Cloud souverain : entre exigences nationales et réalité internationale

Limiter la souveraineté numérique à une question de nationalité cloud est réducteur : il s'agit d'abord de maîtrise technologique, de sécurité juridique et d'indépendance stratégique.

La souveraineté des données s’impose de plus en plus comme un enjeu stratégique pour la France. Mais dès qu’on parle de cloud, le débat se tend : d’un côté, les offres strictement françaises labellisées SecNumCloud, jugées comme la seule alternative pour "résister" aux règles plus floues des acteurs cloud américains, de l’autre toutes les solutions internationales considérées comme pas assez "souveraines". Pourtant réduire la souveraineté à une simple question de nationalité apparait comme une vision simpliste.

Souveraineté numérique : au-delà des frontières françaises ?

À lire certains articles ou prises de position, seules les offres SecNumCloud (référentiel élaboré par l’ANSSI) seraient capables de garantir une véritable souveraineté numérique, érigeant un rempart contre l’hégémonie de "l’envahisseur", c’est-à-dire les géants du cloud américain. Mais cette approche, bien que compréhensible dans un contexte de quête d’indépendance stratégique, occulte cependant la diversité d’acteurs européens et internationaux capables, eux aussi, de répondre aux exigences de souveraineté. En effet, il est plus que réducteur de penser que la souveraineté numérique est une question de géographie juridique et ne peut être assurée que par des entreprises ayant leur siège social en France. En réalité, des entreprises européennes et internationales peuvent tout à fait y répondre.  Ce qui importe vraiment c’est la protection des données, la conformité réglementaire, la transparence, l’ancrage local et surtout la confiance.

Opérateurs européens : un frein nommé EUCS

C’est le cas par exemple de certains acteurs allemands qui offrent une couverture de service en France tout en respectant des normes de sécurité parmi les plus rigoureuses. Pour ces opérateurs cloud qui ne sont pas français mais qui opèrent dans plusieurs pays européens l’attente interminable de la validation du schéma EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) - censé harmoniser la certification des services cloud au niveau européen - est particulièrement handicapante. En effet, plus de trois ans après le lancement des premières consultations, elle tarde à se concrétiser, laissant place à une confusion croissante sur ses modalités finales. Dans cette attente, se conformer aux référentiels nationaux comme le SecNumCloud français, puis à ses équivalents en Espagne, Pays-Bas etc…, pour répondre à des appels d’offres devient un véritable casse-tête, en termes de temps, de ressources et de coûts. Ce morcellement entrave leur compétitivité et engendre paradoxalement une forme de discrimination à l’égard d’acteurs européens pourtant fiables, innovants et conformes.

Quel avenir pour les acteurs internationaux ?

Quant aux opérateurs internationaux qui respectent scrupuleusement la réglementation européenne et qui entretiennent une relation stratégique et économique stable avec l’Union Européenne, ils ne peuvent tout simplement pas accéder à la certification SecNumCloud en raison de leur capital social extra-européen. Pourtant, leurs solutions, dès lors qu’elles respectent les standards de sécurité, doivent être valorisées car elles contribuent activement à l’écosystème numérique et offrent une protection juridique renforcée. Des pays comme le Japon - qui a conclu un accord d’adéquation réciproque avec l’Union européenne en janvier 2019 créant le plus grand espace de transfert libre et sécurisé de données personnelles - démontrent qu’une collaboration réussie est possible avec des acteurs non européens. Cette situation paradoxale soulève cependant une question essentielle : une société française certifiée SecNumCloud, s’appuyant sur une infrastructure américaine soumise au Cloud Act, est-elle plus souveraine qu’un acteur international opérant en France, employant des salariés français et contribuant au développement économique de la France en toute conformité ?

Vers une souveraineté cloud éclairée, compétitive et ouverte

Il est temps de sortir d’une vision manichéenne de la souveraineté numérique. Exclure certains acteurs pour des raisons symboliques ou administratives pourrait nuire à la compétitivité de l’Europe. Il ne s’agit évidemment pas de remettre en question la pertinence du SecNumCloud, ni de minimiser les efforts de la France pour renforcer son indépendance stratégique mais plutôt de nuancer le débat. La souveraineté numérique peut et doit être ouverte à des partenariats fiables, elle doit reposer sur des standards harmonisés et une diversité de solutions innovantes qu’elles soient européennes ou issues d’autres pays.

Dans ce contexte, l’appel récent de la ministre déléguée chargée de l'intelligence artificielle et du numérique à renforcer les offres cloud françaises et européennes dans le cadre du plan de relance France 2030 va dans le sens d’une plus grande autonomie stratégique de gestion des données. Encore faut-il élargir la définition du cloud souverain en la rendant plus juste, cohérente et efficace. La souveraineté ne se décrète pas, elle se construit et exige nuance, pragmatisme, et pourquoi pas, coopération internationale.