« Nous refusons les lois extraterritoriales américaines, donc nous nous protégeons »
Lors de l’annonce du label « Cloud de confiance », le ministre de l’Économie et des Finances Bruno Le Maire a réaffirmé les dangers du droit américain. L’Allemagne pourrait lancer un label similaire « dans les mois qui viennent ».
Pour ne pas retomber dans les travers de Numergy et de Cloudwatt, la nouvelle « stratégie nationale Cloud » du gouvernement a joué la carte de la coopération. Y compris avec les hyperscalers.
Cette stratégie cloud est l’aboutissement d’un travail de deux ans, a expliqué le ministre de l’Économie et des Finances Bruno Le Maire lors de la présentation d’un nouveau label (« Cloud de confiance ») et d’une nouvelle doctrine (« Cloud au centre »).
« [C’est] un travail interministériel intense qui débouche aujourd’hui. Si les choses ont pris autant de temps, c’est tout simplement que le sujet le mérite. Nous avons voulu faire les choses sérieusement, en tenant compte des attentes des entreprises et des réalités technologiques. Et puis aussi, reconnaissons-le, des échecs passés ».
« Une œuvre collective »
Pour le ministre, ces échecs venaient en partie d’une forme de déconnexion avec les réalités techniques et les attentes des clients.
Bruno Le MaireMinistre de l’Économie et des Finances
Mais l’État a appris, assure pour sa part le secrétaire d’État chargé de la transition numérique et de la communication électronique, Cédric O. « Il y a eu une discussion avec l’administration française et avec les clients français […] Mais également avec l’ensemble des offreurs de solutions, qu’ils soient français, européens ou américains », insiste-t-il. « Nous avons consulté tout le monde ».
« La stratégie pour le cloud est une œuvre collective », renchérit-il sur LinkedIn, où il rappelle l’implication de la Direction interministérielle du numérique (DINUM), de la Direction Générale des Entreprises (DGE), de l’ANSSI, mais aussi du MEDEF et du Cigref.
Quant au label « Cloud de confiance », il est aussi le fruit d’une proposition du Comité Stratégique de la Filière Industries de Sécurité, révèle son président Marc Darmon, par ailleurs Directeur Général Adjoint de Thalès.
Refus de l’extraterritorialité du droit étranger
Il aura donc fallu deux années pour, cette fois-ci, tenter de ne négliger personne. « Ce cloud de confiance est stratégique pour nous tous. Tout simplement parce que les données sont stratégiques. Et qu’une grande partie de la valeur économique se fera au 21e siècle avec ces données », analyse Bruno Le Maire. « Nous nous sommes donné les moyens de protéger nos entreprises [pendant la crise] notamment en renforçant le décret sur les investissements étrangers en France. Nous nous donnons aujourd’hui les moyens de protéger nos données les plus stratégiques », tranche-t-il.
Le ministre de l’Économie et des Finances a ensuite réitéré son refus de voir des acteurs français être soumis à l’extraterritorialité d’un droit étranger – et donc à une puissance externe, fût-elle « amie ».
Il avait déjà publiquement dénoncé le CLOUD Act lors d’une audition au Sénat en septembre 2019, en balayant au passage l’argument qui en fait une loi purement pénale. « Des données sensibles peuvent être stockées chez des opérateurs américains. […] Nous voulons que l’Administration américaine ne puisse pas [les] récupérer sans que l’entreprise soit avertie et sans un minimum de contrôles. Or, dans le CLOUD Act, n’importe quelle agence américaine – je ne parle pas de la justice – peut le faire ».
« Une protection maximale, cela veut dire une protection technique, mais aussi une protection juridique », rappelle-t-il cette semaine. « Il se trouve que l’un de nos grands partenaires politiques et économiques – les États-Unis – a mis en place une loi extraterritoriale qui permet de récupérer les données. […] Avec le cloud de confiance, nous garantissons une indépendance totale par rapport [à ces] lois extraterritoriales américaines ».
Pour bénéficier de ce nouveau label – et pouvoir traiter les données sensibles des administrations publiques – « les serveurs doivent être opérés en France, et les entreprises qui [gèrent] et vendent ce cloud doivent être européennes et possédées par des Européens », résume Bruno Le Maire. « Ce sont les deux garanties juridiques que nous donnons en matière d’indépendance par rapport aux lois extraterritoriales américaines ».
Cette exigence implique un changement de modèle économique pour certains hyperscalers qui devront accepter de vendre leurs technologies sous forme de licences s’ils veulent être certifiés.
« Vous savez que nous refusons ces lois extraterritoriales. Donc nous nous donnons les moyens de nous protéger juridiquement », tranche le ministre.
Geoffroy Roux de BézieuxPrésident du MEDEF
Cette vision est soutenue par le MEDEF. « La souveraineté ce n’est pas le protectionnisme ni l’autarcie. C’est la réciprocité et la juste mesure de notre indépendance et de notre autonomie », se fait écho Geoffroy Roux de Bézieux, président de l’organisation patronale.
« La crise sanitaire a montré très clairement un ensemble de failles dans cette souveraineté numérique, et notamment du côté des PME qui se sont numérisées massivement et en urgence. On a bien vu que l’utilisation massive de solutions non européennes posait beaucoup de questions sur la protection des données des entreprises et l’exposition aux risques qui en résultait », regrette-t-il. « C’est pour cela que nous soutenons très fortement l’initiative ».
Une articulation avec GAIA-X
L’initiative s’articule aussi avec GAIA-X, le projet de cloud souverain européen que Bruno Le Maire soutient également très fortement.
Bruno Le MaireMinistre de l’Économie et des Finances
« La cohérence avec les initiatives européennes est absolument essentielle », assure le ministre de l’Économie et des Finances qui avait annoncé officiellement le lancement de GAIA-X – un projet privé – avec son homologue allemand Peter Altmayer, en octobre 2020.
« L’offre de cloud de confiance s’inscrit totalement dans la stratégie européenne de GAIA-X » resitue Bruno Le Maire. « Elle vise justement à des développements futurs dans ce cadre ».
Le ministre assure par ailleurs que la France travaille « étroitement avec nos partenaires allemands sur ce sujet. Et je suis convaincu [qu’ils] prendront des décisions similaires en matière de cloud de confiance dans les prochains mois ».
Pour approfondir sur Applications et services
-
Lancement des travaux du CSF « Solutions numériques de confiance »
-
L’écosystème cyber français fait un point d’étape avant les grandes échéances de 2024
-
EU Sovereign Cloud : Oracle souverain en Europe (mais pas en France)
-
« Nous pouvons fournir le même niveau de service que n’importe quelle solution américaine »