Entre réalité technologique …
Cette définition se heurte très vite à une réalité technologique : les acteurs leaders du cloud sont essentiellement étrangers, extra-européens et pour l’immense majorité d'entre eux, situés sur le territoire américain. Dans les faits, lorsque vous faites le choix d’une infrastructure et/ou de solutions basées sur le cloud, comme 42% des entreprises européennes en 2022, vous optez à plus de 70% pour les offres d’un acteur américain, au choix entre Google, Amazon ou Microsoft. Le cloud souverain français tel qu’il avait été défini en 2016 et les initiatives à l’échelle européenne peinent à soutenir la comparaison avec l’offre des géants américains.
… et effet des régulations
Parce que les entreprises hébergent des données confidentielles (ex : données clients etc.) parfois d’importance stratégique vitale pour l’organisation (ex : formules, brevet, secret de fabrication…), certaines d’entre elles peuvent être réticentes à utiliser des services cloud. On le comprend d’autant mieux que depuis deux décennies désormais, les Etats-Unis, suivis par d’autres pays, multiplient les effets extraterritoriaux de leurs textes pour étendre les pouvoirs de leurs autorités nationales en matière d’obtention et d’accès aux données stockées, y compris européennes, dans le cloud. En réaction, l’UE ne cesse de durcir sa réglementation en matière de transferts de données personnelles vers les Etats-Unis et plus largement vers tous les pays en dehors de l’UE n’ayant pas fait l’objet d’une décision d’adéquation de la part de la Commission Européenne.
Aujourd’hui, lorsque vous utilisez les services d’un acteur américain ou d’un acteur européen hébergeant les données aux Etats-Unis, les données émises ou stockées via l’utilisation de ces services sont soumises au droit américain.
Notamment, le FISA 702 (1970), le FCPA (1977), le Patriot Act (2001) ou encore le CLOUD Act (2018) s’appliquent, donnant aux autorités américaines la possibilité d’accéder à des données personnelles, indépendamment de leur localisation. Selon le texte, il peut s’agir du DOJ - Department of Justice -, des tribunaux ou encore des agences de renseignement. La législation européenne RGPD (Règlement Général sur la Protection des Données ou GDPR) œuvrant à la protection des données personnelles, en vigueur depuis 2018, tente de contrer les effets de ces législations, qui peuvent poser de réels problèmes d’accès à des données confidentielles en encadrant de plus en plus strictement les transferts de données hors UE et en en interdisant même certains. Un projet d’accord entre l’Europe et les Etats-Unis est en cours de négociation pour parvenir à fluidifier ces transferts sans sacrifier le volet souveraineté mais pour le moment ces négociations semblent au point mort.
Sans entrer plus dans le détail des dispositions juridiques, on observe à quel point le sujet de la souveraineté de la donnée est central, appelle à des offres présentant des garanties suffisantes sur celle-ci, et provoque des inquiétudes compte tenu de l’omniprésence des hyperscalers américains. Or le développement de géants français capables de rivaliser sur toutes les dimensions des offres des acteurs américains n’est pas encore 100 % effectif, même si de nombreuses initiatives sont en cours de lancement.
En synthèse, le besoin de disposer d’un cloud garantissant la territorialité des données (France et/ou Europe) existe et se justifie, mais la réalité technologique explique le changement progressif de philosophie, d’un cloud souverain à un cloud de confiance.