parler du risque industriel pour les entreprises qui feraient le choix d’un Cloud européen, et d’un rythme d’innovation loin du niveau de celui des hyperscalers américains. C’est toute la difficulté de lancer une offre de Cloud en partant d’une page blanche, sans un cas d’usage assez volumineux pour la soutenir.
Alors, une offre de Cloud souverain européenne est-elle une chimère ? En l’état actuel des choses, parier sur la réussite d’un tel écosystème est plus que risqué. Nous pensons au contraire qu’il faut s’appuyer dès maintenant sur la technologie pour maîtriser nos données dans un environnement Cloud externe. Aujourd’hui, le chiffrement et des mécanismes de sécurisation, voire l’IA, vont permettre de s’assurer que la donnée soit non exploitable, totalement sécurisée, affranchie des contraintes de l’infrastructure, et ce de façon native. Demain, ce seront peut-être les technologies quantiques, qui nous permettront non seulement de sécuriser nos données, mais aussi de compenser le retard technologique pris en Europe sur le sujet.