Le cloud souverain n'est-il qu'un fantasme ?

Décryptage La francisation des technologies américaines est-elle synonyme de souveraineté ? Oui, à en croire la stratégie gouvernementale "Cloud au centre", qui permet aux entreprises américaines de commercialiser leurs offres sous forme de licences accordées à des hébergeurs français (OVHcloud, Orange, Scaleway, 3DS Outscale…). En attendant que ces solutions soient réellement disponibles, un délai qui pourrait se compter en années, la situation est assez cacophonique avec un empilement de règles et d'exceptions dont l'interprétation diffère en fonction des acteurs. L'Usine Digitale propose un point d'étape dans ce feuilleton qui dure depuis 2009, date de la présentation de la première version du "cloud souverain" à la française.

Le cloud souverain n'est-il qu'un fantasme ? © Unsplash

Les annonces autour de la souveraineté des données se multiplient depuis quelques mois, à l'image de celle faite par huit entreprises françaises le 18 octobre 2021. Atolia, Jalios, Jamespot, Netframe, Talkspirit, Twake, Whaller et WIMI affirment pouvoir proposer "une alternative crédible" à Microsoft 365, la suite bureautique hébergée dans le cloud de Microsoft (anciennement Office 365).

Exit Microsoft 365
Cette annonce est une réponse à l'interdiction (assortie d'exceptions) de l'utilisation de Microsoft 365 par les ministères. Une décision prise par le directeur interministériel du numérique, Nadi Bou Hanna, dans une circulaire publiée le 15 septembre 2021.

Avec l'annonce d'une nouvelle solution par ces huit entreprises, qui n'est en réalité qu'un rebranding de plusieurs solutions concurrentes, ces entreprises se targuent de répondre à la problématique du "cloud souverain". "Cela fait bientôt un an que l’on entend des discours sur l’importance de créer un cloud souverain. Il faut désormais passer aux actes", explique Alain Garnier, président de Jamespot et porte-parole du groupe, dans un communiqué. Il fait référence à la stratégie gouvernementale "Cloud au centre" présentée par le ministre de l'Economie, Bruno Le Maire, en mai 2021.

Le cloud, oui... mais pas n'importe lequel
L'objectif de cette doctrine est de faire du cloud "le mode d'hébergement et de production par défaut des services numériques de l'Etat, pour tout nouveau produit numérique et pour les produits connaissant une évolution substantielle", peut-on lire sur le site de la direction interministérielle du numérique (Dinum).

Par conséquent, les services des administrations doivent désormais être hébergés sur "l'un des deux cloud interministériels internes de l'Etat ou sur les offres de cloud proposées par les industriels satisfaisant à des critères stricts de sécurité", c'est-à-dire le référentiel "SecNumCloud" de l'Agence nationale de la sécurité des systèmes d'information (Anssi). A l'heure actuelle, seules trois entreprises – Oodrive, 3DS Outscale, OVHcloud – ont reçu ce précieux sésame pour certaines de leurs activités.

Par cette nouvelle réglementation, le gouvernement cible donc tout particulièrement le cloud en tant qu'infrastructure. Les services stockés sur des cloud conformes à cette doctrine ne sont en réalité que secondaires, tout comme le choix d'une suite bureautique pour les administrations n'est pas un enjeu stratégique majeur. En effet, si Whaller peut se targuer d'offrir une plateforme de communication souveraine, c'est qu'elle est hébergée par Hosted Private Cloud, le cloud privé d'OVHcloud certifié SecNumCloud.

Le marché du cloud capté par AWS, Azure et Google
Or, sur le marché du cloud, les acteurs français sont complètement à la ramasse face aux géants Amazon (Amazon Web Service), Microsoft (Azure) et Google (Google Cloud Platform). Les chiffres ne trompent pas : ils captent 69% du marché européen à eux seuls, d'après une étude de Synergy Research Group dont les résultats ont été publiés le 21 septembre 2021. Et leurs parts de marché continuent de croître grâce à des investissements colossaux. Près de 14 milliards d'euros ont ainsi été investis au cours des quatre derniers trimestres dans le but de mettre à niveau et étendre leur réseau régional de data centers hyperscale.


Parmi les acteurs européens, Deutsche Telekom fait la course en tête avec 2% des parts de marché. L'Allemand est suivi par des entreprises comme OVHcloud et Orange, mais leurs parts de marché ont chuté entre le premier trimestre 2017 et le deuxième trimestre 2021. Pour tirer leur épingle du jeu malgré tout, ces entreprises doivent "rester concentrées sur les cas d'usage qui ont des exigences plus strictes en matière de souveraineté et de confidentialité des données", d'après John Dinsdale, chief analyst chez Synergy Research Group. Un positionnement d'autant plus stratégique depuis l'invalidation du Privacy Shield par la Cour de justice de l'Union européenne en juillet 2020.

Ce texte, qui permettait de transférer des données vers les Etats-Unis, a été sabré car le juge a estimé que la législation américaine n'était pas conforme aux exigences du Règlement général sur la protection des données (RGPD). C'est la faculté pour les autorités américaines d'accéder aux données des citoyens européens si celles-ci sont hébergées par un fournisseur cloud américain qui était au coeur du litige. Sans modification profonde de la loi américaine, la conclusion d'un nouveau Privacy Shield semble totalement compromise.

Les conséquences de l'invalidation de ce texte sont encore floues. Pour certains experts, le recours à des fournisseurs américains est à la limite de la légalité. Pour d'autres, en particulier les grandes entreprises américaines (premières concernées), la mise en place de garanties techniques – type chiffrement de bout en bout  – suffisent à protéger les données et à respecter la législation européenne. 

commercialisation sous forme de licence : un cheval de Troie ?
Le gouvernement français a préféré de ne pas trancher entre ces deux visions en proposant une troisième voie qui laisse la porte grande ouverte aux entreprises américaines. Celles-ci peuvent proposer leurs services dans le cadre de licences accordées à des entreprises françaises. C'est ainsi que Google Cloud a signé un accord avec OVHcloud (dont on attend toujours des nouvelles), puis avec Thales en octobre 2021. Microsoft s'est quant à lui rapproché d'Orange et de Capgemini via une entité dédiée, baptisée "Bleu", dont la date de lancement n'est toujours pas connue à ce jour. Seul Amazon n'a pas encore annoncé de partenariat.

Ces entreprises promettent que leurs solutions hybrides auront le fameux label "SecNumCloud". A condition que les données soient véritablement hors de la portée des Etats-Unis, rappelle l'Anssi dans une nouvelle version de son référentiel publiée en septembre 2021. Elle contient des précisions sur "l’explicitation des critères d’immunité aux lois extracommunautaires". Sont notamment visées des "exigences techniques destinées à limiter l'accès à l'infrastructure technique du service par des tiers et les transferts non maîtrisés et d’exigences juridiques précises relatives au prestataire et à ses liens avec des tiers". En résumé : passé l'effet d'annonce, de vraies garanties devront être mises en place pour que ces solutions soient viables.

Le scandale du Health Data Hub
Mais, en attendant ces hypothétiques labellisations, la position du gouvernement et des autorités spécialisées est loin d'être limpide. L'affaire du Health Data Hub en est une illustration. L'hébergement de cette immense base de données de santé a été confié à Microsoft Azure sans appel d'offres. Un choix remis en cause par l'invalidation du Privacy Shield. "Je partage pleinement vos préoccupations relatives au risque de divulgation de données hébergées par la plateforme aux autorités américaines avec le choix de l'entreprise Microsoft", écrivait le ministre de la Santé et des Solidarités Olivier Véran dans une lettre en novembre 2020. "Une nouvelle solution technique" devait alors être adoptée dans un "délai qui soit autant que possible compris entre 12 et 18 mois".

Sans grande surprise, en octobre 2021, c'est toujours Azure qui héberge le Health Data Hub. "Dans un data center situé en région parisienne", non plus aux Pays-Bas, tentait de rassurer Stéphanie Combes, la directrice du Health Data Hub, en février 2021. Or, pour rappel, l'application du CLOUD Act américain ne dépend pas de la géolocalisation des données mais de la nationalité du fournisseur de service. Un data center de Microsoft, quand bien même fut-il hébergé au sein de l'Élysée, y serait soumis.

Doctolib utilise AWS pour héberger les données
Les services publics ne sont pas les seuls concernés. L'entreprise Doctolib a connu une problématique similaire. Dans le cadre de la campagne de vaccination contre le Covid-19, le ministère de la Santé a confié la gestion des rendez-vous de vaccination sur Internet à différents prestataires, dont Doctolib. Pour les besoins de l’hébergement de ses données, elle a recours à la société AWS Sarl, qui est une filiale d'Amazon Web Services.

Devant ce fait, des associations et syndicats professionnels de la santé ont demandé au juge des référés du Conseil d'État de suspendre le partenariat conclu entre le ministère de la santé et Doctolib. Ils estimaient que l’hébergement des données par la filiale d’une société américaine comportait des risques au regard de possibles demandes d’accès par les autorités américaines.

Le juge administratif a refusé de mettre fin au partenariat, déclarant que Doctolib et AWS ont conclu "un addendum complémentaire" qui instaurait une procédure précise en cas de demandes d'accès aux données par une autorité publique.

Gaia-X ou le faux cloud européen
Pour concurrencer les grands fournisseurs américains, des initiatives européennes ont également vu le jour, à l'image de Gaia-X. Ce projet vise à d'établir une offre cohérente de cloud computing européen en recensant les infrastructures et les services existants autour de critères bien précis.

Or, l'association compte de nombreuses sociétés étrangères parmi ses membres, telles que Salesforce, Huawei, Palantir, Oracle... Leur adhésion "ne dit rien sur l'inscription" de leurs services "au catalogue de services labellisés Gaia-X", expliquaient Jean-Luc Beylat, président du pôle de compétitivité Systematic Paris-Région, Bernard Duverneuil, président du Cigref et Gérard Roucairol, président honoraire de l'Académie des Technologies, dans une tribune.

Par conséquent, il est totalement possible à l'avenir que des fournisseurs américains et chinois soient toujours membres de Gaia-X mais n'aient aucune de leurs offres inscrites au catalogue. "Ils seront là un peu pour écouter ce qui se passe et pour sentir le vent", confiait Hubert Tardieu, président du conseil d'administration de Gaia-X.

Un détachement qui souligne que ces grandes sociétés n'ont pas besoin de Gaia-X pour poursuivre leurs activités sur le marché européen. En effet, Gaia-X n'est pas un ticket d'entrée sur ce marché mais plutôt une incitation à utiliser des solutions européennes. Si les entités publiques et les entreprises ne jouent pas le jeu ensuite en les choisissant à la place des services étrangers, Gaia-X n'aura aucune utilité.

un remake d'Andromède ?
La situation est donc assez cacophonique. Et n'est pas sans rappeler le projet "Andromède" qui visait à développer un cloud souverain "à la française" et qu'avait voulu par le Premier ministre François Fillon en 2009. "Il faut absolument que nous soyons capables de développer une alternative française et européenne dans ce domaine, qui connaît un développement exponentiel, que les Nord-Américains dominent actuellement", déclarait-il à cette époque. Preuve que le sujet est depuis longtemps source de préoccupations.

Financée par une enveloppe de 150 millions d'euros, une société devait se former autour d'Orange, Thales et Dassault Systèmes. A la suite d'un désaccord, le projet initial a été divisé en deux nouveaux projets : Cloudwatt (Orange/Thales) et Numergy (SFR/Bull ayant remplacé Dassault Systèmes). Cette réorganisation n'a pas suffi puisque qu'en 2014, Cloudwatt n'avait généré que deux millions d'euros de recettes et Numergy six millions d'euros. Le premier, racheté en totalité par Orange, a finalement fermé ses portes le 1er février 2020. Le second a disparu lors de la refonte des activités cloud de SFR en 2017.

Sans investissement, pas de cloud souverain
Reste maintenant à espérer que le flop d'Andromède ne se reproduise pas. En revanche, une chose est sûre : le cloud dit "souverain" n'est pas pour demain, d'après le président de la République Emmanuel Macron, finalement plutôt lucide sur la situation actuelle.

"Est-ce que nous aurons un cloud totalement souverain à 5 ans ? Il y a plus d'experts que moi dans la salle, je crois que ce n'est pas vrai de se le dire, parce qu'on a pris beaucoup de retard et parce que la différence d'investissement entre la plaque européenne et américaine, c'est un facteur 10 aujourd'hui chez les acteurs privés", a-t-il déclaré lors de la présentation du plan "France 2030" le 12 octobre 2021. Il est, en revanche, impératif de "sécuriser les briques les plus sensibles" et "investir sur les éléments les plus souverains pour sécuriser nos écosystèmes", ajoutait le chef d'Etat.