Souveraineté et cloud, quel rapport ?

L’idée d’un cloud souverain est apparue une première fois il y a une dizaine d'années, lancée par le président Sarkozy lors d’un G8 du numérique organisé à Paris, mélangée à l’idée de « civiliser Internet ». L’optique d’alors était de considérer Internet comme un Far West, une zone primitive peuplée d’indigènes mal policés, les internautes, et qu’il fallait mettre dans ce lieu mal fréquenté un peu de présence d’État pour améliorer tout ça. Cette idée est passée de mode.

Le vocable reparaît ces temps-ci. Mais il faut faire attention : la notion n’est plus la même. Finie l’idée d’aller civiliser le peuple des primitifs d’Internet, on parle maintenant de pouvoir appliquer les normes européennes dans ce qui se passe en ligne, et en particulier de pouvoir appliquer nos normes, plus exigeantes que les normes américaines, en matière de protection des données personnelles. Le sujet est pris de manière bien plus sérieuse.

Je vous propose ici de remettre tout ça en perspective, sur un temps plus long, de regarder ce qu’est ce numérique souverain en Europe, pour comprendre vers où nous allons. Et à partir de là, de regarder les conséquences pour les entreprises du numérique, et comment nous pouvons fabriquer de la prospérité pour le numérique en Europe.

Le droit des personnes dans le numérique en Europe

Le législateur européen a voté ces dix dernières années plusieurs textes qui touchent au droit du numérique. Deux de ces textes sont particulièrement intéressants : le RGPD et le règlement européen sur la neutralité du net.

Dans les deux cas, ce sont des textes qui sont accrochés au droit des personnes, plutôt qu’au droit des affaires, au droit du commerce, ou au droit du contrat. Ces textes posent comme principe de protéger le citoyen, de protéger certaines de ses libertés fondamentales, et tirent de cette protection des contraintes pour le monde des entreprises.

En effet, le RGPD pose le principe que les personnes physiques ont un droit incessible et inaliénable à ce que leurs données personnelles soient protégées des abus. Ce n’est pas une protection comme celle contre le vol, mais plutôt comme celle contre l’agression physique. Utiliser vos données personnelles d’une manière qui ne vous convienne pas, c’est comme vous faire violence. C’est en cela que c’est un droit de la personne (sous entendu, de la personne physique). Et de ce droit découle que les entreprises et plus largement les personnes morales, y compris les collectivités et l’État, qui traitent ces données ont une responsabilité forte. Nous parlons ici autant d’une obligation de moyens à mettre, que d’une obligation de résultats à atteindre.

De son côté, le règlement sur la neutralité du net pose également des droits fondamentaux des citoyens (accès à l’information, capacité de diffuser de l’information et des opinions, etc) comme point de départ, ensuite complétés par une notion de concurrence (les atteintes à la neutralité du net visant à déformer le marché sont sanctionnées), et le tout débouchant sur des contraintes réglementaires fortes pour les opérateurs, et des contrôles associés à ces obligations. La présence des autorités de régulation, et leur indépendance, est renforcée : ce ne sont plus seulement des autorités qui ont en charge la régulation économique du marché des télécoms, elles ont également en charge la protection de certaines libertés fondamentales. Le paradigme du droit des télécoms bouge : on passe d’une régulation économique avec des consommateurs à une protection de la société, et des droits fondamentaux des individus.

Ce premier fil pose des bases. Le droit des personnes est un référentiel fort pour définir le marché du numérique en Europe.

Les jurisprudences de la CJUE

La cour de justice de l’union européenne (CJUE, cour suprême en matière de droit européen, à laquelle doivent se référer toutes les cours suprêmes nationales quand il est question de savoir comment appliquer le droit de l’Union dans un État membre) a rendu ces dernières années des décisions qui vont toutes, peu ou prou, dans le même sens. Et précisément, dans le sens de la protection du droit des personnes.

Quand l’Europe a posé les bases de la protection des données personnelles, bien avant le RGPD, le cas américain posait un problème : il n’est pas évident du tout que le droit américain protège les européens aussi bien que le droit européen. Un accord international avait donc été signé entre les USA et l’Europe, qui dit en substance que chacun est un havre de paix pour l’autre, d’où le nom de cet accord, le “Safe Harbor”.

Premières décisions retentissantes : en avril 2014 la CJUE a invalidé la directive de 2006 qui organise la conservation des données de connexion par les opérateurs télécom, puis en octobre 2015 elle invalide le Safe Harbor, expliquant pour la directive qu’elle n’est pas conforme avec la charte des droits fondamentaux de l’Union (elle ne protège pas assez les données, et donc les citoyens), et pour le Safe Harbor que le droit américain n’est pas assez protecteur, et que l’accord international de 2000 n’apporte aucune protection supplémentaire. Et que donc, non, les États-Unis ne sont pas un “havre protecteur” (Safe Harbor) pour les données des européens.

La réaction est alors très vive, et la Commission européenne lance en urgence la préparation d’un nouvel accord international, bien plus contraignant, mais elle veut qu’à tout prix la libre circulation des données entre les deux continents continue. Quelques semaines plus tard, rédigé dans l’urgence (quelques semaines pour un accord international, c’est exceptionnel), un accord politique est trouvé en février, en juillet 2016 est signée la version complète du Privacy Shield, qui se veut un “bouclier protecteur” pour les données des européens aux États-Unis.

Cet accord est immédiatement attaqué, mais les procédures sont longues pour que le texte arrive devant la CJUE. À peine 4 ans après sa signature, en juillet 2020, la CJUE invalide le Privacy Shield, avec une argumentation redoutable : le droit américain n’est pas conforme, l’accord ne modifie pas le droit américain, un traitement de données personnelles d’européens qui aurait lieu sous juridiction américaine ne peut pas être rendu conforme.

Dans un deuxième volet de son jugement, la CJUE indique que les clauses contractuelles standard prévues par la Commission Européenne, elles, sont conformes au droit de l’Union. On croit parfois, par erreur, que cette disposition sauve la mise des grandes plateformes américaines : elles ne peuvent plus s’appuyer sur l’accord international, il leur suffit d’inclure les bonnes clauses dans leurs contrats, et c’est réglé.

Cette lecture est trop rapide : les textes européens prévoient, en matière de circulation internationale des données personnelles, que cette circulation n’est possible dans 3 cas, et 3 cas seulement :

• si le niveau de protection de l’autre pays est conforme aux normes européennes, et qu’un accord international le certifie ;
• si le niveau est insuffisant (par exemple, s’il n’y a pas de règle protégeant ces données), mais que les entreprises qui opèrent inscrivent dans leur contrat des clauses standards par lesquelles elles s’engagent à garantir un niveau de protection similaire aux exigences européennes ;
• s’il s’agit de données internes à une entreprise et que cette entreprise s’engage par des règles de gestion qui lui sont propres à garantir un niveau conforme aux standards européens (c’est par exemple ce qui est retenu pour le fichier du personnel des entreprises multinationales).

Ce que dit la CJUE se résume en deux points indépendants :

• il existe un droit des données personnelles aux États-Unis, et ce droit est fondamentalement incompatible avec le droit de l’Union ;
• les clauses contractuelles sont bonnes, elles peuvent suffire pour un pays qui n’a pas de droit des données personnelles.

Ce que la CJUE nous dit, en creux, c’est que ces clauses contractuelles ne peuvent pas être suffisantes pour une entreprise américaine. Sauf à ce que par contrat cette entreprise s’engage à violer le droit américain. Et un tel contrat serait illégal, comme chacun sait (c’est à peu près la définition d’une association de malfaiteurs, de signer un contrat par lequel on s’engage à violer la loi).

Les effets de cette décision sont encore mal connus, mais il est certain qu’ils seront vastes. On est certains maintenant que tout transfert de données personnelles sous juridiction américaine est illégal. La question est de savoir si des serveurs opérés en Europe par une entreprise américaine sont concernés ou pas par cette interdiction. Et c’est à partir d’ici qu’on voit surgir la question du cloud, qui est notre sujet du jour.

Les analyses les plus dures disent que oui, le droit américain s’applique aux entreprises américaines, où qu'elles opèrent dans le monde, et en particulier certains textes organisant les interceptions de contenus par les services spéciaux américains (NSA, FBI, CIA, etc). C’est par exemple le sens de l’avis rendu par la CNIL en octobre 2020 dans l’affaire contre le Health Data Hub (plateforme des données de santé, prévue pour regrouper l’ensemble des données de santé de l’ensemble des français). C’est également le sens de la décision de la CNAM en février 2021 (elle refuse de transférer ses données vers le Health Data Hub tant que celui-ci est sur des serveurs opérés par Microsoft, même si ces serveurs sont en Europe).

Il y a un autre fait intéressant dans l’absence relative de réaction de la Commission Européenne. Lors de l’abrogation du Safe Harbor, la Commission monte au créneau très vite, dans une posture très volontaire, au chant de « Data must flow », et se lance dans la préparation du successeur de l’acte invalidé. Tout au contraire, lors de l’abrogation du Privacy Shield, la Commission prend acte, et ne cherche pas à remplacer l'acte invalidé. La stratégie a changé. Le contexte européen a changé. Les deux règlements sur les données personnelles et la neutralité du net ont pris du poids. On a commencé à réfléchir en termes de stratégie économique européenne, et non plus en réaction épidermique à une décision.

D’autres jurisprudences de la CJUE, portant sur la conservation des données de connexion par les opérateurs télécoms pour les besoins de la police et de la justice, sont venues confirmer cette lecture stricte de l’application de la charte des droits fondamentaux. Le fait de casser la directive de 2006 qui organisait cette conservation (la CJUE nous dit qu’il est contraire à la charte d’imposer la conservation des données de connexion de tous les citoyens « au cas où »), de confirmer cette interdiction dans un arrêt rendu en urgence quelques mois plus tard (arrêt Télé 2, qui confirme l’interdiction de conservation systématique), puis de confirmer une troisième fois dans un autre arrêt fin 2020 (arrêt La Quadrature du Net et autres, où la cour donne même des typologies de conservation des données, avec des durées, et des missions d’intérêt général associées), alors qu’une vingtaine d’états membres de l’Union demandaient à la CJUE de changer sa jurisprudence en la matière, constitue un signal fort. La défense des droits fondamentaux est devenue un élément structurant du droit européen, y compris en matière de numérique et de régulation économique.

On a là une convergence de deux axes. D’une part, la CJUE s’empare de la charte des droits fondamentaux pour renforcer la protection des droits fondamentaux des européens, y compris dans l’application de textes qui ont l’air plutôt orientés vers le monde des affaires. D’autre part, la Commission Européenne s’empare de la défense des valeurs européennes dans le numérique pour dessiner une stratégie.

Les directives récentes

Cette stratégie se décline d’ailleurs dans les projets de textes portés par la Commission européenne autour du numérique et qui entrent dans la procédure législative (procédure longue et un peu tortueuse, mais l’angle d’attaque est instructif). Ces textes définissent tous l’angle d’une souveraineté européenne sur les sujets du numérique. Et cette souveraineté prend comme pierre angulaire la défense du droit des personnes. L’axe central n’est plus la concurrence ou l’ouverture des marchés, ou plus seulement.

La question de souveraineté a complètement changé d’angle par rapport aux propositions Sarkozy. On est passé de la volonté d’un souverain de faire régner l’ordre dans un écosystème qu’il trouve turbulent, à une puissance continentale qui entend faire appliquer ses règles, et rien que ses règles, sans s’en laisser conter, pour protéger son économie au travers de la protection de ses résidents.

On peut utilement revenir à un peu de macro-économie élémentaire. Un euro d’importation, c’est le chômage qui monte. Un euro d’exportation, c’est le chômage qui baisse. Si on le réfléchit avec des euros, ça ressemble à ça : un vêtement importé, seule la marge de l’importateur et du commerçant sont de la valeur ajoutée dans l’économie locale, si on importe le tissu, alors la valeur ajoutée de l’atelier de confection rentre dans l’économie locale, si on importe du fil, alors la valeur ajoutée de l’usine de tissage rentre, si on importe la matière première, c’est la valeur ajoutée de la filature qui revient, et si on fait pousser le coton, le lin ou la laine localement, même la valeur ajoutée de l’agriculteur devient locale.

Si on le réfléchit en délocalisation d’emplois, on obtient exactement le même résultat : un mauvais produit cher, mais produit localement, amène une économie plus prospère qu’un bon produit pas cher importé. Tous les économistes savent ça, depuis au moins la fin du 19e siècle.

Vouloir donc que la croissance liée au numérique se fasse le plus possible via des acteurs de l’économie européenne, c’est de la macro-économie élémentaire.

Les jurisprudences de la CJUE, qui viennent dire en droit ce que tous les informaticiens disent en faits depuis des années (que la règle qui s’applique est celle des États-Unis, et que “code is law”), entrent dans la définition la plus simple de la souveraineté. Le sujet est de savoir si le droit qui prévaut, celui qui s’applique en premier et par-dessus tout, c’est notre droit ou c’est un droit décidé et voté ailleurs.

Et le cloud souverain alors ?

Le cloud souverain dont parlait le président Sarkozy, c’était du cloud poussé par l’État, piloté par le Gouvernement, même s’il était confié à des acteurs privés à grand coup de subventions.

Celui qui se dessine ici est radicalement différent : c’est du cloud dont le régime juridique est décidé en Europe, et pas ailleurs, dont on souhaite qu’un maximum de l’activité économique correspondante, et idéalement une partie de la recherche associée, apporte sa valeur ajoutée dans l’espace économique européen, et non ailleurs.

Pour les entreprises du numérique habituées à travailler avec les trois grands acteurs américains du secteur, c’est une complication. Il faut changer ses habitudes, regarder d’autres produits, d’autres fournisseurs, d’autres technologies. Il faut bien admettre que ces géants ont développé de beaux produits, et ont les moyens de les améliorer régulièrement. Prendre autre chose, ce n’est pas forcément moins bien, mais c’est forcément moins confortable.

Reste que si l’industrie du numérique renâcle, traîne les pieds, préfère tout laisser sur AWS, GCP ou Azure, en attendant de voir si une sanction de la CNIL tombe, alors la partie est perdue. Les acteurs européens qui auront fait les choix agiles, cloud, élasticité des plateformes comme services, seront en difficulté un temps. Et les gouvernements d’Europe ne laisseront pas toutes les entreprises se faire sanctionner dans un paysage où aucun autre choix n’est réaliste pour déployer une infrastructure moderne.

Mais si, à l’opposé, l’industrie du numérique en Europe décide de tenter sa chance, de développer des offres peut-être un peu moins flamboyantes, mais au moins économiquement centrées sur l’Europe, et dont le régime juridique est entièrement européen, alors c’est une stratégie gagnante : c’est une activité économique qui rendra prospère l’industrie numérique en Europe, au lieu de la cantonner dans les rôles de revendeur et d’intégrateur des technologies américaines. Et surtout, les textes européens, et les jurisprudences qui vont avec, créent un environnement réglementaire hyper protecteur, et hyper favorable. Protecteur des droits des personnes, puisque c’est là que sont inscrits ces textes dans le droit, mais aussi protecteur des entreprises, puisqu’il est impossible aux entreprises américaines ou chinoises de s’aligner sur le niveau de protection demandé.

C’est de protectionnisme que nous parlons ici. Le protectionnisme d’habitude ça se fait par du droit de douane, ou en imposant des barrières réglementaires par des normes techniques (pas le même modèle de prise électrique, ça ralenti les importations, surtout si on change ces normes souvent). L’approche européenne semble être de faire du protectionnisme par la protection du droit des personnes. C’est un angle nouveau, mais au fond, c’est du protectionnisme réglementaire : on impose une réglementation que les industriels européens vont respecter bon gré mal gré et que les autres industriels auront du mal à suivre. Et on sait que c’est efficace, le protectionnisme réglementaire. C’est celui qui dit que l’Europe n’importe pas la viande de volaille blanchie à l’eau de Javel, par exemple.

Mais alors, comment faire ?

Ce n’est pas vraiment le sujet de ce texte, et c’est un sujet vaste et complexe que celui de savoir comment faire. De fait, les fournisseurs de solutions de cloud en Europe ont une offre de moins bonne qualité. Ou dit autrement, les géants du cloud sont des géants et ont donc une capacité formidable à investir dans le développement de leurs outils, ce qui fait qu’ils ont de bons outils, ce qui en fait des géants, etc. La solution qui consiste à vouloir créer ex-nihilo un géant européen est délicate, de l’économie planifiée à l’ancienne. C’est peut être possible en théorie, mais ça n’est pas dans les habitudes européennes du moment. Espérer qu’un seul des acteurs européens arrive à grandir suffisamment est aussi assez illusoire, aucun n’étant ni le plus gros ni le plus avancé sur ce marché, il est peu probable de détrôner comme ça les géants en place.

L’approche la plus prometteuse est probablement celle de l’écosystème. Que nos fournisseurs de cloud utilisent de plus en plus souvent des systèmes interopérables, qu’ils mettent leurs développements dans le domaine public, et acceptent chacun de réutiliser les technologies de l’autre, et réciproquement acceptent que leurs concurrents bénéficient de leurs progrès. Ce n’est pas une position idéologique déconnectée, c’est par exemple ce que nous faisons tous avec Linux. Tout le monde s’en sert. Tout le monde y contribue. Et personne n’a dans l’idée que sa petite contribution est un cadeau fait à la concurrence. Ou plus exactement, plus personne n’a cette idée. Elle était en vogue en 1998, elle est archaïque.

Nous sommes ici probablement sur ce que les économistes appellent un équilibre de Nash. Un point d’équilibre où tant que chacun joue une partie égoïste, tout le monde reste perdant, encalminé dans une sorte de médiocrité face aux géants, alors que si tout le monde joue un jeu vertueux, collaboratif, alors tout le monde ressort plus grand et plus solide. Les théories économiques nous disent que le passage du point bas au point haut de l’équilibre de Nash ne peut se faire que par l’intervention d’un régulateur, parce que le seul marché est incapable d’en sortir. Nous pouvons considérer que les positions alignées de l’Union Européenne sont une intervention du régulateur. C’est aux acteurs du monde de l’économie numérique en Europe de s’en saisir.

La commande publique joue également un rôle, parce que c’est un levier puissant pour soutenir une solution. Mais ça doit être une solution ouverte, qui permette la création d’un écosystème riche, à l’opposé du repli sur soi qu’on entend dans “souveraineté” quand on veut le penser comme un nationalisme étroit.

En conclusion

Le sujet du cloud souverain, c’est bien un choix stratégique de l’industrie du numérique en Europe. On peut faire le choix d’une économie numérique qui se porte mieux en Europe parce qu’elle a choisi de protéger les personnes, et de s’appuyer sur ce protectionnisme réglementaire pour progresser, plutôt que de chercher à lutter contre en espérant s’inscrire dans la même prospérité que les géants du cloud.

La première des choses à faire pour ça, c’est d’arrêter de considérer que ces protections sont une contrainte pénible, mais au contraire une opportunité formidable. Et se saisir de l’opportunité, collectivement, pour avancer. Tout ne pourra pas être fait en une seule fois, c’est trop gros, trop compliqué. Mais procrastiner, retarder, attendre que les autres fassent le premier effort, c’est assurer la position dominante des géants américains et accepter qu’il ne peut pas y avoir d’économie du numérique sérieuse en Europe.

Pour tout savoir sur les enjeux Cloud, DevOps et Plateformes, cliquez ici.