Combien le projet de loi renseignement va-t-il coûter aux hébergeurs ?
Le projet de loi sur le renseignement, qui arrive ce lundi à l'Assemblée Nationale, fait l'objet depuis plusieurs semaines déjà de critiques massives de divers acteurs. Les hébergeurs français sont notamment vent debout contre l'une des dispositions prévue par le texte de loi : la mise en place, chez les intermédiaires techniques, de "boîtes noires" qui filtreront les communications à l'aide d'un algorithme. Cet algorithme serait validé par une commission composée de juristes, de parlementaires et d'un expert juriste nommé par l'Arcep. Sont concernés par cette mesure les FAI, mais aussi, donc, les hébergeurs Internet.
Plusieurs d'entre eux (l'Association française des hébergeurs agréés de Données de santé à caractère personnel, Gandi, IDS, Ikoula, Lomaco, Online et OVH) signent une tribune extrêmement critique à l'encontre du texte de loi. "En voulant être capable de capter en permanence toutes les données personnelles des utilisateurs, notamment par le biais de "boîtes noires", le projet de loi du gouvernement est non seulement liberticide, mais également anti-économique, et pour l'essentiel, inefficace par rapport à son objectif", écrivent-t-ils.
L'installation de ces boîtes noires pourrait ainsi permettre aux services de renseignement de collecter des données de connexion, de temps ; ces métadonnées qui peuvent retracer de manière précise toutes les requêtes enregistrées par chaque internaute. "Avec ce projet de loi, on a clairement l'impression d'entrer dans un Etat très particulier où l'intégralité des communications vont être enregistrées", déplore Emile Heitor, directeur technique de l'hébergeur NBS System.
Perte de clients
"En tout, 30 à 40 % du chiffre d'affaire de nos hébergeurs est réalisé [auprès de clients étrangers], poursuit la tribune. Ces clients viennent parce qu'il n'y a pas de Patriot Act en France, que la protection des données des entreprises et des personnes est considérée comme importante." Si le projet de loi est voté en l'état, assurent les hébergeurs, alors leurs clients les quitteront pour des acteurs étrangers. Un avis partagé par Emile Heitor, directeur technique de NBS System. "Nous sommes un hébergeur de sites Web, principalement de sites e-commerce comme La Halle ou Interflora, et depuis un an notre stratégie met l'accent sur la sécurité. De nombreux clients sont venus nous voir parce que nous disposons de la norme internationale de sécurité PCI DSS, accordée par Mastercard et Visa et qui impose des standards de sécurité importants. Elle requiert notamment aux hébergeurs de contrôler intégralement leur réseau d'hébergement." Avec l'arrivée de ces boîtes noires, les hébergeurs seront au contraire contraints de laisser entrer des acteurs extérieurs dans leurs data centers. "On va placer en data center du matériel sur lequel on n'a pas la main, qu'on n'installe pas nous-mêmes. Ce sont des éléments espions dans notre réseau qui rendront caduques nos certifications de sécurité."
30% de clients pourraient quitter les hébergeurs français
Quelle part du chiffre d'affaires pourrait être mise à mal par cette mesure ? Selon la plupart des hébergeurs, une trentaine de pourcents. "Aujourd'hui, nous avons parmi nos clients 30% d'hébergement sécurisés et 70% d'hébergements standards, explique Emile Heitor, de NBS System. La première catégorie sera la première touchée mais la deuxième pourrait aussi l'être. Nous prévoyons entre 6 et 8 millions de chiffre d'affaires pour 2015, et avec cette mesure, nous pourrions perdre 30% de nos clients, et autant de chiffre d'affaires." Même son de cloche chez Ikoula : "Environ 30% de nos clients français ou étrangers nous ont déjà dit qu'ils iraient voir ailleurs si la loi est votée en l'état, explique Jules-Henri Gavetti, fondateur et PDG.
Gandi, qui compte 40% de clients étrangers, espère être épargné en réorientant les données des clients réticents vers ses data centers à l'étranger. "Nous avons l'avantage d'être mondial, reconnaît Nicolas Luillery, directeur. Mais nous savons que cette loi va rebuter de nombreux clients : par exemple, quand nous avons ouvert une filiale aux Etats-Unis, 50% de nos clients américains ont refusé d'y être à cause des scandales sur la surveillance massive et ont préféré rester en France, qui avait jusque-là une bonne aura concernant la protection des données privées auprès des pays étrangers. Ce projet de loi est une catastrophe pour l'image du pays."
Réorienter les investissements à l'étranger
Les hébergeurs menacent ainsi le gouvernement de "déménager leurs infrastructures, investissements et salariés là où leurs clients voudront travailler avec eux". "On réfléchit à diverses possibilités, explique ainsi Emile Heitor, de NBS System. Par exemple, on envisage de délocaliser du matériel." Ikoula, qui a annoncé dix millions d'investissements sur les trois prochaines années dans ses datacenters, annonce également que l'entreprise suivra ses clients : "s'ils partent alors on décalera nos investissements sur les autres pays, on y ouvrira nos data centers et on y embauchera. La croissance ne se fera plus en France mais à l'étranger", assure Jules-Henri Gavetti. Les dirigeants de Gandi envisagent eux aussi de consacrer plus de deux tiers de leurs investissements vers l'étranger, alors qu'une large majorité était jusqu'ici destinée à la France, où l'entreprise compte 75 employés. "Si le projet de loi passe, nous diminuerons les investissements et recrutements pour la France, assure Nicolas Lhuillery. Nous comptons 350 000 clients, donc on parle de sommes considérables."
Coûts d'installation
D'autant que la perte des clients ne sera peut-être pas le seuls coût subi par les hébergeurs si la loi est adoptée en l'état. Le texte reste flou sur l'installation des boîtes noires. Emile Heitor, directeur technique de NBS System, imagine que les hébergeurs contribueront certainement à leur mise en place : "Il faudra probablement accompagner l'installation de notre côté et mobiliser des moyens humains." Il pressent aussi une interruption de services due à a mise en place des boîtes dans l'infrastructure : "Quand on a plusieurs centaines de clients e-commerçants, qui font des ventes jour et nuit et sont présents aux Etats-Unis, 10 minutes de coupure peuvent représenter plusieurs dizaines de milliers d'euros de perte par client... " Chez Ikoula, on pense que les hébergeurs devront mettre en place eux-mêmes les boîtes noires et les infrastructures pour les héberger, peut-être en facturant l'Etat. "Mais techniquement, c'est ingérable, précise le PDG. C'est méconnaitre l'infrastructure complexe des hébergeurs : nous avons plusieurs milliers de serveurs dans un cluster."
Retenir les start-up de la French Tech
Autre inquiétude mentionnée par les hébergeurs : la fuite des start-up vers des acteurs étrangers. "Des startups se créent et de grands industriels innovent en s'appuyant sur des hébergements français. Il n'y a ni FrenchTech, ni plans industriels numériques sans hébergeurs", mentionne le communiqué. "Quand une start-up lance son produit, elle veut toucher le public le plus large possible. Avec ce projet de loi, la France va acquérir une réputation de surveillance massive des données qui va à l'encontre des plans de développement des start-up, explique Nicolas Lhuillery, directeur chez Gandi. Les jeunes pousses préfèreront héberger leurs sites Web à l'étranger. Aujourd'hui, le gouvernement dit haut et fort qu'il veut soutenir le numérique, mais souffle avec ce projet de loi très liberticide un vent contraire qui va ternir la réputation de la France."
Stockage et analyse des données : quel coût pour le gouvernement ?
Le projet de loi sur le renseignement reste flou sur la manière dont seront collectées les données, lesquelles seront prélevées et surtout sur la manière dont elles seront stockés. "L'équipement requis pour effectuer effectivement une interception massive globale d'un hébergeur voire d'un FAI est colossal, avec une capacité de traitements de centaines de giga-octets par seconde, souligne Emile Heitor, de NBS System. Les coûts techniques associés à cette loi pour le gouvernement seraient colossaux."
Négociations (re)lancées ?
Tandis que les hébergeurs se plaignent de ne pas avoir été écoutés -ni même consultés- par le gouvernement, la menace de transfert des investissements à l'étranger semble avoir fait mouche : Bernard Cazeneuve, en charge du projet de loi, aurait pris contact avec plusieurs acteurs, dont Gandi, après la publication de la tribune.