« Nous refusons les lois extraterritoriales américaines, donc nous nous protégeons »

« Une œuvre collective »

Pour le ministre, ces échecs venaient en partie d’une forme de déconnexion avec les réalités techniques et les attentes des clients.

« Nous refusons ces lois extraterritoriales […] Une protection maximale, cela veut dire une protection technique mais aussi juridique. »

Mais l’État a appris, assure pour sa part le secrétaire d’État chargé de la transition numérique et de la communication électronique, Cédric O. « Il y a eu une discussion avec l’administration française et avec les clients français […] Mais également avec l’ensemble des offreurs de solutions, qu’ils soient français, européens ou américains », insiste-t-il. « Nous avons consulté tout le monde ».

« La stratégie pour le cloud est une œuvre collective », renchérit-il sur LinkedIn, où il rappelle l’implication de la Direction interministérielle du numérique (DINUM), de la Direction Générale des Entreprises (DGE), de l’ANSSI, mais aussi du MEDEF et du Cigref.

Quant au label « Cloud de confiance », il est aussi le fruit d’une proposition du Comité Stratégique de la Filière Industries de Sécurité, révèle son président Marc Darmon, par ailleurs Directeur Général Adjoint de Thalès.

Refus de l’extraterritorialité du droit étranger

Il aura donc fallu deux années pour, cette fois-ci, tenter de ne négliger personne. « Ce cloud de confiance est stratégique pour nous tous. Tout simplement parce que les données sont stratégiques. Et qu’une grande partie de la valeur économique se fera au 21^e siècle avec ces données », analyse Bruno Le Maire. « Nous nous sommes donné les moyens de protéger nos entreprises [pendant la crise] notamment en renforçant le décret sur les investissements étrangers en France. Nous nous donnons aujourd’hui les moyens de protéger nos données les plus stratégiques », tranche-t-il.

Le ministre de l’Économie et des Finances a ensuite réitéré son refus de voir des acteurs français être soumis à l’extraterritorialité d’un droit étranger – et donc à une puissance externe, fût-elle « amie ».

Il avait déjà publiquement dénoncé le CLOUD Act lors d’une audition au Sénat en septembre 2019, en balayant au passage l’argument qui en fait une loi purement pénale. « Des données sensibles peuvent être stockées chez des opérateurs américains. […] Nous voulons que l’Administration américaine ne puisse pas [les] récupérer sans que l’entreprise soit avertie et sans un minimum de contrôles. Or, dans le CLOUD Act, n’importe quelle agence américaine – je ne parle pas de la justice – peut le faire ».

« Une protection maximale, cela veut dire une protection technique, mais aussi une protection juridique », rappelle-t-il cette semaine. « Il se trouve que l’un de nos grands partenaires politiques et économiques – les États-Unis – a mis en place une loi extraterritoriale qui permet de récupérer les données. […] Avec le cloud de confiance, nous garantissons une indépendance totale par rapport [à ces] lois extraterritoriales américaines ».

Pour bénéficier de ce nouveau label – et pouvoir traiter les données sensibles des administrations publiques – « les serveurs doivent être opérés en France, et les entreprises qui [gèrent] et vendent ce cloud doivent être européennes et possédées par des Européens », résume Bruno Le Maire. « Ce sont les deux garanties juridiques que nous donnons en matière d’indépendance par rapport aux lois extraterritoriales américaines ».

Cette exigence implique un changement de modèle économique pour certains hyperscalers qui devront accepter de vendre leurs technologies sous forme de licences s’ils veulent être certifiés.

« Vous savez que nous refusons ces lois extraterritoriales. Donc nous nous donnons les moyens de nous protéger juridiquement », tranche le ministre.

« La souveraineté, c'est la réciprocité et la juste mesure de notre indépendance et de notre autonomie. »

Cette vision est soutenue par le MEDEF. « La souveraineté ce n’est pas le protectionnisme ni l’autarcie. C’est la réciprocité et la juste mesure de notre indépendance et de notre autonomie », se fait écho Geoffroy Roux de Bézieux, président de l’organisation patronale.

« La crise sanitaire a montré très clairement un ensemble de failles dans cette souveraineté numérique, et notamment du côté des PME qui se sont numérisées massivement et en urgence. On a bien vu que l’utilisation massive de solutions non européennes posait beaucoup de questions sur la protection des données des entreprises et l’exposition aux risques qui en résultait », regrette-t-il. « C’est pour cela que nous soutenons très fortement l’initiative ».

Une articulation avec GAIA-X

L’initiative s’articule aussi avec GAIA-X, le projet de cloud souverain européen que Bruno Le Maire soutient également très fortement.

« Je suis convaincu que nos partenaires allemands prendront des décisions similaires en matière de cloud de confiance. »

« La cohérence avec les initiatives européennes est absolument essentielle », assure le ministre de l’Économie et des Finances qui avait annoncé officiellement le lancement de GAIA-X – un projet privé – avec son homologue allemand Peter Altmayer, en octobre 2020.

« L’offre de cloud de confiance s’inscrit totalement dans la stratégie européenne de GAIA-X » resitue Bruno Le Maire. « Elle vise justement à des développements futurs dans ce cadre ».

Le ministre assure par ailleurs que la France travaille « étroitement avec nos partenaires allemands sur ce sujet. Et je suis convaincu [qu’ils] prendront des décisions similaires en matière de cloud de confiance dans les prochains mois ».