LA TRIBUNE - Pourquoi cette initiative ? Pourquoi faut-il selon vous un moratoire sur les stratégies cloud des pays européens ?
JEAN-PAUL SMETS - Depuis le 17 mai et le lancement de la stratégie cloud de confiance en France, il se passe un phénomène étrange. A la place de constater une accélération des ventes des solutions cloud basées sur des technologies européennes, ce qui serait logique pour développer un cloud souverain, on constate à l'inverse une accélération des ventes des solutions cloud basées sur les technologies des Gafam, notamment de Microsoft et de Google. La raison est simple : le ministre de l'Economie, Bruno Le Maire, et le secrétaire d'Etat à la Transition numérique, Cédric O, ont publiquement présenté les solutions de Google et de Microsoft comme des solutions "de confiance" plus simple à mettre en place, ce qui a poussé le marché et les administrations à recourir à leurs services les yeux fermés. L'ironie de l'histoire est que les projets censés apporter ce cloud de confiance -la coentreprise Bleu entre Microsoft et Orange/Capgemini et la coentreprise entre Google et Thales, Ndlr- n'existent même pas encore alors que le but de la stratégie était de combler rapidement un retard.
Parallèlement, l'Italie est en train de mettre en œuvre une politique nationale de cloud qui pourrait aussi aboutir à favoriser les acteurs dominants américains. L'Allemagne a une stratégie fédérale qui veut faire du cloud souverain sur la base de logiciels libres, ce qui est une bonne chose, mais dans les faits Berlin met également en avant du logiciel libre américain. Souvenons-nous aussi que la France a choisi Microsoft pour héberger nos données de santé dans le Health Data Hub et avait déclaré, à tort, qu'il n'existait pas d'autre solution. La Belgique s'est également alliée avec Amazon Web Services dans la santé.
Dans le contexte où la France va prendre la présidence tournante de l'Union Européenne au premier semestre 2022, nous pensons qu'il faut d'urgence tirer le frein à main. C'est le moment de réunir les industriels européens, les gouvernements nationaux et l'UE autour d'une table, pour mettre en place une vraie stratégie européenne du cloud, coordonnée entre tous les acteurs. Ce qui se passe actuellement dans divers pays européens ou par exemple au sein de Gaia-X, où les acteurs américains et chinois ont pris le pouvoir dans un projet qui devait à la base être souverain, nous fragilise au lieu de nous renforcer. L'Europe doit mieux prendre en compte qu'il existe déjà un écosystème européen du cloud, composé essentiellement de PME qui proposent des solutions efficaces et souveraines, et qui ne doivent pas être ignorées.
Vous appelez à une stratégie cloud européenne coordonnée avec la filière, mais n'est-il pas un peu tard ? En plus du projet Gaia-X déjà lancé, l'UE prépare un plan cloud européen pour 2022, qui pourrait être doté entre 10 et 20 milliards d'euros, avec l'objectif de créer une infrastructure cloud européenne souveraine...
La filière cloud européenne, composée essentiellement de PME probablement invisibles aux yeux des gouvernements nationaux et de Bruxelles, n'a pas été prise en compte dans ce plan. Concrètement, l'UE va injecter au moins 10 milliards d'euros pour essayer de construire avec des grands groupes [parmi les futurs bénéficiaires de l'enveloppe française figurent notamment Atos, Capgemini, Orange et OVHcloud, Ndlr], ce que des petites entreprises proposent déjà à leurs milliers de clients. La plupart des projets qui demandent des subventions veulent faire ce qui existe déjà, ce qui est au passage contraire aux principes du libre marché. Cela revient à saboter l'industrie cloud européenne avec de l'argent public.
Je ne pense pas que l'argent soit la solution miracle. Les politiques pensent qu'il faut des milliards d'euros pour construire un cloud européen, alors qu'en réalité il faut seulement des millions et une bonne politique d'achats publics. Celle-ci fait cruellement défaut aujourd'hui, mais si les Etats achetaient davantage de solutions cloud aux acteurs européens, cela améliorerait notre souveraineté technologique. Notre problème, c'est que les PME européennes du cloud ne sont pas bien connues. Beaucoup de personnes dans les gouvernements, y compris en France, souhaiteraient aider les entreprises européennes, mais le lobbying des Gafam, des cabinets de conseil, et notre discrétion jusqu'à présent leur ont fait croire que l'Europe n'a pas les outils pour être vraiment souverain dans le cloud.
Cette perception est tout simplement fausse. Une centaine de PME en Europe propose des technologies cloud. Chez Euclidia, qui a pour but de les fédérer pour nous rendre collectivement plus forts, nous les encourageons à travailler ensemble pour proposer des solutions intégrées 100% souveraines capables de répondre à tous les besoins des entreprises et des administrations. Il existe déjà 10 solutions basées sur des alliances infrastructure (IaaS) / plateforme (PaaS) / logiciels (SaaS), disponibles dès maintenant. Par exemple la solution "Scaleway J" propose l'IaaS et le PaaS de Scaleway avec la solution logicielle de Jamespot comprenant tous les outils collaboratifs de bureau. Il y en a neuf autres comme ça. L'offre est déjà là et aurait besoin d'aide pour passer à une plus grande échelle.
Dans votre texte, vous regrettez que les stratégies nationales ne demandent pas toutes une évaluation des risques sur les logiciels non-européens utilisés sous licence. Vous demandez aussi un accès à leur code source. Vous ciblez particulièrement, sans la nommer, la stratégie française ?
Oui, car il ne suffit pas de prendre des technologies de Microsoft et de Google sous licence et de les héberger en Europe par des entreprises européennes avec un bon niveau de cybersécurité, pour en faire des solutions "de confiance". Cette conception de la confiance est très problématique. Sans accès au code source, impossible de savoir si la NSA par exemple a injecté une "backdoor" [porte d'entrée cachée dans le logiciel à des fins d'espionnage, Ndlr], ce qui est tout de même incroyable pour des solutions promises à des administrations, à des opérateurs d'importance vitale (OIV) et de services essentiels (OSE).
De plus, les licences sont-elles révocables ? A partir du moment où la propriété intellectuelle appartient à une entreprise américaine, celle-ci ne peut pas se soustraire à une obligation de son pays. Quant à l'argument que l'hébergement en France dans une entreprise de droit français suffit à protéger des lois extraterritoriales américaines, c'est peut-être vrai pour le Cloud Act, mais pas pour la loi FISA (Foreign Intelligence Surveillance Act). Celle-ci s'applique aussi aux logiciels américains et ne se préoccupe pas de la nationalité de l'entreprise qui l'utilise.
A qui adressez-vous cette demande de moratoire ?
Notre message est qu'il n'est pas trop tard pour bien faire les choses. Ce moratoire demande aux gouvernements nationaux comme la France, qui ont déjà lancé une stratégie qui s'appuie sur des Américains, d'appuyer sur pause. Il met en garde ceux qui s'apprêtent à le faire et leur demande d'écouter la filière européenne. Il demande aussi à la Commission européenne de faire attention aux effets délétères très forts de certaines stratégies nationales et de certaines initiatives comme Gaia-X. Euclidia a rendez-vous avec la Commission européenne le 21 décembre pour discuter de ces sujets.
Pensez-vous que vous pouvez vraiment infléchir sur des choix politiques déjà largement actés ?
Je ne suis pas pessimiste car je pense que nous souffrons surtout d'un manque de notoriété. Je ne pense pas qu'il y ait eu à la base, en France comme en Europe, la volonté d'écarter les acteurs européens du cloud. Il y avait juste la croyance erronée que nous ne sommes pas au niveau. Il est temps d'écouter un peu moins les grands groupes et les Gafam et de réaliser que nos petites entreprises proposent déjà ce qu'on veut créer. La preuve, elles le vendent déjà à leurs milliers de clients en Europe et dans le monde !
Propos recueillis par Sylvain Rolland
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés