Fermer la publicité
Journal d'information juridique et d'annonces légales

Le Cloud souverain européen : vers la reconquête de nos données ?

le - - Droit - Actualité du droit

Le Cloud souverain européen : vers la reconquête de nos données ?
@DR

Si l'assureur allemand Generali continue de stocker les milliards de données de ses assurés dans ses caves d'Aix-la-Chapelle[1], ces derniers bastions d'hébergement font figure de résistance dans un monde où le stockage des données sur des clouds s'est érigé en solution privilégiée de sauvegarde des données.

Concept récent, le « Cloud Computing » (informatique infonuagique) est le fruit de deux événements consécutifs : l'augmentation de la demande informatique et l'émergence d'une filière de la sous-traitance informatique en réponse à cette augmentation. Le cloud donne lieu à des définitions variées mais la CNIL retient qu'il s'agit de « la forme la plus évoluée d'externalisation, dans laquelle le client ou l'utilisateur dispose d'un service en ligne, dont l'administration et la gestion opérationnelle sont effectuées par un sous-traitant » qui offre « une facturation à l'usage »[2] et « une disponibilité quasi-immédiate des ressources ». Le National Institute Standards and Technology (« NIST ») américain définit quant à lui le cloud comme « l'accès via un réseau de télécommunication à la demande et en libre-service, à des ressources informatiques partagées » [3]. Aux termes de ces définitions, le cloud se caractériserait ainsi principalement par son extériorité (recours à des moyens distants et extérieurs au système d'information de l'utilisateur), sa mutualisation et sa flexibilité[4].

Au cours des années 1990, en vue de recentrer leurs activités, de nombreuses sociétés commencent à faire appel à des prestataires externes spécialisés et leur confient la gestion de serveurs, la maintenance d'applications, la gestion des postes de travail, etc[5]. En 1997, le professeur de système d'information Ramnath Chellappa présente un paradigme informatique appelé « Cloud » à l'université d'Austin au Texas. Deux ans plus tard, Salesforce est la première société à commercialiser le concept avec un logiciel de relation client, suivi en 2002 par Amazon[6].

Le cloud computing soulève aujourd'hui des enjeux à plusieurs échelles. Au niveau microéconomique d'abord : en 2018, plus d'une entreprise sur quatre utilisent les services de cloud computing dans l'Union européenne[7]. Ce recours massif aux solutions offertes par la sauvegarde en nuage s'explique par les gains d'ordres économique, technique et organisationnel générés par ces solutions. Au niveau macroéconomique ensuite, le développement du cloud computing s'inscrit dans celui, plus global, de l'économie de la donnée. Le refrain est bien connu : les données sont essentielles au développement de l'économie numérique. Savoir héberger les données des entreprises européennes sur le sol européen c'est inscrire l'Union européenne dans un marché du « nuage » aujourd'hui essentiellement dominé par les entreprises nord-américaines (notamment Microsoft, Google et Amazon) et chinoises (notamment Alibaba, Tencent et Baidu) et c'est garder la main sur le traitement et l'exploitation de nos données. Schématiquement, nombreuses sont les entreprises et organismes publics européens qui font appel à des leaders mondiaux dont les data centers se trouvent aux Etats-Unis. Personnes morales soumises au droit américain, le Clarifying Lawful Overseas Use of Data Act (aussi appelé « Cloud Act ») adopté le 26 mars 2018, autorise les autorités de poursuite américaines[8] à collecter, partout dans le monde, des données hébergées par des fournisseurs de service de communication électronique américains. Alors que la scène internationale se révèle de plus en plus austère sur un fond de nouvelle guerre froide entre les Etats-Unis et la Chine, la sécurité des données au sein de l'Union européenne est remise en question. Ainsi, les risques d'espionnages industriels et de manipulation des données planent au-dessus de l'Europe telle une épée de Damoclès, laissant entrevoir une perte de souveraineté de l'Union européenne dans la gestion des données. Dans ce contexte géopolitique, un nombre croissant d'entreprises européennes souhaitent avoir recours à des data centers dont la confidentialité et la propriété des données sont protégées, soumiss au droit européen et donc situés sur le sol européen : on parle alors de cloud souverain[9]. On comprend dès lors que le cloud est dit « souverain » lorsque les données sont entièrement stockées et traitées sur le territoire d'un Etat[10].

L'hébergement des données sur le territoire : une arme de souveraineté ?

Etat des lieux du marché du cloud computing

En 2006, le mathématicien et entrepreneur britannique Clive Humbly a mis en avant l'importance capitale des données sur le plan économique et stratégique - aussi bien pour les entreprises que les États – au même titre que les ressources naturelles comme le pétrole[11]. Cependant, il faut distinguer le « cloud » d'infrastructure qui s'adresse à une population de développeurs (« IAAS » pour « infrastructure as a service » et « PAAS » pour « plateforme as a service ») et le « SAAS » (pour « software as a service ») qui met à disposition un catalogue de logiciels applicatifs destinés à une population de clients utilisateurs.

  • Géré par le bénéficiaire
  • Géré par le fournisseur de cloud computing[12]

Alors que la gestion des données confidentielles est capitale pour les États et les entreprises, l'Europe est presque entièrement dépendante des clouds nord-américains et asiatiques. Dans ce contexte, les entreprises et les États européens craignent cette hégémonie extra-européenne et doutent de l'exploitation en bon père de famille de leurs données par les géants américains. En effet, avec un marché de 81 milliards de dollars[13], le marché du cloud est dominé par les entreprises nord-américaines avec une montée en puissance des entreprises chinoises. Coincée entre les géants nord-américains et asiatiques, l'Europe prend conscience de la nécessité de créer un cloud pour garantir sa souveraineté économique et numérique. Les citoyens et les États membres intègrent peu à peu l'importance de la valeur économique, stratégique et éthique des données car elles renferment des valeurs précieuses et sensibles. Dès lors, ces caractéristiques des données exigent un contrôle par les autorités et ressortissants nationaux et communautaires[14].

Un marché dominé par les entreprises nord-américaines

Le marché du cloud est aujourd'hui largement dominé par les entreprises nord-américaines AWS (32% du marché), Microsoft Azure (17% du marché) et Google Cloud (6% du marché)[15]. La dépendance des pays européens envers les clouds nord-américains est d'autant plus problématique depuis la promulgation du Cloud Act le 23 mars 2018 par l'administration Trump. Cette loi oblige les entreprises fournisseurs de cloud nord-américain (Microsoft, AWS, Google) à fournir des informations stockées sur leur cloud sans l'accord des tribunaux nationaux et sans en informer leurs utilisateurs. Autrement dit, une entreprise française utilisant un cloud nord-américain pour sa gestion des données peut voir ses informations confidentielles mises à disposition des autorités nord-américaines. Cela expose aussi bien les entreprises que les États à un potentiel risque d'espionnage menaçant la sécurité des pays européens. En dépit de l'adoption deux mois plus tard du Règlement Général de la Protection des Données en Europe, l'extraterritorialité du droit nord-américain semble ne pas pouvoir être contrée[16].

Une montée en puissance des entreprises chinoises sur le marché

Aujourd'hui, on observe qu'un deuxième concurrent se démarque progressivement sur le marché : les clouds chinois. En tête de ce classement : Alibaba Cloud, suivi par Tencent Cloud puis Baidu AI Cloud[17]. En 2018, le marché chinois du cloud computing avait atteint une valeur de 96,26 milliards de yuans, soit une croissance de 39,2% par rapport à 2017[18]. Le fondateur d'Alibaba, Jack Ma, a annoncé qu'il comptait investir près de 28 milliards de dollars au cours des trois prochaines années dans sa filiale consacrée au cloud souverain[19]. Cette décision d'investissement s'inscrit dans une démarche chinoise plus globale annoncée en 2017 qui consiste à faire du pays le champion mondial de l'intelligence artificielle[20]. Subsidiairement, cette décision vise à dépasser les États-Unis dans la course technologique que les deux États se livrent depuis désormais plusieurs années. Par ailleurs, la loi chinoise sur la cybersécurité, entrée en vigueur le 1er juin 2017, constitue un outil puissant de contrôle et de protection des données ainsi qu'un appui au développement d'un marché local en pleine croissance. Cette loi impose notamment aux entreprises étrangères d'avoir recours à des fournisseurs chinois[21].

Alors que le gouvernement des Etats-Unis intervient autoritairement dans la protection de ses clouds avec les interdictions de Wechat et TikTok[22] sur son sol, l'Union européenne a tardé à comprendre les enjeux et la nécessité d'un cloud européen fiable, au même titre que la défense nationale afin de préserver son intégrité.

Quel modèle pour le cloud souverain européen ?

Le cloud souverain, du point de vue français, est un modèle dans lequel l'hébergement et l'ensemble des traitements effectués sur des données par un service de cloud sont physiquement réalisés dans les limites du territoire national par une entité de droit français et en application des lois et normes françaises[23]. Imaginer un cloud souverain européen, c'est donc penser un cloud computing limité géographiquement à l'Europe et soumis au droit européen, sous réserve des dispositions du Règlement (UE) 2018/2017 consacrant la liberté de circulation des données non personnelles[24]. Établir un cloud souverain européen apparaît comme un moyen de faire face aux concurrents étrangers et d'assurer la compétitivité des entreprises européennes tout en garantissant un traitement transparent et éthique des données[25].

Néanmoins, plusieurs tentatives avortées d'établir un cloud souverain nous permettent de tirer des leçons de nos échecs. En 2012, une myriade de projets de clouds souverains (Numergie, Cloudwatt…) se sont développés mais aucun n'a pu voir le jour. Les experts expliquent ces échecs par trois facteurs : le manque de logiciels, un marché prématuré peu - ou pas - au rendez-vous et un manque de réversibilité dans les solutions offertes aux opérateurs du marché. La demande privée apparaît également comme un élément fondamental ; il existe en effet une disparité à ce niveau : certaines entreprises sont plus ou moins soumises à des risques d'espionnage industriel. Mais la demande publique doit également prévaloir et les pratiques actuelles ne permettent pas de garantir une demande homogène. A titre d'exemple, en Allemagne, la police fédérale sauvegarde encore ses données sur le cloud AWS d'Amazon[26].

Pourtant, les États-Unis et la Chine ont réussi à établir des clouds souverains qui leur permettent de profiter d'un marché domestique très dynamique. Force est de constater que ces États disposent d'un atout de taille : l'importance et l'homogénéité de leur marché domestique respectif. Ces caractéristiques leur permettent d'amortir les coûts de façon considérable. Rien n'est pourtant perdu : avec un marché de 500 millions de consommateurs potentiels[27], l'Union européenne produit une quantité astronomique de données. Penser un cloud souverain au niveau européen est d'autant plus intéressant qu'un cloud souverain limité à l'échelle d'un Etat membre impliquerait de se priver de données pour nourrir des algorithmes, ce qui limiterait leur puissance. Une infrastructure commune permettrait à la recherche européenne de bénéficier d'un foyer de données qui seraient partagées de façon sécurisée. Cela renforcerait la collaboration à l'échelle européenne, indispensable pour intégrer l'écosystème de l'intelligence artificielle. En ce sens, la Commission européenne a affirmé sa volonté de faire de l'Europe un acteur mondial de premier plan en matière d'innovation dans l'économie fondée sur les données[28].

L'objectif est ainsi désormais de faire émerger un acteur européen du cloud computing. La chancelière allemande Angela Merkel a rappelé en ce sens que « l'Europe a besoin de son propre cloud ». Pour certains, la première étape doit être réalisée par les Allemands et les Français et cela s'étendra ensuite naturellement à d'autres partenaires européens[29]. Le projet Gaia-X dévoilé au cours du Sommet numérique de Dortmund du 29 octobre 2019 s'inscrit dans cette volonté de coopération entre la France et l'Allemagne[30] et pose les fondations d'une infrastructure de données sécurisées européennes. Gaia-X parachève la volonté européenne d'établir un réseau de centaines de fournisseurs européens de cloud[31] tout en insistant sur plusieurs principes cardinaux dont la souveraineté, la transparence et la sécurité des données. Le 4 juin 2020, les ministres de l'Économie français et allemand, Bruno Le Maire et Peter Altmaier, ont dévoilé les contours du projet qui vise, sous certaines conditions, à faire bénéficier les opérateurs européens d'un label Gaia-X. Si les conditions sont strictes, elles sont gage de fiabilité des opérateurs et donc de confiance des utilisateurs. Celles d'interopérabilité et de portabilité permettent par exemple aux utilisateurs de migrer d'une plateforme à l'autre. Particulièrement intéressants, ces critères visent à lutter contre les phénomènes de « réseaux » et de monopole.

En dépit d'une volonté ferme de vouloir instaurer une « infrastructure de données européennes sûre et souveraine »[32], certains spécialistes alertent sur le retard technologique de l'Europe face aux « hyperscalers » que représentent Amazon et Microsoft[33]. Par ailleurs, il est fondamental qu'un travail de confiance soit effectué en amont de la mise en place d'un tel cloud car, les données de leurs activités en dépendant, les entreprises doivent pouvoir avoir une confiance absolue dans le cloud souverain à venir. C'est le parti pris du dernier projet français du cloud souverain « de confiance », copiloté par Michel Paulin, le directeur général d'OVH, et Édouard de Rémur, le cofondateur et directeur général d'Oodrive[34]. D'après les industriels européens, la confiance se gagnerait progressivement par la mise en place d'un cadre juridique européen intelligible pour les offres de cloud computing déjà existantes.

La maîtrise de la donnée constitue aujourd'hui un véritable enjeu de souveraineté. Le développement d'une filière nationale et européenne de cloud souverain, sur le modèle du projet Gaia-X, permettrait tout d'abord de rapatrier sur le continent européen l'ensemble des données des entreprises et administrations européennes. Ensuite, cela contribuerait à faire émerger un véritable savoir-faire européen en la matière afin de donner confiance aux entreprises européennes. Le cloud souverain européen constitue ainsi une nouvelle pierre pour le développement d'un écosystème européen de la donnée, indispensable pour accueillir l'émergence de l'intelligence artificielle.

Chronique « Droit, Juriste et Pratique du Droit Augmentés »

Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.

Avec son Augmented Law Institute, l'EDHEC Business School dispose d'un atout majeur pour positionner les savoirs, les compétences et la fonction du juriste au centre des transformations de l'entreprise et de la société. Il se définit autour de 3 axes de développement stratégiques : son offre de formations hybrides, sa recherche utile à l'industrie du droit, sa plateforme de Legal Talent Management. https://www.edhec.edu/fr/ledhec-augmented-law-institute

[1] Steiwer, Nathalie. « Un cloud européen très allemand… et américain », Les Echos, 29 octobre 2019.[2] J.-M. Sauvé, Vice-Président du Conseil d'Etat, dans son intervention « Le Cloud Computing » au colloque de la Sté de législation comparée, 11 octobre 2013.
[3] Définition citée par J.M. Sauvé, préc.
[4] JurisClasseur Communication, Fasc. 960 : CLOUD COMPUTING – Notions et enjeux, p.3.
[5] JurisClasseur Communication, Fasc. 960 : CLOUD COMPUTING – Notions et enjeux, p.1.
[6] De Jaegher, Thibaut. « Petite histoire du cloud computing », Usine Nouvelle, 28 avril 2012.
[7] Eurostat, Communiqué de presse n° 193/2018, 13 décembre 2018.
[8] 18 U.S. Code § 2713 Required preservation and disclosure of communications and records “A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or
other information pertaining to a customer or subscriber within such provider's possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.”
[9] Ravet, Emile. « A qui est destiné le Cloud Souverain ? », Scalair, 18 octobre 2017.
[10] Note d'information du Ministère de l'intérieur et du Ministère de la culture, en date du 5 avril 2016, relative à l'informatique en nuage (cloud computing) ; N. Wagener. « Cloud souverain et archives publiques », JAC 2017, n°43, p.38 et
[11] Arthur, Charles. « Tech giants may be huge, but nothing matches big data », The Guardian, 23 août 2013.
[12] Tableau issu de Watts, Stephen. Raza, Muhammad. « SaaS vs PaaS vs IaaS: What's The Difference and How To Choose », BMC Blogs, 15 juin 2019.
[13] Richter, Felix. « Amazon Captures 32% of $80 Billion Cloud Market », Statista, 11 mars 2019.
[14] JurisClasseur Communication, Fasc. 960 : CLOUD COMPUTING – Notions et enjeux, p.6.
[15] “Global cloud services market Q1 2020”, Canalys, 30 avril 2020.
[16] Staron, Alain. « Le Cloud Souverain Est Mort, Vive L'Internet De L'Intelligence ! », Forbes, 28 novembre 2019.
[17] Canalis estimates, March 2020.
[18] Etude menée par la China Academy of Information and Communications Technology (CAICT), publiée par le site web Xinhua.
[19] Fouquet, Claude. « Le coronavirus pousse Alibaba à investir davantage dans le cloud », Les Echos, 20 avril 2020.
[20] Kharpal, Arjun. « China wants to be a $150 billion world leader in AI in less than 15 years », CNBC, 21 juillet 2017.
[21] Demonet, Guillaume ; Kato, Hirotaka et Omari, Choukri. « La nouvelle régulation de la Chine sur la cybersécurité », Portail de l'IE, 19 décembre 2017.
[22] The TikTok ban should worry every company, Harvard Business Review
[23] Cf. supra n°10.
[24] Le Règlement (UE) 2018/2017 du 14 novembre 2018 consacrant la liberté de circulation des données non personnelles interdit les exigences de localisation des données non personnelles.
[25] La rédaction. « L'Europe veut sa propre stratégie IA, cloud et big data », Dcloudnews.
[26] Leprince-Ringuet, Daphne. « Pourquoi le plan européen de cloud computing ne fera fait pas peur aux géants américains », ZDNet, 4 novembre 2019.
[27]https://eur-lex.europa.eu/summary/chapter/consumers.html?locale=fr&root_default=SUM_1_CODED%3D09
[28] COM(2020) 66 final
[29] V. supra, n°1.
[30] Cf. article 21 du traité d'Aix-la-Chapelle du 22 janvier 2019 : « « Les deux États intensifient leur coopération dans le domaine de la recherche et de la transformation numérique, notamment en matière d'intelligence artificielle et d'innovations de rupture ».
[31] Brochure du Ministère Fédéral de l'Économie et de l'Énergie et du Ministère Fédéral de l'Éducation et de la Recherche : « Le projet GAIA-X Une infrastructure de données en forme de réseau, berceau d'un écosystème européen vital », p. 2
[32] Traité entre la République française et la République fédérale d'Allemagne sur la coopération et l'intégration franco-allemandes, 22 janvier 2019.
[33] V. supra, n°1.
[34] Loukil, Ridha. « Le "cloud de confiance" fera-t-il mieux que le "cloud souverain" français ? », L'Usine nouvelle, 7 avril 2020.




Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer