Pour le Cigref, la première tentative d'autorégulation du cloud en Europe est un « échec »
Les gros acteurs, principalement américains, auraient réussi à imposer leurs objectifs au groupe de travail voulu par Bruxelles, le tout sur fond de CLOUD Act. Le Cigref dénonce un refus d'écouter les clients européens.
Le Cigref tape une nouvelle fois du poing sur la table. L'association qui regroupe 150 grandes entreprises et administrations publiques en France qualifie purement et simplement « d'échec » le processus d’autorégulation du marché du cloud en Europe, un processus qui avait été placé par Bruxelles sous l'égide d'une entité bipartite, avec d'un côté les acteurs du cloud et de l'autre ses utilisateurs.
Le groupe de travail, le « SWIPO Working Group » (pour SWItching cloud and POrting data) avait été mis en place par la Commission européenne en avril 2018 pour favoriser la libre circulation des données non personnelles en Europe.
L'objectif était, entre autre, de favoriser la concurrence par l’ouverture du marché aux petits fournisseurs et de limiter la concentration des acteurs. Le but était également de supprimer des dispositifs d’enfermement propriétaire (vendor lock-in) et de favoriser l’interopérabilité.
Cette initiative entre fournisseurs - principalement américains - et utilisateurs - européens - est donc, un « échec » selon le Cigref. Et l'association n'entend pas que certains (acteurs cloud ou politiques) utilisent les propositions du groupe pour dire qu'il s'agit d'un succès et faire leur auto-promotion.
Pas de consensus, ni d'écoute des utilisateurs
« Contrairement aux affirmations formulées par certains de ses co-présidents et par la Commission européenne, le code de conduite SaaS et les documents de définition de l’entité légale [N.D.R. : entité qui devra appliquer et suivre l’évolution de ces codes de conduite] n’ont pas recueilli de consensus du SWIPO Working Group. Le Cigref souhaite donc apporter un démenti à toute déclaration affirmant le contraire », écrit l'association. En gras.
Le SWIPO Working Group avait pour objectif d’élaborer deux codes de conduite (un pour le IaaS, un pour le SaaS). Si le Cigref semble plutôt satisfait sur la partie IaaS, le SaaS reste pour lui très problématique. En effet, « aucune des propositions formulées par les membres du Cigref pour améliorer le code de conduite SaaS et la gouvernance ultérieure des codes de conduite par l’entité légale, n’a été prise en compte », regrette l'association qui souligne un un « mépris des règles de gouvernance [du groupe de travail] ».
L'association va plus loin et dénonce « le refus des principaux fournisseurs de prendre en considération les propositions d’amendement formulées par les utilisateurs pour intégrer leurs attentes en matière de régulation du cloud ».
Un déséquilibre de moyens entre utilisateur et fournisseurs
Le groupe de travail aurait également échoué pour des raisons de manque de moyens de la part des clients ; les gros du cloud étant plus présents que les utilisateurs « dont le lobbying dans ce domaine n’est pas le métier ». Mais cette « asymétrie systémique » (sic) n'aurait pas été arrangée par « la façon dont les travaux ont été menés [qui] a rendu plus difficile l’implication des utilisateurs ».
Résultat, les grands fournisseurs ont fait jouer à plein leur influence pour défendre « le cœur de leur activité commerciale et leur capacité d’enfermement de leurs clients », tacle le Cigref.
« Certains grands fournisseurs mondiaux de services cloud [...] défendent le cœur de leur activité commerciale et leur capacité d’enfermement de leurs clients. »
Cigref
Les conclusions du SWIPO Working Group seront remises à la présidence finlandaise du Conseil de l’Union européenne, ce 26 novembre. Il y aura certainement des micros, des caméras, et des congratulations sur le travail très constructif accompli. Certainement. Mais pour le Cigref « ses adhérents ne peuvent pas reconnaître la légitimité de [ces] documents ».
Une version 2, un audit indépendant et un rééquilibrage du groupe
Le Cigref ne claque pas pour autant la porte du groupe et se dit prêt à continuer de collaborer. Mais à plusieurs conditions.
Une d'entre elle est que la Commission diligente une mission d’audit des codes de conduite et qu'elle fasse faire une étude d’impact sur les utilisateurs, avant le 31 janvier 2020. Avec un détail clef : que cette mission soit « indépendante des fournisseurs », insiste bien le Cigref.
Une autre condition est que le comité de pilotage soit désormais composé d'un tiers de fournisseurs et de deux tiers d’utilisateurs pour rétablir un équilibre de moyens.
Enfin, l'association estime que la Commission européenne - via le groupe de travail - doit demander une deuxième version des codes de conduite qui prenne cette fois-ci en compte les remarques des utilisateurs. Et dans le cas où il n'y aurait pas de consensus au 29 mai 2020, qu'elle s’engage à élaborer une proposition de règlement.
CLOUD Act : tout ne va pas très bien, Madame La Marquise
Le CLOUD Act plane évidemment sur toute cette affaire. Car si les acteurs américains essayent de minimiser la portée de cette loi, le Cigref souhaite, lui, pouvoir s'en affranchir avec l’émergence d’une vraie industrie européenne du cloud « qui offre des garanties de sécurité, techniques et juridiques, qui permettent [...] de se protéger de l’extraterritorialité des législations auxquelles les principaux fournisseurs de services cloud sont aujourd’hui soumis ».
La phrase est une jolie litote, mais elle est on ne peut plus claire : les principaux clouds sont américains, et de ce fait ils sont soumis au droit des États-Unis (et leurs clients avec). Même si leurs contrats sont de droit français et leurs datacenters situés en Europe.
Mais pour cela, il faut de l'interopérabilité et pas de vendor lock-in. Deux sujets clefs initiaux du groupe de travail. « Même si l’objectif n’est pas explicitement inscrit dans le règlement 2018/1807 [N.D.R. : à la base du SWIPO Working Group], le Cigref souhaite que cette ambition [de l’émergence d’une industrie européenne du cloud de confiance] puisse être abordée, suivant des modalités à définir, dans le cadre des travaux ultérieurs du SWIPO Working Group », demande l'association en conclusion.
