La grande conversation 2022
La guerre en Ukraine, les tensions avec la Chine ont brutalement fait prendre conscience aux Européens que l’économie numérique ne relevait pas seulement de la politique commerciale mais soulevait des enjeux de puissance, de souveraineté et d’autonomie stratégique. Dans cette économie, la question du Cloud européen et de la réglementation qu’on lui applique, est devenue cruciale. Il est urgent que la Commission européenne élabore une politique de souveraineté cohérente et efficace. Cet article propose quelques pistes de réflexion. L’Europe a besoin dans ce domaine d’un « Buy European Act », miroir du « Buy American Act », qui structure la politique américaine depuis longtemps.
...
mutualisation des capacités de calcul de serveurs répartis dans des data centers, eux-mêmes interconnectés par des réseaux Télécoms. Quand on parle de Cloud, on parle donc d’une accumulation de couches technologiques, aussi bien des câbles, des satellites, des centres de données, des serveurs, que des briques logicielles. Ce sont d’ailleurs ces briques logicielles qui créent aujourd’hui l’essentiel de l’intelligence, les économies d’échelle et les gains de productivité incroyables associés au Cloud.
...
l’Europe doit être capable de proposer des alternatives industrielles face à la montée en puissance des fournisseurs de Cloud américains ou encore chinois, qui connaissent aujourd’hui la progression la plus rapide à l’échelle mondiale[1].
...
trois menaces :

• Une dépendance accrue à des solutions techniques non-européennes,
• Une exposition des citoyens et des sociétés européennes à des législations extraterritoriales,
• La difficulté face à cette situation de dépendance industrielle et réglementaire, de continuer à défendre des valeurs européennes dans la sphère numérique.

...
Depuis 2015, la Cour de Justice de l’Union Européenne a invalidé de façon répétée les mécanismes mis en place pour permettre le transfert de données vers les Etats-Unis (invalidation du Safe Harbor en 2015, du Privacy Shield en 2020 via l’arrêt Schrems II[2]), estimant que le régime de protection des données personnelles outre-Atlantique n’est pas équivalent aux protections offertes par le droit européen.
...
LES DATA CENTERS NE SUFFISENT PAS
...
Dans son rapport Bilan approfondi des dépendances stratégiques de l'Europe[3], publié en février dernier, la Commission européenne a souligné combien notre continent était dépendant des technologies logicielles Cloud américaines
...
LA FRANCE S’EST ATTAQUÉE AU SUJET EN CRÉANT LE PRINCIPE DE CLOUD DE CONFIANCE ET LA CERTIFICATION SECNUM CLOUD, DÉLIVRÉE PAR L’ANSSI (AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION)
La qualification SecNumCloud, conduite par l’ANSSI, permet d’apporter, pour certains cas d’usage, des garanties de mise en œuvre de techniques de cybersécurité indispensables
...
simple position de revendeurs : Microsoft associé à Orange et Capgemini, sous le nom
BLEU, ou encore Google épaulé par Thalès, dénommé S3NS.
...
le « Cloud de confiance » crée une illusion de souveraineté ... contrôle des exportations aux États-Unis en matière de licences, avec par exemple la réglementation ITAR dans le domaine de l’armement. L’administration américaine, sous Donald Trump, a ainsi instrumentalisé à plusieurs reprises cette clause ITAR pour compliquer l’exportation du Rafale.
...
une étude commandée par le ministère de la Justice des Pays Bas[4] interroge sur l’immunité réelle à la portée extraterritoriale du droit américain ... « le Cloud Act peut accéder aux
données via des sous-traitants/fournisseurs de matériel et de logiciels, de/vers les fournisseurs de Cloud » . Du fait de l’exposition de ces offres au FISA, l’étude pointe aussi le risque accru lié à l’installation de portes dérobées dans les logiciels d’infrastructures Cloud, sans que leur code source ne soit accessible, ou auditable par l’ANSSI.
...
UN CLOUD EUROPÉEN EST-IL ENCORE POSSIBLE ?
... non seulement possible, mais terriblement nécessaire. Il n’y a pas de fatalité technologique qui nous condamnerait à n’être que des revendeurs européens de solutions logicielles américaines ou chinoises, car la bataille du Cloud n’est pas perdue !
...
Rattrapage puis d’un rééquilibrage par rapport aux offres américaine et chinoise est donc réaliste. Mais à trois conditions.
... une plus grande confiance dans l’initiative privée ... une volonté politique forte, à l’échelle européenne ... troisième condition. Chaque grande puissance (Etats-Unis, Chine, Inde, Brésil,
Corée du Sud) a mis en place des réglementations en matière de localisation des données. Ces règles souvent liées à des problématiques de sécurité nationale, rendent «compliquée», c’est un euphémisme, une concurrence libre et non-faussée entre acteurs locaux et Européens. Elles structurent de fait des marchés captifs. Seul le marché européen n’est pas protégé.
...
l’Europe, ses entreprises, ses administrations sont en retard dans l’adoption du Cloud : seulement 30% des capacités informatiques et 42%[5] des entreprises européennes ont basculé vers ces solutions contre 94%[6] aux Etats-Unis. Les prochaines années seront donc riches d’opportunités pour les industriels européens
...
renforcer le Buy American Act, pour y intégrer l’achat de produits liés aux technologies de l’information, autant sur la couche matérielle que logicielle[7].
Accélérer l’adoption du Cloud et renforcer notre indépendance technologique : tel est le « en même temps » qui doit rythmer l’action collective européenne. A cet égard, on ne peut que regretter les promesses non-tenues de GAIA-X[8], initiative qui, à son lancement en juin 2020, visait à « garantir la souveraineté, la disponibilité, l’interopérabilité et la portabilité des données » et, « promouvoir la transparence » dans le Cloud en Europe. Deux ans et demi plus tard, l’impact de cette initiative est nul
...
créer une doctrine de l’achat numérique responsable, qui irait bien au-delà des considérations de cybersécurité. La question environnementale doit y occuper une place essentielle. Seul un Cloud européen souverain permettrait de concilier deux exigences : d’un côté, le développement technologique – qui est indispensable – et, de l’autre, la protection de notre planète – qui est vitale. Au cours de la dernière décennie, la consommation énergétique du secteur numérique a augmenté très fortement, représentant désormais entre 6% et 10 % de la consommation mondiale d’électricité, qui est trèsintense en carbone à l’échelle planétaire.
...
Emmanuel Macron s’est encore récemment érigé en défenseur de la préférence européenne pour les véhicules électriques[14]. D’autres initiatives sur les semi-conducteurs ou l’hydrogène sont tout en haut de l’agenda politique pour une vraie souveraineté européenne. Toutes ces initiatives ont en commun de s’appuyer sur des solutions Cloud et ne seront véritablement autonomes que si elles reposent sur un Cloud réellement européen ... des députés européens ont pris position cet été en faveur d’un «Buy European Tech
Act»[15], des fournisseurs européens de technologie Cloud se sont organisés au sein
d’Euclidia[16]
...
[1] https://www.gartner.com/en/newsroom/press-releases/2022-06-02-gartner-says-worldwide-iaas-public-cloud-services-market-grew-41-percent-in-2021
[2] La Cour de justice de l’Union européenne (CJUE) a rendu le 16 juillet 2020 un arrêt majeur, dit « Schrems II », invalidant le régime de transferts de données entre l’Union européenne et les États-Unis (Privacy shield). Les conséquences de cet arrêt sont nombreuses pour les organismes qui souhaitent transférer des données.
[3] https://ec.europa.eu/docsroom/documents/48878
[4] https://english.ncsc.nl/latest/weblog/weblog/2022/how-the-cloud-act-works-in-data-storage-in-europe
[5] Source Eurostat
[6] Source Forrester
[7] https://www.techtarget.com/searchcio/feature/Biden-wants-review-of-IT-exemption-in-Buy-American-law
[8] https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html
[9] https://www.datacenterdynamics.com/en/news/politician-asks-irish-water-to-clamp-down-on-wasteful-data-centers/
[10] https://www.datacenterdynamics.com/en/news/thames-water-launches-data-center-water-probe-in-london-slough-amid-drought/?utm_source=dlvr.it&utm_medium=twitter
[11] https://www.techzine.eu/news/infrastructure/85915/microsoft-data-center-guzzles-scarce-water-supply-amidst-heatwave/
[12] https://idc-a.org/news/industry/Will-water-be-the-next-Big-Headache-for-large-scale-data-centers-/504ccba5-96b9-439e-972c-ffb0e027ea78
[13] https://www.politico.eu/article/grand-duchy-roars-at-google-data-center-luxembourg/
[14] https://www.lesechos.fr/politique-societe/emmanuel-macron-president/exclusif-emmanuel-macron-il-faut-une-politique-massive-pour-reindustrialiser-leurope-1870009
[15] https://stephanieyoncourtin.eu/posts/7awtYhKMpPVheOeINLaTRs/les-echos-i-opinion-numerique-il-faut-instaurer-un-buy-european-tech-act
[16] https://www.euclidia.eu/
Ndlr : Ce n'est pas gagné... Il le sait, alors, quel est son but ? ACT