Comment l’Europe peut-elle reprendre le contrôle sur ses données ? 

Les entreprises sont obligées d’adapter (Revoir cette intro, trop abrupte)  continuellement leurs modèles économiques. La mondialisation exige une harmonisation des processus commerciaux sur les différents continents, les clients demandent des produits et des offres de services individualisées qui doivent être industrialisés. Ces facteurs ont un impact sur l’architecture des processus d’entreprise et sur la stratégie informatique des organisations. Ainsi, l’analyse de larges volumes de données, plus communément appelée Big Data, est bien en train de révolutionner la société de part et d’autre. Toutes les données que nous produisons chaque jour sont en effet répertoriées et utilisées, que ce soient les données émises par nos téléphones, montres connectées et ordinateurs. Selon IBM, 90% des données mondiales ont été créées au cours des deux dernières années. Chaque jour, 2,5 quintillions de bytes de données sont générés. Aujourd’hui, l’Europe cherche à reprendre le contrôle sur ses données, en bâtissant un cloud européen.

“Dans un monde informationnel, le prédateur est celui qui voit. Dans un monde informationnel, la donnée est capitale, la donnée est le capital. Jadis, le pouvoir était à l’investissement, aujourd’hui le pouvoir est au renseignement”

Bellanger, 2012, La souveraineté numérique

“le cyberespace est le lieu où s’exercent les conflits d’intérêts, les luttes d’influences, bref le retour sous des formes nouvelles de la très classique compétition pour la prise de pouvoir. Les États développent ainsi des stratégies de domination, d’indépendance ou d’autonomie dans le cyberespace”

Rapport de M. Gérard LONGUET, fait au nom de la commission d’enquête en octobre 2019.

Qui, de l’État ou des entreprises, pourra solutionner le problème de la souveraineté numérique européenne ? 

 Les enjeux de la souveraineté numérique (Cloud Européen)

Pour les uns, elle est la capacité à « maîtriser l’ensemble des technologies, tant d’un point de vue économique que social et politique » (Amaelle Guiton, 2016). Pour Pierre Bellanger, elle correspond à « la maîtrise de notre présent et de notre destin par l’usage des technologies » . Cela implique « l’expression sans entrave, sur les réseaux numériques, de la volonté collective des citoyens ». Le rapport de la commission d’enquête du Sénat la définit comme « un enjeu géopolitique ». D’autres encore se réfèrent, pour l’appréhender, à leur position dominante sur le marché (Annie Blandin-Obernesser, date? ).

La définition de la souveraineté numérique et de ses enjeux se présente de manières très diverses, qu’il s’agisse de prolonger la souveraineté des États dans l’espace numérique, ou d’imaginer de nouvelles formes de souveraineté, non étatiques. Elle reçoit plusieurs acceptions, juridique, économique, technique. Elle se conçoit également, selon les cas, à différents niveaux, national (conservation des archives publiques sur un « cloud souverain » par exemple), européen (protection des données personnelles), ou même international (gouvernance des réseaux)

Sur le plan international

C’est d’abord la question du contrôle des ressources internet qui a cristallisé les inquiétudes de certains États, désireux de limiter l’hégémonie américaine sur la gestion du réseau, notamment concernant les missions stratégiques de l’ICANN (Internet Corporation for Assigned Names and Numbers). La société californienne créée en 1998 pour superviser la gestion des noms de domaine, racine stratégique de l’internet. Ces préoccupations sont d’autant plus vives que la domination historique des États-Unis s’accompagne d’une situation de quasi-monopole technique et économique des multinationales américaines. Nous parlons ici aussi bien des systèmes d’exploitation informatiques que du développement des applications numériques.

L’expression de souveraineté numérique est utilisée dès 2012 lors de la Conférence mondiale des télécommunications internationales, notamment par la Russie et la Chine. Elle revendique à l’époque la restauration de leurs droits souverains sur la gestion du réseau et l’élaboration d’un traité international permettant de mieux partager les responsabilités. Les États occidentaux sont alors soucieux, avant tout, de protéger la liberté du cyberespace.

En France

En parallèle, l’expression « souveraineté numérique » se diffuse progressivement. Certains observateurs avisés appellent, dès 2006, à repenser la souveraineté des États dont l’exercice devient indissociable des outils de la puissance technologique (B. Benhamou et L. Sorbier, 2006) L’entrepreneur de radio Pierre Bellanger popularise cette expression. En 2009, François Fillon, à l’époque premier ministre sous Sarkozy, exprime ses inquiétudes face au retard de la France.  Le Projet Andromède, nom de code pour un cloud souverain, voit le jour. Nous y reviendrons dans la section suivante, dédiée aux initiatives de partenariats publiques et privées dans le “cloud computing européen ». 

CNIL, RGPD,  et cloud act

En France, rien ne se fait sans l’Etat. Guy Mamou-Mani (2018) indique qu’une transformation numérique s’opère, et que l’Etat devient un “accélérateur de la révolution numérique”. Raison pour laquelle la France, par l’intermédiaire de l’Europe, envisage de reprendre le pouvoir sur l’espace numérique et ainsi assurer les droits de ses citoyens.

Adoption du RGPD

Même si des débats autour de la protection des données existaient déjà au début des années 90, il n’y avait pas de réelle convergence entre les différentes directives européennes sur le sujet et les lois nationales des Etats membres de l’Union Européenne. Il a donc fallu attendre 2010 pour initier un règlement législatif commun, qui deviendra 5 ans plus tard le RGPD, l’incarnation du soft power européen. «Par son biais,  l’UE affiche sa volonté de garantir à ses citoyens une protection appropriée de leurs droits à l’ère numérique, mais également son ambition de faire adopter largement ses normes dans le cyberespace. » (J. Lagasse, A. Bruillard, date? ) .

Ce règlement constitue un acte concret de l’Union Européenne vers une souveraineté numérique. Un premier pas vers le cloud européen, puisqu’il va concerner également les données qui sortent de l’Europe en imposant le même degré de protection au pays destinataire, mais aussi aux entreprises multinationales qui n’ont pas leur siège en Europe.

D’autre part, Viviane Reding, vice-présidente de la commission européenne devient la porte-parole d’une réforme globale, dès le 25 janvier 2012 . «Un cadre juridique solide, clair et uniforme au niveau de l’UE contribuera à libérer le potentiel que possède le marché unique numérique et à soutenir la croissance économique ». L’Europe est en effet un marché qui possède une population consommatrice avec un pouvoir d’achat important, qui lui confère un pouvoir d’influence sur les grandes entreprises multinationales et les gouvernements étrangers. 

LE CLOUD ACT, UNE LOI QUI INQUIÈTE

L’effort de l’Union Européenne pour protéger les données personnelles de ses citoyens et reprendre le contrôle sur les données de ses entreprises n’est pas suffisant. Cela étant, il est difficile de bâtir un Cloud Européen, car les entreprises européennes sont nombreuses à se procurer des services d’hébergement cloud auprès des américains. Toutefois, une loi fédérale intitulée Cloud Act votée en 2018 par le gouvernement américain prévoit sur autorisation d’un juge d’investigations de récupérer les données stockées chez un hébergeur quel que soit la domiciliation de l’entreprise concernée, y compris les entreprises européennes. « Le Cloud Act, permet aux autorités judiciaires américaines d’obtenir de façon unilatérale les données stockées sur ces serveurs. »

L’annonce du Cloud Act en 2018 a provoqué une réaction forte des pays européens sur le sujet de la souveraineté concernant les enjeux de la propriété intellectuelle. « Depuis la promulgation du Cloud Act en mars 2018, nous avons assisté à une véritable prise de conscience autour du sujet de la souveraineté numérique. En effet, le Cloud est stratégique, car c’est là que l’entreprise stocke les données précieuses». (Augier, Servane 2021) L’UE mesure l’importance d’agir pour créer une souveraineté européenne dans le domaine numérique, surtout que les périodes de crise vécu au début de l’année 2020 ont propulsé le recours conséquent aux solutions Cloud américaines.

Les rôles des acteurs privés et publiques dans la création d’un cloud européen

Le Projet Andromède

Le projet Andromède, lancé par François Fillon en 2011. “Il faut absolument que nous soyons capables de développer une alternative française et européenne dans ce domaine. C’est donc dans ce contexte en 2012 que naît une première initiative, Cloudwatt. Il s’agit ici d’un partenariat entre le gouvernement et le secteur privé. Cloudwatt, porté par Orange et Thalès doit etre capable de créer un cloud pouvant concurrencer les nord-américains. Elle est ensuite suivie par Numergy, issue de l’association entre SFR et Bull. Suite à une série d’événements, ces initiatives se soldent toutes deux par un échec et avortent en février 2020.

Le projet du cloud européen Gaia

En octobre 2019, l’initiative franco-allemande devenue le projet Gaïa-X est présentée. Un an plus tard, cette initiative devient ensuite un projet de cloud européen pour assurer une souveraineté numérique à l’Europe. Un récent sommet européen permet de faire le point sur l’avancée de ce projet en ce sens. Des hubs nationaux seront mis en place non seulement en France et en Allemagne mais également en Suède, Luxembourg, Italie…. Ainsi, nombreuses sont les entreprises françaises et allemandes mènent le projet en tant que membres fondateurs. (Siemens, Bosch, Orange, ou encore Safran).

Le rapport de la commission d’enquête du Sénat sur le cloud européen

Les objectifs du rapport du sénat lors de la sessions ordinaire du 1er octobre 2019 s’appuie en premier lieu sur un principe. (“ la souveraineté numérique est un devoir national et, à ce titre, engage nos compatriotes, toutes responsabilités confondues”). De même, l’article se base sur une méthode. (« la présentation et l’adoption par le Parlement d’une loi d’orientation et de suivi de la souveraineté numérique (LOSSN)”)

Pour rappel, les objectifs sont les suivants : (tirées telles quelles du rapport)

1. Définir une stratégie nationale numérique au sein d’un Forum institutionnel temporaire du numérique,  
2. Inscrire l’effort (…) dans le temps en votant une loi d’orientation et de suivi de la souveraineté numérique,
3. Protéger les données personnelles et les données stratégiques en « Restituant à chacun la maîtrise de ses données”
4. Adapter la réglementation en musclant le droit de la concurrence aux niveaux national et européen,
5. Utiliser les leviers de l’innovation et du multilatéralisme en “encourage les innovations aux niveaux national et européen.

La version française de la souveraineté numérique

Plus récemment, il semblerait que l’État ait pris une direction quelque peu différente. Bruno Le Maire et Cédric O ont posé les lignes de la nouvelle version française du cloud souverain. Ainsi, selon ses mots, les entreprises françaises doivent “pouvoir se référer à des «soubassement technologique de l’économie»”. La France cependant finalement fait le choix des solutions américaines et plus précisément qu’elle oriente sa décision vers Google et/ou Microsoft. Amazon ne souhaite pas sous-louer ses services à un tiers, et se retire de la course.

Le plan dispose de trois axes. Avant tout, un label “cloud de confiance”. l’Anssi (Agence nationale de la sécurité des systèmes d’information) délivre le visa SecNumCloud. Il sera uniquement octroyé à certains fournisseurs de services. Cette labellisation doit enfin mener à la mise en place d’une sécurisation juridique pour les entreprises et administrations françaises. La certification permettra “de nouvelles combinaisons comme la création d’entreprises alliant actionnariat européen et technologies étrangères sous licence”. Le label sera accordé par conséquent aux entreprises “européennes qui disposent de “de serveurs opérés en France”. En ce sens, le procédé vise à garantir une “indépendance totale par rapport aux lois extraterritoriales américaines”, en référence au Cloud Act étasunien.

D’autre part, Jean-Marie Cavada, est président d’IDFrights, institut qui travaille sur des questions de défense des droits numériques. Il estime qu’il reste encore deux obstacles à surmonter. Le pouvoir de l’extraterritorialité du Cloud Act américain sur le label “cloud de confiance” et sur l’invalidation du PSS par la Cour de justice de l’UE. (Privacy Srivacy Shield) Le débat reste donc entier.