Le ministre de l’Économie, Bruno Le Maire, accompagné par Amélie de Montchalin, ministre de la Transformation et de la Fonction publique et Cédric O, secrétaire d’État chargé de la Transition numérique a dévoilé, ce lundi 17 mai, la stratégie nationale pour le cloud. L’enjeu de cette doctrine : trouver un juste équilibre entre souveraineté numérique française et européenne et compétitivités des services utilisés au sein de l’administration et des entreprises.

Une équation difficile à résoudre sur un marché prolifique, mais détenu à 70% par des acteurs américains, Amazon, Microsoft et Google. De l’aveu même des membres du gouvernement présents lors de la conférence de presse le 17 mai, la dernière stratégie nationale en matière de cloud en 2018, s’est révélée décevante.

La version 2021, qui s’inscrit dans le sillage de l’initiative européenne Gaia-X, doit parvenir à répondre aux attentes jusque-là déçues. Le plan dévoilé par le gouvernement se décompose en trois axes : le Label « Cloud de confiance », le « Cloud au centre » et une « stratégie industrielle ambitieuse ».

tableau présentant trois axes travails du gouvernement pour le Cloud

Les trois axes de la stratégie nationale pour le Cloud

C’est via le label Cloud de confiance que l’équilibre doit être rétabli. Il doit assurer une protection juridique et technique des clients des fournisseurs de services cloud labellisés.

Un label pour s’affranchir des lois extraterritoriales américaines

Sur le plan juridique, une entreprise devra être protégée des lois extraterritoriales américaines. Les textes du Cloud Act ou le Foreign Surveillance Act sont principalement en ligne de mire. Ils permettent à la justice ou au renseignement américain de consulter des données hors de leurs territoires. Pour protéger les données sensibles des Français, les fournisseurs de services souhaitant obtenir le tampon Cloud de confiance devront avoir leurs serveurs en Europe, être européens et détenus par des Européens.

C’est ici que le bât blesse. Pour le ministre de l’Économie, une telle mesure est de nature à réduire la compétitivité des entreprises françaises, les services américains étant selon lui les plus performants sur le marché du cloud. Pour passer outre cette difficulté, le gouvernement propose l’exploitation de technologies Microsoft ou Google par exemple, sous licences.

Sur le plan technique, les entreprises devront obtenir le visa SecNumCloud de l’ANSSI. Il a été élaboré en 2015-2016 et revu en 2018. L’idée de cette qualification est de fixer des règles uniques pour tous, basées sur les standards du secteur et les expériences de l’Agence Nationale de Sécurité des Systèmes d’Information, à même de susciter de la confiance chez l’utilisateur. Selon Guillaume Poupard, président de l’Agence, trois offres ont déjà obtenu ce référentiel, Oodrive, Outscale et OVH Cloud.

Faire entrer l’État et les entreprises françaises dans le cloud

Ce label « Cloud de Confiance » assure, selon Bruno Le Maire de « donner accès au meilleur niveau de service tout en garantissant un haut niveau de sécurité ». Il ouvre le deuxième pilier de la stratégie du gouvernement, « Cloud au centre ». Il s’agit d’accélérer l’adoption du cloud au sein de l’administration. Deux choix sont proposés, soit celui de l’un des deux clouds de l’État, celui du ministère de l’Intérieur ou de la Direction générale des finances publiques. Soit de se tourner vers un cloud industriel labellisé.

Cette mesure s’appliquera à tous les projets numériques déjà engagés par les ministères, soit lors d’une mise à jour ou de l’amélioration. Amélie de Montchalin, ministre de la Transformation et de la Fonction publique a déclaré que « Tous les projets devront donc se mettre en conformité et annuler tout risque de transfert de données sous un délai de 12 mois à partir du moment où les offres du Cloud de confiance existeront ». D’après Cédric O, les offres ayant déjà obtenu le visa SecNumCloud devraient être labellisées dans les prochains mois.

La souveraineté numérique française sur le cloud est-elle vraiment assurée ?

Le gouvernement l’assure, l’extraterritorialité américaine ne pourra pas s’appliquer. Une bonne nouvelle qui laisse un peu tiède selon certains observateurs. Le choix d’autoriser les licences d’entreprises américaines dans le cadre du Cloud de Confiance est la cible des critiques.

Guillaume Champeau, directeur éthique et Affaires juridiques de Qwant, estime, par exemple, que « Vouloir encourager le licensign des techno US par les acteurs UE c’est encourager durablement la dépendance à des technos qu’on ne maîtrise pas (sic) ».

Les critiques visent également le troisième volet du plan, jugé fragile. 107 millions seront investis dans le cadre du Plan France Relance, pour soutenir cinq projets autour des domaines « des plateformes de travail collaboratives, du edge computing, notamment dans le contexte de l’IoT, ainsi que des communications sécurisées » détaille le communiqué du gouvernement. Associé à des financements européens à hauteur de plusieurs centaines de millions d’euros dans le cadre du Projet Important Intérêt Commun. Un peu faible en comparaison des investissements des entreprises américaines qui se comptent en dizaines de milliards de dollars.

Une critique anticipée par Cédric O, secrétaire d’État à la Transition numérique, « D’où vient la puissance d’Amazon, de Google ou de Facebook ? D’un écosystème entrepreneurial extrêmement vivace et d’investissements privés massifs. Ce n’est pas l’État américain qui a construit la puissance d’Amazon, de Google ou de Facebook », a-t-il répondu à la question d’un journaliste. Certes, mais face aux géants américains bien installés un sérieux coup de pouce semble plus que nécessaire pour faire émerger des services européens susceptibles de rivaliser…