Projets de Cloud souverain : quelles leçons pour notre stratégie numérique ?
Proposer une analyse systémique des politiques publiques françaises, et en tirer des enseignements afin de profiter du nouvel élan européen autour de la gouvernance des données et des services numériques : c’est l’ambition d’un rapport de recherche réalisé par Pierre Noro. En voici des extraits actualisés en collaboration avec l’auteur, qui nous a également accordé un entretien exclusif sur les pistes d’amélioration actuelles et à venir.
Le recours aux services de Cloud computing est essentiel à nos économies mais pose un problème de souveraineté numérique qui s’incarne dans trois dimensions complémentaires et interdépendantes : le droit, la sécurité et l’économie. Un Cloud souverain devrait donc permettre à un utilisateur d’accéder de manière sécurisée et continue à des services dans le respect du droit qui lui est applicable, notamment en matière de protection des données, en préservant son indépendance. À l’échelle d’un État, s’ajoute à ces enjeux juridiques et géostratégiques l’impératif de développement d’une industrie capable de fournir de tels services, de maintenir leur accessibilité et d’en développer de nouveaux.
En France, les projets de Cloud souverain se sont principalement focalisés sur cette dimension économique tout en donnant lieu à des investissements sous-dimensionnés. Des discours idéologiques peu ancrés dans la réalité technique et industrielle du secteur ont généré une stratégie incohérente, déracinée de l’écosystème d’innovation national. L’absence de synchronisation entre les efforts de normalisation, de réglementation et la stratégie industrielle n’ont pas permis aux nouvelles solutions de Cloud souverain de répondre aux besoins émergents et déstructurés du secteur public. Ce manque de cohérence entre les discours en matière de Cloud souverain et l’orientation de la commande publique persiste encore aujourd’hui.
La European Strategy for Data, qui prévoit des investissements massifs pour des infrastructures de Cloud européennes, et le projet de Data Governance Act, qui entend structurer les pratiques de partage de données – notamment dans le secteur public –, impriment une dynamique propice à l’élaboration de nouvelles initiatives de Cloud souverain. Comme le montre l’initiative Gaia-X, la coopération entre les entreprises et institutions publiques issues de plusieurs États-membres autour de valeurs fondamentales pour la souveraineté numérique (protection des données, transparence, utilisation de technologies open source, interopérabilité…) a le potentiel de générer de nombreuses opportunités économiques et de renforcer la compétitivité des acteurs européens face aux géants américains et chinois. Le succès de ces projets dépendra de leur capacité à construire une infrastructure commune répondant aux besoins des économies européennes tout en restant fidèle à ces valeurs, y compris dans leur gouvernance.
Ces nouvelles initiatives de Cloud souverain doivent tirer les enseignements des précédents échecs et s’appuyer sur des politiques industrielles et des investissements cohérents, favorisant le développement d’écosystèmes d’innovation où les entreprises peuvent collaborer, mutualiser des ressources et interfacer leurs solutions pour mieux répondre à la croissante demande européenne. À cet égard, la nouvelle stratégie annoncée en mai 2021 pose question. La récente doctrine « Cloud au centre » et le label « Cloud de confiance » ont le potentiel d’accélérer l’adoption des services Cloud dans le secteur public et dans l’économie française en général, mais la création d’un label permettant le recours à des technologies logicielles extra-européennes, licenciées par des fournisseurs de services européens, est insatisfaisante en matière de souveraineté et menace de créer une situation de dépendance économique dangereuse, pouvant aboutir à une perte de capacité industrielle et technologique pour l’écosystème français sur le long terme.
Ce réalignement (entre l’action publique et la stratégie française du Cloud souverain avec le nouvel élan européen, N.D.L.R.) peut être opéré en procédant à :
→ La mise en place d’un label « Cloud souverain » réservé aux solutions Cloud répondant aux critères du référentiel SecNumCloud, portées par des entreprises européennes, reposant sur des infrastructures logicielles propriétaires européennes ou open source. Ce label accessible aux offres d’entreprises déjà certifiées « Cloud de confiance » et répondant aux critères d’éligibilité serait requis pour tout système au sein du secteur public manipulant des données sensibles, tel que défini par la doctrine « Cloud au centre », ainsi que pour les systèmes sensibles d’organismes publics et privés identifiés par l’ANSSI 1 et listés Opérateurs de services essentiels (OSE) et Opérateurs d’importance vitale (OIV).
→ La mise en place d’un comité stratégique pour les usages du Cloud et des données dans le secteur public afin d’identifier les systèmes informatiques impliquant des données sensibles et d’évaluer, au cas par cas, les nouveaux cas d’usage requérant l’utilisation d’une offre de Cloud interne, labellisée « Cloud de confiance » et surtout « Cloud souverain », dans la continuité de la doctrine « Cloud au centre » et de celle présentée par la circulaire du 8 novembre 2018 l’ayant précédée. Ce comité stratégique doit rassembler des expertises techniques, juridiques et opérationnelles, avec par exemple, la participation de la DINUM, de la CNIL et de l’ANSSI.
→ L’élaboration de nouvelles directives en matière de commande publique concernant les fournisseurs de services Cloud pour l’État ayant pour but de favoriser la concurrence et la compétitivité des acteurs français et européens. Afin de réaligner les ambitions en matière de Cloud souverain, les besoins réels du secteur public et les solutions disponibles sur le marché européen, il est nécessaire de faciliter le recours des acteurs publics (des collectivités territoriales aux ministères et institutions nationales) aux offres des acteurs nationaux et européens, quel que soit leur taille, répondant aux besoins identifiés. Le cahier des clauses administratives générales des marchés publics de techniques de l’information et de la communication (CCAG-IT), qui a bénéficié d’une mise à jour du 30 mars 2021, pourrait inclure davantage de clauses favorisant la transparence vis-à-vis de la localisation des données, le recours obligatoire à des solutions s’inscrivant dans le référentiel SecNumCloud pour des services publics essentiels identifiés par la doctrine ou le comité stratégique susmentionnés, ainsi que des dispositions permettant de diminuer l’emprise des entreprises dominant le secteur (lock-in effect 2) en renforçant, par exemple, les exigences de transparence des contrats et des cahiers des charges, en limitant les durées maximum des marchés et surtout en favorisant l’interopérabilité et la portabilité des données (seules les « données indispensables à l’exécution d’une mission de service public » sont pour l’instant couvertes par une clause de réutilisation).
→ La production d’un rapport détaillé sur les besoins de l’État français en matière de Cloud souverain, et plus particulièrement sur les besoins émergents (edge computing, traitement du Big Data…).
→ La mise en œuvre d’une politique d’investissement plus ambitieuse, articulée aux financements européens, dans les entreprises nationales et européennes à même de répondre à ces besoins. Cette politique d’investissement doit permettre à la fois la formation de nouveaux talents, la mise en place de projets de recherche et de développement à fort potentiel, notamment dans le développement de nouvelles technologies Cloud (infrastructures logicielles, architecture de Cloud décentralisées et chiffrées de bout-en-bout, edge computing…) et la construction d’infrastructures de dernière génération sur le territoire national et européen.
Accédez à l’intégralité du rapport : « Les enseignements des projets de Cloud souverain pour la stratégie numérique de l’État français », nov. 2021, www.sciencespo.fr
