Apparemment, ni Gaia-X, ni le convoité label SecNumCloud ne suffisent au gouvernement français pour satisfaire une réelle souveraineté numérique. Il annonce à la fois une nouvelle stratégie « cloud au centre » pour l’état, une volonté industrielle, une nouvelle initiative souverainiste et le déménagement du Health Data Hub.

Oodrive, OVHcloud, Outscale… Ils ne sont que trois fournisseurs de stockage et traitements cloud à disposer aujourd’hui de la très convoitée certification SecNumCloud de l’ANSSI. Trois acteurs français. Mais pour le gouvernement français, cette certification n’est finalement pas suffisante pour garantir une absolue souveraineté des données. Car, sur le papier, cette certification est avant tout technique et n’impose pas de cadre juridique français ou européen. Comprenez, des acteurs comme AWS, Azure ou Google Cloud, sociétés américaines soumises au tristement célèbre Cloud Act pourraient très bien – en théorie – obtenir la certification SecNumCloud, tout comme ils ont déjà obtenu la très contraignante certification HDS (Hébergeur de Données de Santé).

Or, pour le gouvernement, « le cloud présente des risques pour l’intégrité des données des Français, tant pour des raisons techniques, avec la multiplication des cyberattaques, que juridiques, avec la menace de législations extraterritoriales donnant un accès aux données des citoyens, des administrations et entreprises françaises à des États étrangers ».

UN NOUVEAU LABEL FRANCAIS : LE « CLOUD DE CONFIANCE »

Et c’est bien l’aspect juridique qui préoccupe désormais le plus le gouvernement français. Sa nouvelle « Stratégie Nationale pour le Cloud » annoncée Lundi vise en premier à imposer un nouveau label « Cloud de Confiance » qui aux contraintes techniques de SecNumCloud ajoute un volet juridique. Ce dernier impose que les infrastructures soient non seulement localisées en Europe mais aussi opérées en Europe par une entité Européenne entièrement détenue par des acteurs Européens.

Pour les grands clouds américains – qui doivent enrager de ne pas avoir réussi à forcer leurs gouvernements à abandonner le Cloud Act avant que l’Europe ne s’enferme dans une politique souverainiste – c’est une mauvaise nouvelle. Pour être bref, le gouvernement français ne reconnait pas comme suffisantes les « clauses contractuelles types » pourtant considérées comme valides par la CJUE et avoue par la même occasion que les arrêtés ministériels comme celui du 9 octobre 2020 (qui interdit tout transfert de données à caractère personnel hors de l’UE) n’ont qu’une valeur limitée.

Théoriquement, les hyperscalers américains pourraient toutefois continuer à proposer leurs services simplement en accordant des licences à des opérateurs européens opérant pour eux leur infrastructure. C’est la solution officiellement proposée et, selon le Medef, les acteurs américains n’y seraient pas opposés rappelant les partenariats entre OVHcloud et Google (tout en oubliant que seule une infime partie des services Google Cloud sont implémentés par un tel partenariat basé sur Anthos). En pratique, rappelons que Microsoft avait déjà tenté la chose en Allemagne, il y a quelques années, avec Azure en laissant T-System héberger et opérer ses services. L’aventure a été rapidement abandonnée. Car une telle approche implique nécessairement et mathématiquement des tarifs supérieurs qui rendent les offres beaucoup moins compétitives !

Le gouvernement a d’ailleurs confirmé que le Health Data Hub quitterait bel et bien les infrastructures cloud de Microsoft dès que les premiers hébergeurs auraient obtenu le label « cloud de confiance ». Olivier Véran avait déjà annoncé un transfert du HDH en novembre 2020.
Tout comme les acteurs OIV et autres administrations qui utiliseraient les hyperscalers américains pour stocker des données personnelles ou stratégiques françaises, le HDH devra avoir déménagé sur un cloud de confiance dans les 12 mois après les premières labélisations.

OVHcloud et 3DS Outscale se frottent déjà les mains. 3DS Outscale s’est d’ailleurs autoproclamé « cloud de confiance » dans la foulée de l’annonce du gouvernement se félicitant « de répondre aux critères de confiance énoncés par le gouvernement ». Dans un communiqué de presse, la filiale cloud de Dassault Système rappelle que « 3DS OUTSCALE accompagne l’autonomie stratégique numérique de la France et de l’Europe en apportant un Cloud de Confiance opérationnel dès maintenant:
– un cloud souverain, par la localisation des données et des opérations en France, ainsi que par un cadre juridique français
– un cloud qualifié et reconnu en répondant aux plus fortes exigences de sécurité en cumulant les certifications d’excellence : SecNumCloud de l’ANSSI, ISO 27001 et Hébergement de Données de Santé
– un cloud respectant les valeurs et engagements européens en étant membre fondateur de GAIA-X ».

CLOUD AU CENTRE et STRATEGIE INDUSTRIELLE

Outre le label « Cloud de Confiance », la « Stratégie Nationale pour le Cloud » comporte deux autres piliers :

* Une initiative « Cloud au centre » visant à moderniser l’action publique grâce au cloud. Le Gouvernement fait ainsi du Cloud un prérequis pour tout nouveau projet numérique au sein de l’État, afin d’accélérer la transformation publique au bénéfice des usagers et dans le strict respect de la cybersécurité et de la protection des données des citoyens et des entreprises. Bien évidemment, cette modernisation par le cloud devra s’appuyer sur des prestataires « cloud de confiance ». « Chaque produit numérique manipulant des données sensibles, qu’elles relèvent notamment des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou d’applications métiers relatives aux agents publics de l’État, devra impérativement être hébergé sur le cloud interne de l’État ou sur un cloud industriel qualifié SecNumCloud par l’ANSSI et protégé contre toute réglementation extracommunautaire » précise le texte.

* Une « stratégie industrielle » que le gouvernement qualifie d’ambitieuse et qui consiste en un soutien direct à des projets à forte valeur ajoutée dans le cadre du 4ème Programme d’Investissements d’Avenir et de France Relance. L’objectif est de favoriser l’émergence de nouveaux hébergeurs et de nouveaux services cloud français. Le gouvernement en profite pour rappeler son soutien à l’association Gaia-X et à son architecture de standards. Un soutien qui se traduira par le financement de services de fédération de Gaia-X et la création d’espaces de données partagées au sein de la filière industrielle.

Bref, la France enfonce encore un peu plus le clou du cloud souverain pour mieux accompagner la modernisation de ses infrastructures publiques via le cloud. Officiellement, les entreprises restent libres de choisir n’importe quel cloud lorsque les données personnelles ne sont pas en jeu. Mais en pratique, les entreprises françaises se retrouvent de plus en plus contraintes à exploiter les clouds européens et les hébergeurs français. Les DSI d’entreprises internationales vont devoir jongler de plus en plus savamment entre les hébergeurs pour satisfaire aux contraintes de souveraineté de chaque état. Et c’est finalement l’idée d’un cloud universel qui disparait un peu plus. Déjà état de fait, le multicloud devient une réalité imposée pour ces entreprises internationales.

Reste à voir comment réagiront les grands acteurs du cloud. Car au-delà des infrastructures AWS, GCP et Azure, ce sont aussi les services SaaS comme Office 365 ou Google Workspace qui s’en trouvent directement affectés. On peut s’attendre à voir se multiplier et s’intensifier les partenariats entre ces leaders américains et les certifiés SecNumCloud français que sont OVHcloud (déjà très proche de Google avec ses offres Anthos et de Microsoft autour d’Office 365) ou 3DS Outscale.