L’europe peine à définir des règlementations fortes et harmonisées sur sa souveraineté et son autonomie numérique face au lobbying des acteurs américains et chinois (GAFAM et BATX). Certains états européens veulent aussi, peut-être, adopter, pour le numérique, les mêmes positions qu’ils adoptent pour l’Europe de la Défense. En tout cas il y a du boulot pour mettre tout le monde d’accord, ce qui reste une condition sine qua none des réglementations européennes en matière de cybersécurité et de souveraineté numérique. Mais au delà des réglementations européennes, c’est aussi sur le terrain de nos entreprises et administrations que se joue la souveraineté numérique, et là aussi le lavage de cerveau des GAFAM est impressionnant.

L’Europe du numérique a-t-elle les moyens de ses ambitions stratégiques de souveraineté ?

Photo de cottonbro studio: https://www.pexels.com/fr-fr/photo/gens-barre-mysterieux-salon-7266272/

Difficile de tenir une position européenne commune face au lobbying des GAFAM

Le 11 avril 2024, le CIGREF (Club Informatique des GRandes Entreprises Françaises) a adressé un courrier à la Présidente de la Commission européenne, Ursula Von der Leyen, pour lui exprimer ses craintes quant aux orientations prises sur le projet de règlement européen EUCS (European Certification Scheme for Cloud Services ). La France milite pour la définition et la mise en place d’un niveau de certification élevé permettant de se protéger contre les réglementations extra-territoriales qui permettent de récupérer des données non-personnelles. Je ne suis pas un spécialiste mais pour résumer ce que je comprends : certains états, et notamment les états-unis, mais aussi la Chine, ont mis en place des lois qui leur permettent d’obliger les sociétés du numérique à fournir leurs donnés à leurs services de renseignement lorsque cela est nécessaire (pour des raisons de sécurité nationale par exemple). Sauf que, nous n’avons aucune visibilité sur ce que nos amis américains ou chinois considèrent comme des cas nécessitant la fourniture des ces informations ou pas. Et cela est préoccupant pour notre propre sécurité puisque nos entreprises européennes et tous les citoyens européen sont très dépendants aujourd’hui des GAFAM américains (Google, Amazon, Facebook, Apple et Microsoft). Ces lois sont dites extraterritoriales dans la mesure ou la localisation ou la nationalité de l’entreprise n’empêche pas de devoir fournir les données aux services de renseignement américains (CIA par exemple) ou chinois. Par exemple : même si mes données sont exploitées par la société Google France (filiale de Google Inc.), et hébergées dans un datacenter Google irlandais et uniquement sauvegardées / copiées dans d’autre datacenter Google européen, la CIA peut demander à Google de récupérer mes données.

L’Union Européenne prépare donc des règlements européens pour contrer ces possibilités d’ingérence (en d’autre temps on aurait parlé d’espionnage tout simplement) et entre autres règlements, EUCS  : European Certification Scheme for Cloud Services. Et évidemment ce n’est pas simple de mettre tout le monde d’accord. Si je comprends bien le courrier du Cigref, le consortium GAIA-X avait réussi à aboutir à un consensus entre tous ses membres pour qu’un niveau élevé de certification puisse faire obstacle aux lois extraterritoriales américaines et chinoises. Ce qui est un exploit puisque plusieurs acteurs américains sont membres du consortium GAIA-X  ! Mais, coup de théâtre, la nouvelle version du texte EUCS, datée du 22 mars dernier, a supprimé le critère de sécurité juridique qui obligeait les fournisseurs étrangers à coopérer avec une entreprise européenne pour obtenir le niveau de sécurité le plus élevé du schéma de sécurité et a redonnée la possibilité à chaque nation européenne de définir ce critère dans le cadre d’une loi nationale. Or justement la France ne veut pas que EUCS ouvre la voie à une fragmentation des 27 pays de l’UE sur ce niveau de certification élevé.

Bref, on s’en doute, le lobbying des géants américains est intense à la commission européenne, et seule une position forte et harmonisée des états membres peut contrer ce pouvoir d’influence énorme.

Ce combat sur le niveau de certification le plus élevé, est-il pertinent ?

Un niveau de certification très élevé c’est probablement très beau sur le papier et pertinent pour des données hautement sensibles. Mais est-ce pertinent s’il ne s’adresse qu’à la protection de données stratégiques et sensibles ? C’est à dire, est-il économiquement possible pour un acteur européen de concurrencer les GAFAM avec des services Cloud utilisés (et donc payés) par peu d’entreprises pour une faible part de leurs applications et leurs données ? Vu les investissements et les effets d’échelle colossaux dans cette industrie, comment est-il possible de concurrencer des acteurs tels que Amazon Web Service, Microsoft ou Google Cloud qui disposent de milliards d’utilisateurs, avec des services qui s’adressent à un nombre bien plus faible d’utilisateurs ?

Photo de Brady Knoll: https://www.pexels.com/fr-fr/photo/photo-de-personne-marchant-dans-le-dessert-2837572/

Le combat pour l’autonomie numérique de l’Europe se joue également sur le terrain, au plus près des utilisateurs

Les GAFAM sont passés maître pour croire et pour nous faire croire que le combat est perdu d’avance et que 100% des besoins des entreprises n’ont désormais qu’une seule réponse : des applications métiers dans le Cloud (chez Microsoft Azure, Amazon Web Service ou Google) et le bureau numérique des utilisateurs (bureautique, mail…) chez Microsoft Office 365 ou chez Google Workspace. La réalité est, je pense, bien différente. Les besoins des entreprises et des utilisateurs sont bien plus complexes et il y a de la place pour des solutions françaises ou européennes à côté de O365 ou Google Workspace, voire même à la place de… C’est vrai qu’il faut aller voir les réalités du terrain et comparer froidement ce que proposent les éditeurs sans se laisser influencer ni par les GAFAM, ni à l’inverse par les doux rêveurs qui pensent qu’on peut tout faire avec des solutions gratuites et Opensource. Attention, je pense qu’il y a des cas d’usage qui peuvent être couverts de manière très pertinente par des solutions Opensource et d’ailleurs je m’y emploie régulièrement, simplement et encore une fois, il faut aller dans le détail des usages et dans le détail du terrain. Dans ce cadre également, toutes les démarches agiles de construction de services numériques en lien direct avec les utilisateurs sont les bienvenues. En ce qui concerne la bureautique et les applications de « digital workspace », il faut, en cas de léger avantage aux GAFAM, avoir le courage de préférer et favoriser une solution européenne. Il y a beaucoup à faire dans nos entreprises et administrations qui ont tendance à ne plus du tout se poser de questions et mettre du Office 365 ou du Google Workspace à toutes les sauces en pensant que ça va tout faire : bureautique, réseau social d’entreprise, collaboratif dans tous les contextes, workflows divers et variés, webinaires, … .

Les grandes entreprises ou administrations doivent financer des projets métiers ou du move to Cloud en étudiant sérieusement les offres européennes et en co-investissant sur ces offres. Sans des commandes, privées ou publiques, jamais aucun fournisseur de Cloud européen ne pourra rivaliser avec Amazon, Microsoft ou Google sur le Cloud. Et ces investissements doivent concerner également des applications ou des données non stratégiques afin de bénéficier d’effets de volumes importants. Sans cela, l’Europe est condamnée a être dépendante de son allié américain et à ne plus avoir son destin entre ses mains.