En 2020 le marché de la cybersécurité en France est dominé à 80% par les Américains et les Israéliens. Le premier leader du vieux continent sur le marché du cloud européen Deutsche Telekom ne pointe qu’à la septième place du marché avec 2,4% de part de marché derrière sept entreprises américaines. Le tout, dans un marché européen à fort potentiel, ayant triplé au cours des quatre dernières années pour atteindre 23 milliards d’euros en 2020, soit une progression de 31 % par rapport à 2019.
Pour répondre à ce contexte, le gouvernement français avait annoncé le 17 mai, les trois axes de la stratégie française. Le premier, afin d’établir un lien de confiance avec l’utilisateur sera opérabilité par le label “Cloud de confiance”. Il s’agit d’établir un lien de confiance technique comme juridique sur la protection des données, une manière de répondre au Cloud Act promulgué en 2018 par Donald Trump qui met en péril la sécurité des données et affirme l’impérialisme américain dans le domaine du cloud. Le second est la transition numérique accélérer de l’Etat avec l’adoption de la doctrine “Cloud au centre”. Le dernier pilier est celui du IVᵉ programme d’investissement d’avenir (PIA IV). Il s’agit tout autant d’un programme de financement des starts up, que de la création d’une valeur ajoutée par des appels à projet. Pour les plus ambitieux, il s’agira d’un financement collaboratif dans le cadre du mécanisme de Projet Important d'Intérêt Européen Commun.
Cet élan de sécurisation des datas répond à l’appel du Président du Cigref Bernard Duverneuil, lancé le 17 mai dernier :« La révolution du cloud ne fait que commencer, n’en doutons pas. Nous ne pouvons pas nous résoudre à n’en être que les spectateurs, et encore moins les victimes. »
Ce contexte démontre qu’un long bras de fer est en cours, celui-ci ayant commencé avec l'arrêt de la CJUE Schrems II qui invalida le Privaty Shield. Un arrêt retentissant dont les conséquences juridiques sont aujourd’hui sources d’interrogations suite au prolongement de l’invalidation du Privaty Shield. Par exemple, la Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU) ont interrogé la CNIL sur la conformité au RGPD de l’utilisation, dans l’enseignement supérieur et la recherche, d’outils collaboratifs proposés par certaines sociétés dont les sièges sont situés aux États-Unis. La CNIL a ainsi reconnu le devoir d’une certaine souplesse justifiée par une période transitoire dans la mise en œuvre des directives tout en soutenant la proposition d’une offre alternative. Bien que dans la réalité des faits, aucune alternative à l’offre américaine à ce jour ne semble satisfaisante. Les Etats-Unis n’ont manifestement aucune envie de sécuriser davantage les données européennes, l’Union Européenne ne pouvant briser ses chaînes seulement au travers de l’utilisation de son propre potentiel..
Pierre Coste
Pour aller plus loin :