Souveraineté, j'écris ton nom - mais de quoi, en matière de nouvelles technologies, la souveraineté est-elle vraiment le nom ? La question se pose à nouveau alors que le français Atos envisagerait la signature d'un partenariat dans le cloud de confiance avec la filiale d'Amazon AWS. Un accord qui, faisant suite à ceux précédemment noués entre Microsoft Azure et OBS (Orange)/Capgemini - donnant naissance à « Bleu » - et entre Google Cloud et Thales (S3NS), semble confirmer la dynamique de rapprochement entre acteurs américains et français. Si Atos et AWS ambitionnent a priori de décrocher le label SecNumCloud de l'Anssi (Agence nationale de la sécurité des systèmes d'information), véritable porte d'entrée vers la certification « Cloud de confiance » délivrée par la même Anssi, l'annonce de ce nouvel accord aux contours encore flous n'est pas sans soulever d'importantes questions en matière de souveraineté.

Ces divers partenariats posent, tout d'abord, l'enjeu de notre souveraineté technologique. N'y allons pas par quatre chemins : celle-ci ne saurait être absolue, comme l'a très justement rappelé dans un récent entretien à La Tribune Guillaume Poupard, le directeur général de l'Anssi, selon qui « nous ne sommes pas capables de faire du cloud de haut niveau en France aujourd'hui avec des technologies exclusivement françaises développées en France ». On ne saurait être plus clair. Qu'on le déplore ou qu'on s'en félicite, dans l'économie globalisée qui est la nôtre, l'autarcie technologique fait figure de mythe, pour ne pas dire de dangereuse illusion. Demeure donc la question, non moins explosive, de la souveraineté exercée sur nos propres données - et, notamment, les plus sensibles d'entre elles. Contrairement à la souveraineté technologique, celle-ci ne peut, ni ne doit, être partagée. Et que Joe Biden vienne juste de signer un décret encadrant le transfert de données entre l'Union européenne (UE) et les Etats-Unis ne change rien à cet impératif.

La fermeté, oui mais à quel prix ?

Ces deux enjeux en tête, plusieurs questions restent en suspens. Ainsi, la fermeté des Européens sur la question des données ne condamne-t-elle pas, d'emblée, toutes les futures offres des hyperscalers américains sur le Vieux continent ? Pas nécessairement : tant que n'entrent pas en ligne de compte des données exigeant un niveau de sécurité et de confiance particulièrement élevé, il n'y pas de raison de se priver de l'apport technologique venu d'outre-Atlantique.

Mais cette fermeté ne devrait-elle pas nous inciter à interdire ces mêmes offres américaines quand il s'agit du niveau de sécurité le plus élevé du schéma européen de certification cloud (EUCS), tel qu'actuellement discuté à Bruxelles ? Oui, sans aucun doute car même une filiale de droit européen d'une société américaine n'aura d'autre choix que d'obtempérer à la requête d'un juge américain. Dans ce cas précis, il semble donc qu'il faille faire preuve de cohérence, de cohésion et de courage : la protection de nos données sensibles face à la toute-puissance de l'extraterritorialité du droit américain est à ce prix.

Enfin, l'interdiction d'offres portant sur le niveau de sécurité le plus élevé ne condamne-t-elle pas, non seulement les offres de cloud portées par des filiales locales de sociétés non-européennes, mais également celles portées par des opérateurs français ou européens s'appuyant sur des co-entreprises ou des accords de licence passés avec des acteurs non-européens ? En l'espèce, le débat, qui demeure non tranché à ce jour, quitte le terrain purement technique pour s'aventurer sur les plans juridique et politique. Il s'agit bien d'une question de confiance, et non plus, simplement, de cybersécurité. Du point de vue juridique, il faut se demander si ces offres permettent d'immuniser nos données face à un arsenal législatif américain dont le Cloud Act ne représente, ne nous y trompons pas, que la pointe émergée de l'iceberg extraterritorial.

La lecture de la note du cabinet d'avocats Greenberg Traurig pour le compte du ministère néerlandais de la Justice et de la Sécurité, qui a étudié l'applicabilité du Cloud Act américain aux coentreprises binationales de cloud hyperscale, est à cet égard éclairante : toute entité qui dispose d'un « lien suffisant » avec les Etats-Unis (vente de produits sur le marché américain, recours à des fournisseurs de service aux Etats-Unis, existence d'un site web accessible depuis les Etats-Unis, etc.,) peut se voir soumise au droit américain...

Enfin, au plan politique, comment pouvons-nous nous assurer que cette dépendance ne sera pas, un jour, utilisée contre nous ? Qu'adviendra-t-il si les Etats-Unis décident, comme ils l'ont fait en 2018 avec l'acier et l'aluminium, d'unilatéralement « couper le robinet » en augmentant brutalement les droits de douanes ou en plaçant tel ou tel pays sur leur liste de sanctions ?

Vigilance

C'est pour l'ensemble de ces raisons que le débat actuel sur le schéma européen de certification apparaît comme une étape absolument clé, dont on ne saurait minorer les possibles conséquences. Alors que la version initiale du texte, plus ou moins calquée sur le schéma français SecNumCloud, prévoyait que les opérateurs soient contrôlés par des entités européennes en cas de manipulation de données exigeant un niveau « élevé » de sécurité, plusieurs pays membres de l'UE - parmi lesquels l'Estonie, l'Irlande ou les Pays-Bas - ont d'ores et déjà exprimé leur opposition à cette mesure. La plus grande vigilance s'impose donc, si nous souhaitons défendre nos intérêts et non les brader au nom d'un angélisme coupable. Comme le disait Jacques Delors, l'Europe doit être ouverte, pas offerte ; il en va de même de ses données.