API Amazon S3 : comment protéger les données de la privatisation des standards d'échange ?

Après avoir encouragé la création d'écosystèmes autour de leurs API, les géants de l'IT peuvent-ils s'en servir pour enfermer les utilisateurs ?

La domination du monde numérique par une poignée de géants a permis à quelques-unes de leurs API de devenir des standards de facto. Cette situation n’est pas inédite dans l’histoire du progrès technique : beaucoup de pionniers ont acquis une position dominante grâce aux normes qu’ils sont parvenus à imposer au marché. La particularité des API réside dans le fait qu’elles ne constituent ni un standard fermé ni une norme totalement affranchie des droits de la propriété intellectuelle.

L’apparition de standards de fait

Les applications que nous utilisons au quotidien résultent, de plus en plus, d’un assemblage sophistiqué de briques logicielles fournies par des tiers. Il en va de même lorsqu’une entreprise bâtit une infrastructure informatique, en recourant à divers services de type cloud (IaaS, PaaS, FaaS…) : la combinaison des différentes briques est rendue possible par des API.

Jusqu’alors, les langages, normes et protocoles de communication qui permettent le fonctionnement du réseau Internet et l'échange de données faisaient l’objet de discussions au sein de comités de normalisation internationaux multipartites, tels que l’Internet Engineering Task Force (IETF) ou le World Wide Web Consortium (W3C). Le développement fulgurant des services numériques ces vingt dernières années et la position hégémonique acquise par une poignée d’acteurs ont rendu ce mode de gouvernance partiellement obsolète. Les API dessinées par quelques géants de l’IT sont devenues des standards de facto, autour desquels se sont constitués de vastes écosystèmes. Des écosystèmes vulnérables.

L’API S3, créée par Amazon Web Services (AWS) pour interagir avec Simple Storage Service, son service de public cloud storage, est ainsi devenue le moyen le plus commun pour consommer les données hébergées en mode objet. Au point d’être qualifiée de "lingua franca" du stockage objet, et de constituer une norme d’interopérabilité.

Pour être adoptées par de nouveaux utilisateurs, les solutions d’object storage sont donc contraintes de parler avec l’API S3. S’en affranchir imposerait aux développeurs de refondre en partie le code de leurs applications. 

L’entreprise qui publie une API est-elle toute puissante ?

La plupart des API du cloud sont dites ouvertes ou publiques, mais l’appellation est trompeuse : l’entreprise qui publie l’API demeure propriétaire de son design. Jusqu’ici, les GAFAM ont encouragé l’utilisation de leurs API par des tiers. Si, pour renforcer sa position hégémonique, AWS souhaitait prélever une licence pour l'exploitation de l’API S3, pourrait-t-on s’y opposer ? Cette situation entraverait le développement de solutions de stockage des données conformes aux principes de la souveraineté numérique européenne, à l’instar d’OpenIO.

Ce scénario est-il improbable ? Souvenez-vous de l’affaire qui oppose Oracle et Google depuis 2010 au sujet de l’exploitation de l’API Java, utilisée par géant de Mountain View pour son système d’exploitation mobile Android. Oracle a porté le litige devant les tribunaux, pour "violation de ses droits de propriété intellectuelle sur le fondement du droit d'auteur et sur celui du droit des brevets". La question n’est toujours pas tranchée, les autorités judiciaires américaines considérant que la "structure, séquence et organisation" d'une API pouvait faire l'objet d'un droit d'auteur, tout en renvoyant à la doctrine de l’usage loyal. L’industrie IT attend avec fébrilité la décision de la Cour suprême, qui fera jurisprudence.

Dans un tweet en date du 31 décembre 2019, Octave Klaba le fondateur d’OVHcloud, révélait qu’un accord avait été négocié avec AWS pour proposer le protocole S3 sur ses offres de Public Cloud Storage "sans risques juridiques ".  De quoi confirmer nos inquiétudes ?

Favoriser l’émergence de leaders européens : une réponse nécessaire, mais pas suffisante

Nous avons déjà trop tardé, et les incantations politiques à faire naître des géants européens ne suffiront pas. De tout temps, le régulateur est intervenu pour empêcher la constitution de monopoles dans les secteurs stratégiques, qui nuisent à l'innovation et aux utilisateurs. Le cloud, qui fournit "l’énergie numérique" aux entreprises, est aujourd’hui l’un de ces secteurs stratégiques. Certes, la régulation aura toujours un train de retard sur l’innovation, a fortiori au rythme où celle-ci surgit dans une économie numérique guidée par le paradigme du "winner takes all". Le législateur doit-il pour autant baisser les bras ? Les Américains eux-mêmes ne réfléchissent-ils pas à démanteler quelques-uns de leurs géants ? S’il n’y avait pas la menace d’une concurrence asiatique, ils auraient probablement déjà appliqué leurs lois antitrust.

Sécuriser les écosystèmes dépendants des API : nos propositions

Les plus idéalistes militeront pour le développement de standards ouverts. La dernière tentative du consortium des industriels du stockage (SNIA), qui a essayé de définir un standard (CDMI), a échoué. Les alternatives venues du monde open source, à l’instar de l’API Swift (OpenStack), ne sont pas parvenues, elles non plus, à concurrencer le standard de facto qu’est devenu S3. 

Une solution pourrait être d’élargir aux API l’obligation d’interopérabilité applicable aux logiciels en application de l’article L122-6-1 du Code la propriété intellectuelle. Une autre option, qui mérite d’être analysée plus en détail, est de voir si dans la mesure où l’API est rendue publique, elle n’est plus protégeable et donc librement utilisable.

Nous avons aujourd’hui besoin d’une clarification juridique. Nous ne pouvons pas attendre une éventuelle jurisprudence. L’Europe a (enfin) compris l’importance de protéger ses données, en témoigne la récente interview accordée au journal Les Échos par Thierry Breton, tout nouveau commissaire européen en charge du marché intérieur : "Il est vrai que pour la génération actuelle de services, basés sur les données personnelles, les États-Unis et la Chine ont de l'avance. (...) L'Amérique et Chine ont saisi la première vague. Pour l'essentiel, celle des données personnelles. Concentrons-nous sur la deuxième qui arrive, celle du BtoB, et faisons-le avec un principe clair : les Européens doivent être propriétaires de leurs données et celles-ci doivent être traitées en Europe, selon nos règles et nos valeurs." Les données sont en effet le carburant de l’économie du 21e siècle. La bataille pour accaparer cette ressource ne fait que commencer. Il est nécessaire d’encadrer l’utilisation des données, la zone géographique où elles sont hébergées, mais aussi les protocoles qui permettent de les manipuler. Sans quoi nous offrons aux acteurs étrangers les moyens de rétablir, autrement, une dépendance dont nous savons désormais qu’il est difficile de se défaire.