Prêt pour le cloud souverain 2.0 ?

Face à l'enjeu de la localisation des données, une réponse opérante serait à trouver au niveau de l’Europe, afin de définir les contours et rouages d’un cloud souverain supranational.

Le cloud souverain devenu "cloud national stratégique" est à nouveau dans l’air du temps. Dans un contexte de forte tension entre territorialité de la donnée et nationalité du fournisseur informatique, nous avons croisé nos réflexions avec Patrick Debus-Pesquet, ancien directeur technique de Numergy, initiative de cloud souverain français lancé en 2012 par SFR et Bull. 

Un concept aux frontières mouvantes 

La souveraineté - expression d’une autorité exercée sur un espace territorial défini - s’accorde en général davantage aux États qu’aux infrastructures informatiques. La localisation de la donnée est donc devenue un véritable enjeu stratégique. Mais l’équation est rendue plus complexe par le cadre juridique extraterritorial mis en place par les 

États-Unis qui veut que la nationalité du fournisseur l’emporte sur sa localisation.  
Selon Patrick Debus-Pesquet, "la souveraineté appliquée au cloud implique que celui-ci est installé et physiquement opéré en France et que le propriétaire de la donnée se trouve protégé par un certain nombre de dispositions juridiques".  

Pourtant aujourd’hui, les États-Unis et leurs plateformes dites hyperscales ont la mainmise sur les capacités cloud mondiales et les géants du numérique asiatiques continuent d’ouvrir des data centers sur le Vieux Continent, aspirants les données européennes...  Au milieu ? Une Europe prise en tenaille, ne disposant plus des moyens nécessaires pour assurer la souveraineté de ses données.  

Le cloud souverain, c’est maintenant ? 

Pour M. Debus-Pesquet, qui a été aux premières loges de la version 1.0 du cloud souverain à la française, "En 2012, on avait face à nous un appétit économique plus important que la capacité des entreprises à l’adopter". Aujourd’hui les choses ont changé : les acteurs économiques font preuve d’une certaine forme de "maturité digitale", installée "du fait d’usages" précédant désormais la loi, qui manquait au cloud souverain à ses débuts. "Pas une seule entreprise ne se prive d’afficher une stratégie cloud" et toutes sont sensibles à la question de la souveraineté des données qu’elles traitent ou produisent.  

Le marché a aujourd’hui, une meilleure compréhension du profil et de l’intensité des moyens financiers et technologiques nécessaires, ainsi que du niveau d’exigence requis pour que le cloud souverain puisse exister, être déployé et être rentable sur le long-terme.  

Les hyperscales, à force d’investissements massifs, ont atteint un niveau de puissance nominale gigantesque leur permettant de garantir à leurs clients une élasticité optimale. 
Ils ont ainsi pu entrer dans un cercle vertueux, fait d’acquisition et fidélisation de clients pour amortir rapidement leurs coûts et développer une offre plus complète : schéma qui représente une barrière difficile à franchir par des fournisseurs européens, faute de moyens et de temps. 

C’est là tout le paradoxe : faire le choix du cloud souverain, c’est bien sûr s’assurer un certain nombre d’avantages – juridiques notamment, mais c’est risquer de ne pas atteindre la puissance d’un hyperscale.   

Construire l’Europe de la confiance numérique 

Il nous faut "des opérateurs capables de fournir des serveurs, du stockage, du réseau, du logiciel, tous mobilisés autour de cet enjeu hautement stratégique".

Pour cela, une réponse "opérante serait à trouver au niveau de l’Europe", afin de définir les contours et rouages d’un cloud souverain supranational. Le Règlement Général sur la Propriété des Données constitue une première forme de réponse, déclenchant une prise de conscience globale et responsabilisant les acteurs du numérique.  S’il a aussi pu "servir d’excuse pour ne pas approfondir les sujets" qui fâchent et sur lesquels nous menons actuellement une "guerre à rebours" face aux géants du numérique, il constitue surtout un pas bienvenu et nécessaire vers l’encadrement du phénomène de mercantilisation de la donnée personnelle. 

Souveraineté des données, éthique digitale ou encore droits du citoyen numérique. Autant d’éléments encore à défricher pour faire de l’Europe un continent de "faiseurs" plutôt que de "clients".