Alors que la crise sanitaire actuelle pousse l’Europe à réfléchir aux moyens techniques et économiques de sa souveraineté, elle vient déjà de franchir une étape cruciale avec l’adoption d’un référentiel commun en matière de cloud computing, appelé Gaia-X avec des services attendus dès 2021.
Le cloud computing « mondialisé » a montré ses limites, verrons-nous dans un premier temps ; Gaia-X constitue une réponse crédible de l’Europe.
Les limites du cloud mondialisé
Le modèle unique d’un cloud mondial unique avec un service qui soit le même pour tous ne résiste pas aux contraintes légales nationales qui se développent partout dans le monde.
C’est d’abord et surtout le Cloud Act[1], adopté le 23 mars 2018, qui a marqué un tournant très fort.
Le Cloud Act est l’acronyme de « clarifying lawful overseas use of data act », signifiant en français : loi de clarification du transfert légal de données Outre-mer. Certes, sous contrôle du juge, toute société de droit américain doit désormais fournir de telles informations, indépendamment de la localisation physique de l’information. Le Cloud Act s’applique à toute « United States person », définie très largement comme étant pour les personnes morales, toute société de droit américain, filiale étrangère incluse.
Comme cela a été mis en exergue par le député Raphaël Gauvain dans un rapport[2] remis au Premier ministre, et plus récemment dans une ordonnance du Conseil d’Etat[3], cette loi,[paywall] conjuguée aux législations à vocation extraterritoriale de lutte contre le terrorisme[4], la corruption ou encore la contrefaçon, peut permettre un accès à un nombre d’informations considérable[5].
L’onde de choc a été très importante et l’émergence de législations équivalentes dans d’autres Etats a renforcé les craintes de nombres entreprises cherchant alors par des clouds privés coûteux, à défaut de clouds souverains, à relocaliser et cloisonner autant que faire se peut leurs données stratégiques.
Le Contrôleur européen et le CEPD[6] ont déjà exprimé leur inquiétude sur le Cloud Act[7]. Leur principale recommandation est que le prestataire, dès lors que cela peut être envisageable par cette loi, devrait s’engager par contrat à en contester la mise en œuvre auprès du juge compétent. Le 2 juillet 2020, le Contrôleur ne devait finalement relever que de modestes progrès du côté des documents contractuels Microsoft[8] pour les institutions européennes. Le 16 juillet 2020, l’arrêt dit Schrems II[9] a annulé la décision d’adéquation qui permettait à toute société américaine « auto-certifiée » aux standards RGPD d’exporter sans autre formalité des données à caractère personnel outre-Atlantique.
L’heure d’un cloud souverain européen a véritablement sonné.
Gaia-X : un référentiel commun
Avant d’envisager un cloud souverain, il a été tiré les conclusions de l’échec des initiatives nationales, notamment en France. Proposer un service standard déconnecté du réel besoin du marché, tout en contraignant des concurrents à travailler ensemble, ne peut que mener à l’échec.
C’est donc sur la base d’un cadre résolument plus souple et mieux connecté aux attentes des clients que l’initiative européenne devait se construire tout en affirmant la souveraineté numérique européenne[10]. Les lignes directrices du cloud européen Gaia-X sont désormais connues. Le projet européen répond à trois principaux objectifs :
- concrétiser la conception technique et économique des infrastructures ;
- créer un écosystème commun d’utilisateurs et de prestataires issus d’organisations de l’administration publique, de la santé publique, des entreprises et des institutions scientifiques ;
- créer un cadre favorable et des structures de soutien.
Empruntant son nom à la déesse grecque de la Terre, Gaia-X a vocation à devenir une plateforme d’offres multi-services, multi-prestataires de stockage des données.
Gaia-X se présente comme un « méta cloud » en ce qu’il fixe un référentiel technique commun à tous les adhérents à la fondation, structure juridique qui le porte. Cette plateforme offrira à terme un catalogue de services numériques porté par des hébergeurs et des éditeurs de logiciels, préalablement engagés autour de standards visant à renforcer la confiance des utilisateurs.
Gaia-X fonctionnera autour de trois principes :
- Interopérabilité : les plateformes doivent communiquer entre elles, sans placer le client dans une situation de trop forte dépendance technique. Il s’agit aussi de la réversibilité des données. Les utilisateurs pourront récupérer leurs données hébergées chez un fournisseur pour les transférer chez un autre fournisseur, et ce grâce à des API aisément configurables ;
- Transparence : les entreprises devront indiquer le lieu de stockage des données et d’implantation des data centers ;
- Confiance : chaque membre de la fondation doit faire certifier[11] tout ou partie des services proposés.
Seules les offres répondant aux normes de sécurité, d’intégrité et de protection des données du projet y seront alors proposées.
Gaia-X ne ferme pas la porte aux acteurs non européens qui respecteraient les normes de confidentialité les plus strictes.
Gaia-X est la réponse à la fois technique, commerciale et juridique au cloud act américain. La méthode Monnet-Schuman, dite des « petits pas », reposant sur la réalisation de projets concrets devrait, une fois encore, faire ses preuves dans la construction d’une souveraineté numérique européenne.
Éric Le Quellenec
[1] US Cloud Act – Extrait du Consolidated Appropriations Act 2018 / H.R.4943 – CLOUD Act, 115th Congress (2017-2018).
[2] Rapport Gauvain du 26 juin 2019 traitant de « Rétablir la souveraineté de la France et de l’Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale ».
[3] Conseil d’État, 19 juin 2020, Plateforme Health Data Hub
[4] Le Patriot Act, adopté suite aux attentats du 11 septembre 2001, a toujours été perçu comme une menace pour la souveraineté européenne.
[5] A noter qu’il existe déjà une coopération active entre services de renseignement de l’Australie, du Canada, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis, dite « Five eyes ».
[6] Comité européen à la protection des données personnelles regroupant les autorités de contrôles nationales.
[7] Lettre de couverture sur le Cloud Act du 10 juillet 2019, consultable sur : https://edps.europa.eu/sites/edp/files/publication/19-07-10_edpb_edps_cloudact_coverletter_en.pdf
[8] Rapport public disponible sur : https://edps.europa.eu/sites/edp/files/publication/20-07-02_edps_euis_microsoft_contract_investigation_en.html
[9] CJUE Facebook Ireland Ltd vs. Maximillian Schrems, C-311/18.
[10] Manifeste franco-allemand pour une politique industrielle européenne, 19 février 2019.
[11] Des initiatives franco-allemandes entre l’ANSSI et le BSI existent déjà avec succès à ce sujet avec le label ESCloud : https://www.ssi.gouv.fr/actualite/escloud-un-label-franco-allemand-pour-les-services-informatique-en-nuage-de-confiance/.
