Depuis de nombreuses années, l’idée de se défaire de la mainmise des GAFAM sur le marché du cloud existe. L’entrée en application du RGPD, en 2018, et l’apparition de certaines lois – comme le Cloud Act aux Etats-Unis la même année – ont poussé l’Europe à passer de la réflexion à l’action.
Cloud souverain européen : où en est-on ?
Un cloud européen soutenu par l’Europe
C’est en 2020 que l’idée d’un cloud Européen indépendant commence véritablement à prendre forme grâce au regroupement de vingt-deux entreprises, de divers secteurs économiques (cloud provider, utilisateurs, recherche, associations) : Gaia-X. Très rapidement, le projet est soutenu et porté par une ambition politique au niveau européen. Il est même inclus dans le plan de relance post-épidémie du Covid-19, à l’été 2020. En effet, c’est en septembre de cette année-là, lors d’un discours dédié à ce plan de relance, qu’Ursula Von Der Leyen, Présidente de la Commission européenne, cite, devant le Parlement européen, le projet Gaia-X comme étant l’un des points de travail pour un « cloud européen » souverain et plus indépendant. Depuis cette allocution, le projet a pris de l’ampleur et est maintenant une association internationale à but non lucratif, basée en Belgique et rassemblant plus de trois cent cinquante membres.
Un premier document de règles et de labels est publié à l’automne 2021, et est complété au printemps 2022. Il décrit une cinquantaine de règles, qui doivent définir ce qu’un cloud souverain doit respecter pour obtenir l’un des trois niveaux de labellisation. Le document aborde divers sujets, notamment garantir la sécurité des données, leur protection, la transparence ou encore la portabilité et la flexibilité de l’écosystème. Certains projets ont été lancés avant même la publication de ce manuel. C’est le cas du projet de cloud souverain 100 % européen lancé par Atos et OVHcloud pour contrer les géants américains.
Des critiques et projets convexes
En seulement quelques mois, le projet Gaia-X a suscité de nombreuses critiques. L’une des principales polémiques porte sur le fait qu’il est jugé trop proche des géants actuels, extra-européens. Certaines entreprises ont décidé de quitter le projet Gaia-X comme Scalaway, qui, en novembre 2021, a annoncé ne pas renouveler son partenariat avec le projet Gaia-X, seulement un an après avoir rejoint le projet.
Où en sommes-nous aujourd’hui ?
Aujourd’hui, de nombreuses offres cloud se veulent 100 % européennes. Le projet Gaia-X a décerné ses labels répondant à plusieurs niveaux de conformité technique et organisationnel, à plusieurs hébergeurs ayant des racines européennes. Tandis que quelques géants américains créent un environnement cloud dédié. Microsoft, Oracle et AWS ont d’ailleurs réalisé, ces derniers mois, des annonces allant dans ce sens.
Toutefois, toutes n’obtiennent pas des certifications de sécurité nationale. Si nous regardons parmi ces offres, certaines obtiennent une validation auprès de certaines agences nationales. C’est le cas pour l’offre proposée par AWS qui a été certifiée par la norme C5 de la BSI, mais pas par la certification SecNumCloud de l’ANSSI. Celle-ci étant plus stricte sur les aspects de dépendances aux lois américaines (Cloud Act et FISA). A noter que la labellisation proposée par Gaia-X n’est pas souvent mise en avant par ces hébergeurs. Ceux-ci mettent plus facilement en avant des certifications comme HDS sur l’hébergement des données de santé, SecNumCloud de l’ANSSI ou leurs équivalents nationaux à travers l’Europe (C5, ENS, etc.), mais aucune trace de la labellisation Gaia-X.
Il est donc intéressant de se demander ce que devient ce beau projet. Celui-ci continue de soutenir divers projets (comme par exemple GXFS-DE ou Marispace-X), en partenariat avec d’autres entités comme, par exemple, la fondation Eclipse, mais il se fait de plus en plus discret. Son but originel semble lui doucement s’éloigner. A cause d’un gap technologique important avec les grands leaders du marché, l’idée d’un Cloud européen souverain semble plus que jamais compromise.
Néanmoins, malgré ces carences, il est possible de trouver, aujourd’hui, des Cloud non dépendants des géants du marché. Ces acteurs, tant attendus, sont encore trop souvent « petits », face à la taille de la demande et au marché disponible en Europe.
Avec la certification européenne de certains Cloud, à l’image de celui d’AWS par la norme C5 en Allemagne, une question reste en suspens : qu’en est-il du conflit entre les lois américaines et européennes ? En effet, la loi FISA oblige les entreprises américaines et leurs filiales à coopérer avec les agences de sécurité nationales américaines. En cas de besoin, les données présentes sur ces environnements pourraient se retrouver aux mains des Etats-Unis, même si les hébergeurs Cloud affirment qu’ils ne divulgueront pas de données sensibles. Cet élément est au cœur de la divergence de point de vue entre Paris et Berlin sur un cloud souverain européen. Un point de divergence que l’on peut également observer à un niveau plus large entre l'ensemble des États membres de l’Union Européenne.
Malgré de nombreux efforts pour créer un modèle de certification au niveau Européen, avec le projet Gaia-X, les hébergeurs et autres acteurs du numérique mettent, aujourd’hui, plus en avant les certifications nationales. Un modèle de certification au niveau européen est encore en discussion entre les pays membres de l’Union Européenne ; et les avis divergent sur certains points, comme les problématiques liées aux lois sur la coopération entre les acteurs du numérique et les états d’où proviennent ces entreprises. Attention donc, ce sujet est à suivre de près car, dans les prochains mois, des décisions devraient être prises au niveau des réglementations européennes.