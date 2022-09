Un an et demi après l’incendie qui a détruit deux de ses datacenters, OVHcloud a inauguré cette semaine à Strasbourg un nouveau bâtiment SB5 de 1700 m2, sur fond de cloud souverain. Destiné à remettre en production la même quantité de serveurs que celle disparue dans les flammes – mais pas encore à étendre la flotte au-delà – ce datacenter se veut le nec plus ultra en matière de sécurité et d’économie d’énergie.

Surtout marquée par la présence des ministres Bruno Le Maire (économie & finances) et Jean-Noël Barrot (transition numérique), ainsi que du commissaire européen Thierry Breton (marché intérieur), cette inauguration marque symboliquement une nouvelle étape politique dans la stratégie de souveraineté numérique en Europe. À cette occasion, Michel Paulin, le directeur général d’OVHcloud, a d’ailleurs été officiellement nommé président d’un nouveau comité stratégique de filière (CSF) « Numérique de confiance » censé encourager l’offre française face aux solutions américaines aujourd’hui largement dominantes.

« Nous ne sommes pas protectionnistes, mais nous voulons protéger un certain nombre de données qui sont sensibles (...) Je ne vois pas au nom de quoi, au nom de qui, nous accepterions que la justice américaine puisse se saisir de données qui sont essentielles pour notre souveraineté et pour notre indépendance », a expliqué dans son discours le ministre de l’économie, en référence au CLOUD Act américain.

Un contexte de souveraineté numérique

Cette loi extraterritoriale donne le droit à n’importe qui aux USA de faire une demande en justice pour lire les données – en général de ses concurrents – qui sont hébergées par des entreprises américaines. En l’occurrence par les géants du cloud public Amazon AWS, Microsoft Azure et Google GCP. Et, ce, quel que soit l’endroit dans le monde où ces données sont hébergées. Faire héberger ces données chez leurs concurrents français OVHcloud, Scaleway, ou encore 3DS Outscale, permettrait d’éviter cet écueil.

La volonté de la France est d’autant plus marquée dans ce contexte que les trois hébergeurs français font partie des plus importants fournisseurs européens de cloud public. Eux mis à part, les hébergeurs de l’UE privilégient dans l’ensemble des offres de cloud privé. Celles-ci sont beaucoup plus chères, car elles reposent sur des machines physiques dédiées à un client et sécurisées pour lui seul. La thèse qui domine en Europe est que, dès lors qu’il y a besoin de mettre à l’abri des données critiques, il suffit de passer par des clouds privés européens pour se protéger des lois extraterritoriales américaines.

Pour autant, cette solution ne fonctionne pas techniquement. Les entreprises ayant un mix de données critiques et non critiques, elles ont besoin de cloud hybride. Or, le cloud hybride n’est possible que si la partie privée et la partie publique partagent la même technologie. Les trois hébergeurs français proposent les deux types de clouds. Les offres privées d’OVHcloud et de 3DS Outscale ont même reçu du gouvernement le double label SecNumCloud/Cloud de confiance, ce qui les valide, par extension, comme des fournisseurs de cloud hybride pour les entreprises les plus critiques (OIV, administrations...).

« On a vu naître en France, sous l’impulsion des Américains Azure et de GCP, les projets Bleu et S3nse. Ils consistent à prendre la technologie de la partie publique et à la confier à un hébergeur local pour qu’il en fasse un cloud privé, de droit français, mais compatible avec un cloud américain. Cependant, ce ne sont que des projets. En attendant qu’ils voient le jour – s’ils voient le jour - c’est un message qu’envoient Azure et GCP aux entreprises pour leur dire d’aller chez eux dès aujourd’hui », commente Quentin Adam, président de l’association Open Internet Project qui milite pour utiliser des technologies locales.

« L’argumentaire des clouds américains est qu’ils auraient plus de fonctions logicielles à offrir. Voilà où est le piège : il faut arrêter de voir le cloud sous le seul prisme de l’infrastructure et de la nationalité de son propriétaire. La réalité est que le cloud est in fine juste un nouveau moyen de vendre des logiciels. Et en passant par un cloud américain, vous mettrez vos données critiques, personnelles et industrielles sous la tutelle de tel moteur d’IA ou de tel traitement décisionnel de droit américain », ajoute-t-il, en affirmant que, paradoxalement, nombre de technologies du numérique ont été développées par des Français pour les Américains.

« Il ne faut pas laisser croire que les fonctions logicielles les plus intéressantes sont seulement chez les Américains. Chez OVHcloud, nous avons plus de 80 services, qui vont de la virtualisation au Machine Learning, en passant par les containers et les bases de données décisionnelles. L’offre locale est pleinement satisfaisante et nous l’améliorons sans cesse », enchérit Michel Paulin. L’idée sous-jacente d’OVHcloud est qu’il héberge des éditeurs de logiciels européens.

Reste à convaincre le reste de l’UE qu’il faudrait privilégier des acteurs comme OVHcloud au détriment d’AWS, Azure et GCP. En Allemagne, par exemple, le label C5, équivalent local du label SecNumCloud français, se satisfait d’un datacenter implanté sur le sol européen, qu’importe si l’hébergeur qui le possède est américain.

« Il faut juste savoir ce que l'Europe veut devenir. Est-ce qu'elle veut être un continent souverain ou pas ? », s’agace Bruno Le Maire.

« Il n'est pas question que la justice américaine puisse, au nom du droit américain, récupérer des données qui nous appartiennent sur le sol européen. C'est la position de la France, c'est la position d'un certain nombre de partenaires européens. D'autres sont plus conciliants avec ce principe de souveraineté. Mais je crois que, depuis quelques mois, notamment à la faveur de la crise que nous connaissons actuellement énergétique et économique, chacun est en train de prendre conscience en Europe, en Allemagne et ailleurs, de l'importance du principe de souveraineté », dit le ministre de l’Économie.

« Nous avons eu ces mêmes discussions en amont du DSA et du DMA [Digital Service Act et Digital Market Act, respectivement lois européennes sur les services et les marchés numériques, NDR]. Et finalement, à l’unanimité des États membres, nous avons fini par trancher. Donc, j’ai bon espoir que ce que nous avons fait pour l’espace informationnel, et notamment en ce qui concerne nos données personnelles, nous le fassions évidemment pour les données industrielles », ajoute Thierry Breton.