EU Sovereign Cloud : Oracle souverain en Europe (mais pas en France)
En plein débat entre Européens sur la définition de la « souveraineté numérique », Oracle sort un cloud qui répond aux exigences européennes actuelles, mais pas à celles de SecNumCloud. Toutefois, Oracle a d’autres options pour cibler le secteur public français.
Souveraine, pas souveraine ? La nouvelle offre « EU Sovereign Cloud » annoncée par Oracle ce mardi 20 juin 2023 pose, une nouvelle fois, la question de la définition de « la souveraineté de l’IT ». Il existe en effet des conceptions bien différentes, et parfois même contraires, entre l’Union européenne et certains pays. En particulier avec la France et sa vision stricte de la souveraineté.
Ces divergences, au cœur des négociations sur le futur EUCS, permettent à des hyperscalers de s’afficher « Sovereign » et « totalement compliant avec les exigences européennes » – à juste titre – sans se plier à l’exigence des autorités françaises (SecNumCloud) d’être totalement immun à l’extra-territorialité d’un droit non européen.
Cette contradiction se retrouve dans la manière de voir Oracle EU Sovereign Cloud.
Qu’est-ce qu’Oracle Sovereign Cloud ?
EU Sovereign Cloud est un cloud qui cible le secteur public, entièrement localisé en Europe, dans des datacenters en Espagne et en Allemagne (Madrid et Francfort). Il propose les mêmes fonctionnalités qu’OCI, pour le même prix, mais en étant totalement séparé de l’infrastructure publique mondiale d’Oracle, avec un support 100 % européen, le tout chapeauté par une « nouvelle entité de juridiction européenne ».
Et c’est là que le bât blesse (pour la France en tout cas).
Cette entité – encore floue – reste une filiale d’Oracle. Il ne s’agit pas d’une joint-venture à la Bleu ou à la S3NS. Elle est donc soumise de facto à FISA, au Patriot ACT et autres CLOUD ACT ; autant de leviers juridiques qui peuvent être instrumentalisés et contre lesquels le ministre de l’Économie, des Finances et de la Souveraineté industrielle et numérique, Bruno Le Maire invite à se prémunir.
EU Sovereign Cloud ne répond en tout cas pas aux critères français « très spéciaux » de SecNumCloud (qui pour mémoire, impose que l’entité juridique gérant le cloud soit de droit européen et soit possédée à 61 % par des capitaux européens). Ce n’était par ailleurs pas son but – répondent les porte-parole de l’éditeur.
Il en était de même pour Cloud@Customer, l’appliance à installer dans le datacenter d’un client. Présentée comme souveraine pour certains pays, elle ne l’est pas au sens français, le produit – même physiquement localisé derrière les murs d’une entreprise – étant géré par Oracle.
Les autres cordes souveraines de l’arc d’Oracle
Reste qu’avec sa forte tradition de sécurité et de confidentialité, Oracle a d’autres cordes à son arc souverain.
L’éditeur a par exemple mis en avant, dans la foulée de son annonce, un partenariat avec Thalès qui permet désormais aux clients d’utiliser le KMS du Français pour gérer eux-mêmes leurs clefs de chiffrement. Une sécurité qui réduit fortement le risque d’exploitation par une entité tierce des données mises dans EU Sovereign Cloud.
Oracle ne ferme par ailleurs pas la porte à des partenariats « souverains » dans lesquels il n’est « que » apporteur de technologie. « C’est possible. À condition qu’il y ait du sens à le faire pour un cas d’usage précis. Nous l’avons d’ailleurs déjà fait », assure Richard Smith, EVP Technology EMEA d’Oracle, sans citer le ou les cas précis. Cette possibilité est d’autant plus réaliste que lors de son Cloud World 2022, Oracle a dévoilé Alloy, un cloud en « marque blanche » déployable sur une autre infrastructure que la sienne.