Les GAFAM et la stratégie du cloud de confiance : quid de la souveraineté numérique française ?

Thalès et Google ont annoncé le 6 octobre 2021 la conclusion d’un partenariat stratégique et la création d’une coentreprise au cours du premier semestre 2022, dans l’objectif de développer un cloud souverain qui sera labellisé « Cloud de Confiance ». Cette collaboration a fait naître de vives critiques quant à l’échec d’une nouvelle tentative de souveraineté numérique française.

Les enjeux de cette collaboration

Aujourd'hui, le nom de cette nouvelle coentreprise – dont l'actionnaire majoritaire sera Thalès – reste un mystère. Cette nouvelle entité proposera dès 2023 aux entreprises privées et institutions publiques françaises, un cloud flexible, agile, puissant et sécurisé pour cibler les entités qui traitent des données sensibles. Confidentialité et sécurité de l'information relèvent d'un défi majeur sur le plan technique pour Thalès, surtout lorsque les services de Google Cloud entrent en jeu. Selon le groupe français, les infrastructures informatiques (trois datacenters) et réseaux seront tous basés en France et plus particulièrement en région parisienne. Ce nouveau cloud, encouragé par Bruno le Maire et Cédric O, sera sécurisé localement. Par ailleurs, le cryptage, l'administration et la supervision seront gérés par la coentreprise française avec des couches de sécurité pour garantir la protection des données contre les lois étrangères. Seul bémol, à ce jour, il n'est pas indiqué si les serveurs seront fournis par Google ou conçus par Thalès et/ou des partenaires français. 

Le géant américain aura pour mission d'aider Thalès à migrer les données sensibles en toute sécurité et de fournir aux clients des fonctionnalités permettant de posséder et de contrôler leurs clés de chiffrement. Si Google a été choisi comme partenaire privilégié, ce serait pour proposer les services de Google Cloud de manière contrôlée, afin de créer un environnement favorable à l'innovation pour les entreprises françaises.

Pour rassurer les acteurs français, il est annoncé que Google sera actionnaire minoritaire – non-décisionnaire -, même si in fine, il est compliqué de comprendre à ce jour si le géant du net aura accès (partiellement, totalement) ou non, aux données sensibles françaises.

Tout l'enjeu de cette collaboration résiderait dans l'intelligence juridique pour limiter le rôle du géant du web dans cette nouvelle société et plus généralement, pour éviter l'espionnage américain. C'est pourquoi, Thalès insiste sur le fait que, la coentreprise sera de droit français et que "l'offre est conçue en France et pour la France". Ainsi la nouvelle joint-venture sera soumise aux règlementations locales, comme la loi RGPD. L'outil majeur pour se prémunir du Cloud Act américain, serait le label "Cloud de Confiance" délivré par l'ANSSI.

Partenariats franco-américains, outils juridiques et techniques : une stratégie pour contrôler les GAFAM ?

Ce label, présenté le 17 mai 2021 par le gouvernement, a pour principal but de sécuriser les services de cloud utilisés par les entreprises françaises, tant sur le plan juridique que technique. Ce label, une politique dite "Cloud au centre" sera attribué sous condition que  les exigences de sécurité "SecNumCloud" (visa délivré par l'ANSSI) soient remplies, que les infrastructures, systèmes et réseaux soient  basés en Europe, et que le service client et opérationnel  puisse être  assuré par une entité européenne. 

Pour autant, l'application concrète de ce label (similaire au projet franco-allemand GAIA-X) et de son utilité fait débat. Dans un premier temps, le choix de la combinaison logiciels américains/hébergement en France démontre l'abandon de l'État français à pousser les start-up françaises à innover dans le numérique pour une souveraineté nationale. Dans un second temps, il n'est pas sûr que le risque juridique de transferts de données soit écarté. En effet, dans le cas présent, même si c'est une entreprise française qui fournira les serveurs, il ne faut pas oublier que l'entreprise américaine sera coactionnaire. En vertu du Cloud Act, les autorités américaines pourraient avoir la possibilité d'accéder à certaines informations grâce à la joint-venture.

Néanmoins, si la revente de licence de la technologie cloud permet de se protéger contre le Cloud Act, Thalès semble plutôt opter pour la stratégie qu'a adoptée OVH en novembre 2020 pour sa plateforme Anthos. Concrètement OVH a noué un partenariat avec Google Cloud dans le but de proposer une technologie en open source, afin d'assurer une réversibilité totale des données et une pleine autonomie d'OVH avec des serveurs dès 2022 à Roubaix. Comme l'indique Vincent Malka, Directeur de PAC France (filiale de Teknowlogy Group, cabinet européen indépendant d'analyse et de conseil), "les partenariats entre Google et des entités françaises accélèrent la pénétration du géant américain sur le marché" français. Cela permettrait d'étendre les offres de services cloud tout en contrôlant l'activité de Google en Europe.

En somme, la France démontre à travers ce énième partenariat avec les entités américaines, que la stratégie numérique nationale a évolué. Il n'est plus question de souveraineté nationale, mais de confiance et de protection des données. Cela invite les entreprises françaises à collaborer avec les entités extra-européennes -dont les GAFAM – pour les "contrôler" sans pour autant s'en détacher. Pour autant, les start-up françaises de la tech déplorent cette stratégie qui, selon eux, traduit seulement l'incapacité des pouvoirs publics à faire confiance aux jeunes entreprises de la tech française.

La France peut-elle se passer des GAFAM et devenir indépendante ?

La France a conscience qu'elle ne peut pas avoir un cloud souverain, car elle a pris beaucoup de retard sur les USA dans le secteur technologique. Comme annoncé par le président français, lors de la présentation du Plan de Relance 2030, la différence d'investissement entre l'Europe et l'Amérique dans le secteur privé du numérique serait d'un facteur 10. C'est le cas de la maison mère de Google (Alphabet) qui a mobilisé 14,5 milliards de dollars en 2018 dans la R&D. Par ailleurs, en mai 2021, la France a reconnu la supériorité technologique des États-Unis et la nécessité de s'en remettre à ses services en achetant sa technologie.

Le cloud de confiance serait, dans cette optique, un label pour que les GAFAM aident les entreprises françaises à innover tout en étouffant le développement des start-up françaises. Cette stratégie "schizophrène" de l'État, qui accentue la dépendance envers les géants américains, désole les acteurs français, car selon certains, le label promeut une technologie qui fait l'objet de fuites et de hacks majeurs à l'échelle planétaire, alors que des plus petits acteurs français répondent déjà aux problématiques soulevées par le gouvernement. La France et l'Europe ont la capacité de créer un géant du web. Mis à part que la France "ne sait pas faire grossir les start-up", alors qu'il ne faut pas oublier que "les GAFAM ont toutes été des start-up au départ", comme l'affirme Nicolas Marques, Directeur général de l'institut économique Molinari.

Compte tenu de l'hégémonie des GAFAM, la compétition technologique ne peut être menée par la France uniquement. En l'occurrence, elle doit être soutenue par les pays européens, notamment dans le domaine juridique pour inviter les investisseurs européens à financer la R&D dans le secteur technologique. À ce jour, il semble compliqué, puisque le paysage économique actuel ne rassure pas les industriels. Pour investir, ils ont besoin de gages économiques de la part des États et de parier sur une croissance du marché tout en baissant leurs marges, afin de lutter contre les tarifs agressifs des GAFAM. De plus, les intérêts économiques des pays de l'UE divergent également. La Suède serait plus tournée vers les États-Unis, tandis que l'Allemagne hésite entre souveraineté continentale et alliances commerciales.

Finalement, la France, voire l'Europe semble avoir des difficultés à envisager une stratégie d'indépendance face aux GAFAM, car c'est une tactique à mettre en place pour du long terme. Malgré la supériorité technologique des États-Unis, des solutions proposées aujourd'hui peuvent être mises en place, même si les résultats ne seront pas visibles immédiatement. Entre casser le monopole des GAFAM en les forçant à vendre certaines acquisitions passées et faire grandir des start-up françaises prometteuses, une autre question émerge : les BATX, peuvent-ils remplacer les GAFAM si ces derniers sont amenés à être "hors-jeu" en Europe ?

​ Émeline STRENTZ

Pour aller plus loin :

• Guerre économique, campagnes d'influence et souveraineté des données à l'approche des présidentielles : la France est-elle bien "cyber armée"? 

• L’ascension d’un Cloud Européen ou le début d’un long bras de fer avec les USA

• Retrait de Scaleway de l’initiative Gaia-X : un rendez-vous manqué pour le cloud européen ?