Note de veille

Entreprises, travail - Institutions - Recherche, sciences, techniques

Cloud, stockage des données et souveraineté nationale

Par

Le cloud : enjeu stratégique majeur pour les entreprises et les États

D’ici 2022, à l’échelle mondiale, 72 % des grandes entreprises pourraient transférer l’intégralité de leurs données sur un cloud. Le cloud ou cloud computing désigne une infrastructure informatique qui permet de stocker, de gérer et de répartir des données sur des serveurs distants, accessibles via un réseau public — Internet — ou privé. Il s’oppose donc au principe de stockage local, dans lequel, à l’inverse, les données sont entreposées sur le disque dur d’un serveur, avec une capacité limitée par la contenance du disque dur et des accès restreints [1]. Le cloud permet, lui, de stocker sans limitation de très grandes quantités de données et de faciliter l’accès à ces données aux utilisateurs (en interne et en externe) grâce aux réseaux. C’est pourquoi cette technologie est de plus en plus prisées par les entreprises et les États eux-mêmes. Un grand nombre de fournisseurs proposent déjà différents types de cloud, en fonction des besoins de leurs clients. Pour le grand public, on retrouve ainsi Dropbox, Apple iCloud ou Google Drive.

Pourtant, au-delà de ses avantages, la technologie cloud soulève de nombreuses problématiques pour ses utilisateurs. Pour les entreprises comme pour les États, il apparaît en effet essentiel d’assurer la protection des données qu’ils y stockent. Les risques de piratage ou de divulgation font évidemment partie des menaces principales. Mais il s’agit aussi de se prémunir contre toute surveillance des données (notamment personnelles) par les fournisseurs des services de cloud. Il existe aussi un risque de défaillance mécanique en cas de dégradation des serveurs qui assurent le bon fonctionnement des clouds, ces serveurs se situant parfois dans des zones à risques (zones de conflit, risques naturels, etc.). Aujourd’hui, les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) dominent largement le marché. Cette situation monopolistique suscite plusieurs interrogations en matière de vie privée, de maintien du secret des affaires et de sécurité nationale. Autre source d’inquiétude : ces dernières années, les entreprises américaines, mettant à profit la dépendance des entreprises européennes à leur services numériques, conduisent des stratégies d’augmentation des prix de ces services, obligeant leurs clients à s’y adapter, au risque de voir leurs activités reposant sur l’usage de ces outils numériques interrompues. D’autre part, elles utilisent les règles et les lois de leur propre pays concernant l’accès et l’usage des données des utilisateurs. Ces exceptions réglementaires extraterritoriales atteignent la souveraineté des entreprises européennes.

De plus en plus d’acteurs privés réclament donc la mise en place d’un cloud de confiance, garantissant la protection des données aux niveaux technique et juridique, déployé sur le territoire européen. Pour un État, cette exigence peut se traduire par la mise en œuvre d’un cloud souverain, développé et maîtrisé par des acteurs nationaux, et assurant ainsi l’indépendance du pays en matière numérique.

Du cloud de confiance à Gaia-X : ambitions européennes

Ces dernières décennies, l’Europe a pris du retard dans le domaine de la technologie cloud, développant et investissant moins qu’outre-Atlantique dans ces technologies. Elle compte bien se rattraper néanmoins, sous l’impulsion des Allemands et des Français. Les deux pays ont, en effet, lancé le développement de Gaia-X, une infrastructure numérique européenne, fondée sur les grands principes de protection des données personnelles chers à l’Union européenne. Gaia-X, disposant d’un statut associatif et dont le principe a été validé fin 2019, est une solution offrant aux utilisateurs finaux (entreprises et États membres) une fédération de services à travers un catalogue de fournisseurs de cloud. Ces fournisseurs devront, pour rejoindre ce catalogue, respecter au préalable un cahier des charges strict, défini en accord avec le RGPD (Règlement général sur la protection des données) et protégeant les usagers des lois d’extraterritorialité dommageables aux entreprises européennes.

Ce cahier des charges inclut aussi l’interopérabilité entre les solutions des fournisseurs de cloud, la portabilité des données et des services, la transparence et la sécurité. En proposant aux entreprises d’accéder à des fournisseurs de solutions cloud agréés, en imposant à ces fournisseurs d’héberger les données en Europe et de répondre aux conditions de protection de données européennes, Gaia-X est donc une infrastructure fusionnant simultanément les principes du cloud de confiance et du cloud de souveraineté. Forte des ambitions allemandes et françaises, l’association doit tester son projet dès la fin 2020. Une première version de l’offre devrait être accessible en 2021. Extrêmement ambitieux, le tempo rapide donné à son développement témoigne des aspirations européennes à se mettre sur un pied d’égalité avec les géants américains et chinois en matière numérique. Gaia-X exige pourtant de hautes compétences techniques, des infrastructures solides, et une capacité à favoriser l’interopérabilité des clouds et la portabilité des données entre les différentes plates-formes proposées dans le catalogue, clef de voûte de cette solution européenne.

Ambivalences et freins au développement de Gaia-X

Si Gaia-X suit pour le moment une trajectoire ascendante, on ne peut s’empêcher de noter de profonds paradoxes, notamment côté français. La France a en effet tardé à investir dans un cloud souverain fonctionnel. Les compétences françaises, pourtant développées en la matière comme en témoigne le savoir-faire de l’entreprise OVH [2], ont été masquées par les stratégies de communication massives déployées par les entreprises américaines. Ainsi le gouvernement français a-t-il préféré signer un partenariat avec Microsoft au cours de l’été 2020, pour héberger les données de santé liées au traçage des cas Covid-19, et ce sans le consentement des personnes concernées. L’état d’urgence sanitaire a d’ailleurs servi de levier dans cette opération, contre l’avis de la Commission nationale de l’informatique et des libertés (CNIL) qui s’opposait à ce qu’un tel transfert de données sensibles soit opéré vers l’étranger.

Et demain ?

Les ambitions françaises et européennes de s’élever à la hauteur d’acteurs de poids comme les GAFAM sont bien présentes. Les entreprises, quant à elles, marquées par les soudaines ruptures de chaînes d’approvisionnement matériel au début de la crise Covid-19, réfléchissent de plus en plus à leur propre autonomie en matière numérique. Pour autant, la récente décision du gouvernement français interroge sur la viabilité de Gaia-X. Le projet attirera-t-il suffisamment de fournisseurs européens pour faire contrepoids face aux GAFAM dont les compétences séduisent toujours autant les clients européens ? Les entreprises qui y recourront seront-elles convaincues par la garantie de confiance que promet l’association Gaia-X dans la plate-forme ? Plus largement, l’Union pourrait-elle encourager les entreprises européennes à investir dans les fournisseurs de cloud européens, comme le font les États-Unis avec leurs acteurs nationaux ? La libre concurrence européenne ne devrait-elle pas disparaître au profit d’une souveraineté et d’une autonomie numériques des États membres et de leurs entreprises ? Ne faudrait-il pas fermer le cloud européen aux acteurs étrangers ne répondant pas aux mêmes exigences de protection des données ? Autant de questions à garder en tête au cours des prochains mois, notamment en suivant le lancement de la plate-forme en 2021.

----------------------------
Sources complémentaires :
Bouillé Alain, « Vous avez dit souveraineté ? », CyberCercle, 19 juin 2020 ; Gauvain Raphaël (sous la dir. de), Rétablir la souveraineté de la France et de l’Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale, Paris : Assemblée nationale, rapport, 26 juin 2019.



[1] Les contours et définitions du cloud sont présentés sur la page suivante du site de Futura : https://www.futura-sciences.com/tech/definitions/informatique-cloud-computing-11573/

À lire également

Devenir membre

Cet article est en accès libre jusqu'au 3/12/2020. Devenez membre pour accéder à l'ensemble des productions de l'association.

Adhérer