1. Introduction

Pour le Gouvernement, « dans les années à venir, le nuage sera l’une des briques essentielles des innovations dans de nombreux secteurs. La croissance annuelle du secteur est ainsi supérieure à 20%, multipliant la taille du marché européen par 10 en dix ans ». Dans un Livre blanc publié le 4 mai 2021, KPMG prévoit que le marché de l’informatique en nuage devrait dépasser celui des télécoms d’ici 2030, en atteignant les 300 milliards d’euros. Cette technologie a été largement plébiscitée par les entreprises qui ont profité de la crise de la Covid-19 pour accélérer le recours au logiciel à la demande (« Software as a Service/SaaS), à la plateforme à la demande (« Platform as a service »/PaaS) et à l’infrastructure à la demande (« Infrastructure as a service »/IaaS) (voir glossaire). Enfin, pour Bernard Duverneuil, Président du Club informatique des grandes entreprises (CIGREF), « le cloud est désormais le socle incontournable pour nos entreprises et administrations publiques. La souveraineté numérique de l’Europe est intimement liée à sa capacité à maitriser ses dépendances sur le marché du nuage, notamment en développant des services de nuage de confiance et en généralisant l’usage ».

L’informatique à distance a été largement plébiscitée par les entreprises qui ont profité de la crise sanitaire pour accélérer sur les services de SaaS (Software-as-a-Service), de PaaS (Platform-as-a-Service) et de IaaS (Infrastructure-as-a-Service).

Désormais, une part croissante des services numériques s’appuie sur cette technologie pour héberger et traiter les données des entreprises, des administrations et des citoyens.

Cela étant, et comme le souligne le Gouvernement dans son dossier de presse du 17 mai 2021 intitulé « Le gouvernement annonce sa stratégie nationale pour le Nuage, « le marché est actuellement dominé par des acteurs étrangers qui peuvent imposer des conditions de sortie très complexes : les entreprises se retrouvent souvent dépendantes de leur fournisseur cloud. Cette domination complexifie l’émergence d’acteurs européens et pose également un fort risque de captation des données, certains pays ayant adopté des législations à portée extraterritoriale leur permettant d’accéder aux données stockées. Cette situation met à mal la souveraineté européenne. L’Europe doit veiller à garder la main sur la pleine gestion de ses données personnelles et industrielles ». De même, dans son discours officiel prononcé lors de la présentation de la stratégie nationale pour le « Nuage», Bernard Duverneuil confirme que « nous ne pouvons accepter qu’une poignée d’acteurs du nuage, essentiellement non européens, préemptent, ou aient la capacité de préempter, les données de nos entreprises et de nos administrations publiques au bénéfice exclusif de leurs modèles d’affaires, et enferment l’économie européenne dans une situation d’hyper-dépendance à leurs services. Cette hyper-dépendance , dont nous ne percevons pour le moment que les prémisses, est désormais un sujet de nature politique, de régulation de ce marché, et il est important que le gouvernement français s’en saisisse ».

Ainsi, après avoir rappelé les avantages et les risques de l’informatique en nuage, nous examinerons la stratégie du Gouvernement pour la souveraineté des données.

2. Le concept d’informatique en nuage : avantages et risques

A. Le concept d’informatique en nuage

Au niveau basique, l’informatique en nuage est tout simplement un moyen de fournir des ressources en tant que services. Presque toutes les ressources des technologies de l’information peuvent être distribuées comme un « service en nuage » (« cloud service ») : applications, puissance de calcul, capacité de mémoire, réseautage (« networking »), outils de programmation, voire outils de services de communication et de coopération. Les utilisateurs ne sont plus propriétaires de leurs serveurs informatiques mais peuvent ainsi accéder de manière évolutive à de nombreux services en ligne sans avoir à gérer l’infrastructure sous-jacente, souvent complexe.

A la base de tous ces services, on retrouve le réseau Internet, c’est-à-dire le « nuage » et une interface logicielle simple et connue : le navigateur Internet. L’internaute accède en temps réel à des ressources et les utilise comme si elles se trouvaient sur son ordinateur.

L’objectif de l’informatique en nuage est de pouvoir répliquer très rapidement le système d’information global d’une organisation auprès d’un prestataire externe, sans se préoccuper du dimensionnement, de la disponibilité ou de la sécurité des ressources mises en œuvre.

La notion « d’informatique en nuage » peut être définie de la façon suivante : Technique consistant à externaliser l’ensemble des ressources informatiques qui sont alors stockés et mutualisées par une société tierce sur des serveurs à distance et qui sont accessibles pour les utilisateurs via internet.
Note : Le prix à payer pour ce type de service n’est plus calculé sur l’infrastructure mais sur la consommation effective des ressources informatiques.

B. Les avantages de l’informatique en nuage

Le développement des services en nuage a été accéléré par la crise sanitaire de la Covid-19. Les avantages de cette technologie sont les suivants :

  • Peu ou pas d’investissement initial : L’informatique en nuage ne nécessite pas (ou très peu) d’investissement et est très simple à mettre en place.
  • Accessibilité optimisée : cette technique exige uniquement une connexion internet pour accéder à tous ses documents.
  • Maîtrise du budget et réduction des coûts : l’informatique en nuage permet tout d’abord de réduire les dépenses en capital dans la mesure où elle conduit les entreprises à transformer ses dépenses en capital en dépenses d’exploitation. Par ailleurs, la réduction des coûts résulte de la migration d’un centre de traitement des données (« data center ») vers un service « cloud ». Enfin, l’informatique en nuage permet de mobiliser des ressources et des services informatiques en stricte proportion des besoins sans avoir à réaliser des investissements et des immobilisations coûteuses et potentiellement surdimensionnées.
  • Flexibilité : les services en nuage s’adaptent et se déclinent sur-mesure en fonction des besoins métiers des entreprises. En d’autres termes, si les besoins de l’entreprise évoluent, il est possible d’adapter l’offre rapidement et simplement.
  • Efficacité : l’informatique en nuage apporte un niveau d’efficacité dans la fourniture des ressources informatiques à la demande.

C. Les risques de l’informatique en nuage

  • La localisation ou la sécurité des données : Qu’en est-il des données stratégiques d’une entreprise dès lors qu’elles sont stockées par des sociétés tierces sur des serveurs à distance ?
  • La continuité du service : Qu’en-est-il de la procédure de sauvegarde (« backup system ») ? La question de la pérennité induit la définition d’un plan de réversibilité ou de transférabilité des données et des applicatifs avec les garanties habituelles.

Au total, comme le souligne KPMG dans son Livre blanc cité précédemment, les enjeux sont importants. D’après ce cabinet d’audit et de conseil, sans prise de décisions majeures, l’Europe pourrait perdre 20 à 50% de l’impact économique estimé sur le marché de l’informatique en nuage. Il existe des freins importants à l’émergence de leaders européens (« Hyperévolutifs / hyperscalers ») dans ce domaine. La première entrave résulte du fait que le marché de l’informatique en nuage est détenu en majorité par des monopoles non-européens : Amazon avec AWS (53%), Microsoft avec Azure (9%) et Google cloud (8%). Un autre frein au développement découlerait du fait que les géants européens de l’informatique en nuage ne mettent pas l’accent sur la différenciation de leurs services vis-à-vis de ceux proposés par leurs homologues américains.

Pour pallier notre retard, voire notre défaite sur l’hébergement des données personnelles face aux géants chinois et américains, Bruno Le Maire a élaboré une stratégie reposant sur trois piliers : un nouveau label « Nuage » de confiance ; une rationalisation du « nuage » pour l’administration ; une stratégie industrielle ambitieuse, inscrite dans le cadre de France Relance, qui permettra d’asseoir la souveraineté française et européenne accompagnant la construction de nouveaux outils « nuage ».

3. La souveraineté des données

Des exemples emblématiques illustrent le décrochage de l’Europe et l’échec du projet de « cloud » souverain lancé au début des années 2010 en France. Ainsi, l’entreprise Snowflake INC, une jeune pousse (« start up ») d’hébergement de données dans un « nuage» créée en 2012 et dont le siège social est à Neuilly-sur-Seine, est en fait basée à San Mateo en Californie et introduite en Bourse aux Etats-Unis. En 2019, le constructeur automobile allemand Volkswagen a signé un accord de coopération avec des « nuages » chinois et américain.

Ce transfert de données hors de l’Union européenne (UE) et de l’Espace économique européen (EEE) présente de nombreux risques alors qu’héberger ses données en Europe, voire en France, est un gage de souveraineté et de qualité de service.

Pour répondre à ces enjeux, le Gouvernement a annoncé le 17 mai 2021 sa stratégie nationale pour l’informatique en nuage (« cloud computing »).

A. Une stratégie nationale pour un « Nuage » souverain

La stratégie nationale pour l’informatique en nuage place le « Nuage » au cœur de la transformation numérique de l’État.

L’objectif consiste à rattraper le retard de la France en matière d’adoption du « nuage» par rapports à nos concurrents américains et asiatiques, à accélérer la transformation numérique de l‘Etat et du privé et à garantir la protection et la maîtrise des données hébergées en France en les rendant totalement indépendantes de l’emprise des législations extraterritoriales comme le Cloud Act américain (« Clarifyng Lawful Overseas Use of Data Act ») (voir glossaire).

Pour le Ministre de l’Économie Bruno Le Maire, « La France doit se doter d’un « nuage de confiance car les données sont stratégiques. Une grande partie de la valeur économique au 21ème siècle passera par les données, c’est pourquoi il est essentiel de les protéger ». De son côté, Christophe Leblanc, Directeur des ressources et de la transformation numérique à la Société Générale, affirme que « les données sont la richesse du futur. L’Europe doit s’organiser pour préserver ce patrimoine, tout en favorisant en son sein les échanges. Disposer d’un nuage de confiance est le prérequis, la fondation, qui nous permettra collectivement de tirer parti de cette ressource clé et bâtir sur cette base les usages et services de demain pour nos clients ».

S’agissant de l’importance des données qu’évoque Monsieur Bruno Le Maire lors de la mise en place de sa stratégie nationale en matière de « cloud » en mai 2021, rappelons que le concept « mégadonnées » (« Big data ») est apparu dès 1997. Très rapidement, les experts et grands acteurs de l’informatique ont dit « oui » à l’informatique en nuage car ils ont pris conscience que les données étaient partout et qu’elles constituaient la matière première de notre monde numérique. D’aucuns parlaient même des « mégadonnées » comme le « nouveau pétrole de l’économie » (voir article de N. Antonin intitulé « Big data : le « nouveau pétrole » de l’économie du 18 mars 2013).

B. Les trois piliers de la stratégie

a) Création d’un label « nuage de confiance »

Vincent Niebel, Directeur des systèmes d’information d’EDF, qui a piloté le groupe de travail « Cloud de confiance » au sein du Cigref, souligne l’importance du « cloud de confiance » pour les grandes entreprises et administrations publiques françaises. Il déclare : « Le partage de données et de services est une exigence forte pour accompagner la croissance de l’économie européenne, développer de nouvelles solutions et apporter des réponses aux défis contemporains, le cloud de confiance en est la condition indispensable ».

Ce label pourra être attribué à un service cloud sous trois conditions :

  • Une localisation et une identité européenne : d’après Bruno Le Maire, ce label sera uniquement accordé aux entreprises « européennes et possédées par des Européens » et disposant « de serveurs opérés en France ».
  • Une adhésion au référentiel « SecNumCloud » qui permet d’obtenir la qualification de prestataire de services informatiques en nuage. Élaboré par l’Agence nationale de sécurité des systèmes d’information (ANSSI), ce référentiel offre un double niveau de sécurisation : juridique et technique. Son objectif est de promouvoir, d’enrichir et d’améliorer l’offre à destination des entreprises et administrations publiques qui souhaitent externaliser l’hébergement de leurs données auprès de prestataires de confiance.

  • Assurer les portages opérationnel et commercial de l’offre par une entité européenne, détenue par des acteurs européens.

b) Une rationalisation du « nuage » pour l’administration : doctrine « nuage au centre »

Au moyen de la doctrine « nuage au centre », l’État encourage l’ensemble des acteurs publics à s’emparer de son potentiel dans le but de développer une nouvelle génération de services numériques de qualité, tout en protégeant au mieux les données des entreprises et des citoyens français. Le « nuage » devient désormais le mode d’hébergement et de production par défaut des services numériques de l’État, pour tout nouveau produit numérique et pour les produits connaissant une évolution substantielle. Il est prévu également d’inscrire cette doctrine dans la gouvernance des activités du numérique de chaque administration.

c) Une stratégie inscrite dans le cadre de France Relance

Le troisième pilier de la stratégie « nuage » de l’État vise à soutenir des projets à forte valeur ajoutée dans le cadre du 4ème programme d’investissements d’Avenir et de France Relance. Il devrait permettre à la France mais aussi à l’Europe d’assurer sa souveraineté technologique via les solutions PaaS, l’intelligence artificielle, les mégadonnées et les suites logicielles de travail collaboratif.

C. Les critiques

Nous avons vu en introduction que le marché du « nuage » est dominé par Google, Amazon et Microsoft. A eux trois, ils concentrent 70% du marché des infrastructures « nuage » (IaaS). Pour répondre aux enjeux de la numérisation des entités publiques et privées, le Gouvernement a bâti une doctrine qui place ces leaders du marché du « nuage» (« hyperscalers ») au cœur d’une stratégie présentée comme « souveraine » car elle garantirait la protection des données. L’idée est donc de construire en France un « nuage » souverain avec utilisation des technologies américaines sous licence. Dix jours après l’annonce de la stratégie nationale pour un « nuage » souverain, Orange et Capgemini ont annoncé leur partenariat avec Microsoft, sous la forme d’une société baptisée « Bleu » destinée à fournir un « nuage de confiance » en France. De même, OVH a signé un partenariat stratégique avec Google qui va lui permettre de proposer une offre de « nuage » privé exploitant la technologie multi-nuages Anthos de Google.

De nombreux experts et acteurs français de l’informatique en nuage dénoncent l’antinomie d’un « nuage » souverain à la française qui repose sur des technologies américaines. Pour Yann Leschelle, le directeur général de l’entreprise française Scaleway, « une telle solution paraît problématique et paradoxale car elle ne fonde pas une voie pérenne dans le temps ou pourvoyeuse de certitude juridique ». Parmi les personnalités politiques, la sénatrice Catherine Morin-Desailly, spécialiste à la fois du numérique et des enjeux de souveraineté à la Commission des affaires européennes a interpellé le gouvernement à plusieurs reprises sur la souveraineté de nos données, concernant plusieurs partenariats avec les géants américains comme :
1) la gestion du Health Data hub (Plateforme des données santé), confiée à Microsoft. Ce choix d’hébergement des données de santé par Microsoft provoque non seulement l’indignation de l’écosystème français et européen mais inquiète aussi les défenseurs de la protection des données ;
2) le partenariat entre Orange, Capgemini et Microsoft (voir précédemment) ;
3) le récent accord conclu entre Thales et Google pour la création d’un « nuage » de confiance. La coentreprise devrait voir le jour au premier trimestre 2022. Salué par le ministre de l’Economie, Bruno Le Maire, le Secrétaire d’Etat chargé du numérique, Cédric O, et le CIGREF, ce partenariat est en revanche vécu par certains comme un séisme. Pour la sénatrice, « il est faux techniquement de dire que le « nuage » de confiance sera la garantie de notre souveraineté. C’est en fait une opération de rhabillage et de ré-encapsulage, Google conservant la maitrise totale. Nous n’aurons aucun accès au code source » […] ; « Juridiquement, ce « nuage » ne nous protègera pas contre la loi FISA (Foreign Intelligence Surveillance Act), qui permet aux services secrets américains d’obtenir, sur requête fédérale, les données traitées par des sociétés américaines ».

Les nombreuses voix qui se sont élevées pour alerter sur les risques de faire appel à une entreprise soumise au droit américain en matière de protection des données déplorent également le manque d’appels d’offre et s’interrogent sur la légalité de la procédure.

4. Conclusion

Après les échecs des premiers projets de « nuage» souverain comme Cloudwatt d’Orange et Numergy (société commune à la Caisse des dépôts, à Bull et à SFR), le Gouvernement français a lancé en mai 2021 le « nuage» de confiance. Mais le choix de partenariat avec les Gafam suscite de vives critiques. Pour Maître Alexandre Mandil, avocat en droit des nouvelles technologies, « sans une réelle volonté politique d’affirmation de la souveraineté numérique européenne assortie de dispositions règlementaires et législatives ambitieuses et courageuses, une telle initiative risque fort de rejoindre le cimetière des échecs et renoncements de notre continent en la matière depuis 20 ans ».

5. Glossaire

Club informatique des grandes entreprises (CIGREF) : Créé en 1970, le CIGREF regroupe plus de cent très grandes entreprises et organismes français et européens de tous les secteurs d’activité (banque, assurance, énergie, distribution, industrie, services, etc.) et a pour mission de promouvoir l’usage de systèmes d’information comme facteur de création de valeur et source d’innovation pour l’entreprise.

Cloud Act américain : Ensemble de lois américaines adoptées en 2018 permettant notamment aux États-Unis d’exploiter librement des données personnelles d’individus étrangers.

Espace économique européen (EEE) : Espace qui a vu le jour en 1994 et qui a permis d’étendre les dispositions de l’UE applicables à son marché intérieur aux pays membres de l’Association européenne de libre-échange (AELE).
Note : La Norvège, l’Islande et le Liechtenstein sont parties à l’accord EEE. La Suisse est membre de l’AELE, mais elle ne fait pas partie de l’EEE.

« Hyperscaler » : Grandes entreprises comme Google, Microsoft, Facebook, Alibaba et Amazon qui dominent les services d’informatique en nuage.

Infrastructure à la demande (« Infrastructure as a service »/IaaS) : Infrastructure matérielle mise à disposition à la demande.
Note : Le recours à la virtualisation a été à l’origine de la création d’un nouvel ensemble de couches et IaaS constitue la couche inférieure.

Logiciel à la demande (« Software as a Service » / SaaS) : Application accessible à distance comme un service, par le biais d’Internet.
Note : Le recours à la virtualisation a été à l’origine de la création d’un nouvel ensemble de couches et SaaS constitue la couche supérieure.

Plateforme à la demande (« Platform as a service »/ PaaS) : Plateforme d’hébergement pour le développement d’applications à la demande.
Note : Le recours à la virtualisation a été à l’origine de la création d’un nouvel ensemble de couches et PaaS constitue la couche moyenne.

© Copyright ANDESE
Le présent document est protégé par les dispositions du code de la propriété intellectuelle. Les droits d'auteur sont la propriété exclusive d'ANDESE (Association Nationale des Docteurs ès Sciences Économiques et en Sciences de Gestion). La copie ou la reproduction (y compris la publication et la diffusion), intégrale ou partielle, par quelque moyen que ce soit (notamment électronique) sans le consentement de l’éditeur constituent un délit de contrefaçon sanctionné par les articles L. 335-2 et suivants du code de la propriété intellectuelle.