typomaniac - Fotolia
« Nous pouvons fournir le même niveau de service que n’importe quelle solution américaine »
Le CEO de Oodrive, Stanislas de Rémur défend une conception de l’indépendance numérique plus proactive, et plus contraignante pour les acteurs extra-européens, dans un contexte où les États-Unis useraient de pressions géopolitiques pour contrer la position française sur le futur EUCS.
ENTRETIEN – European Cybersecurity Certification Scheme for Cloud Services (alias EUCS, le « SecNumCloud européen »), Health Data Hub français, Small Business Act européen pour le numérique, Comité stratégique de filière. Quatre sujets « chauds », pour ne pas dire brûlants, qui mélangent IT et politique (voire géopolitique).
Quatre sujets abordés dans cet entretien avec Stanislas de Rémur, le co-fondateur d’Oodrive (service de partage sécurisé de données sensibles), qui appelle à une indépendance numérique plus proactive et à une défense plus volontaire des intérêts stratégiques européens de la part des dirigeants politiques.
EUCS niveau 1 or not EUCS niveau 1 ?
LeMagIT : Le futur EUCS semble être à un tournant. Vous suivez ce sujet de très près. Quels sont les chemins que pourrait prendre la future certification ?
Stanislas de Rémur : Actuellement, il existe deux options possibles en ce qui concerne les qualifications de l’EUCS. La première option implique la mise en place de trois niveaux de qualification, dont le « niveau 1 » serait réservé aux organisations qui ne seraient en aucun cas soumises à des lois extraterritoriales.
Si cette première option n’est pas adoptée, le secteur du cloud aura moins de protections et la réglementation restera ouverte à toutes les entreprises non européennes et donc aux acteurs qui y sont liés.
Ces deux options reflètent deux visions politiques différentes, avec des pays comme la France en faveur des trois niveaux de qualification, tandis que d’autres pays comme l’Allemagne et la Pologne y sont plutôt opposés.
LeMagIT : Comment expliquez-vous cette position de l’Allemagne et des pays à l’est de l’Europe pour une forme de souveraineté « au rabais » ?
Stanislas de Rémur : Les hyperscalers américains font forte pression pour empêcher l’instauration d’un niveau 1.
Initialement, l’Allemagne partageait le même point de vue que la France. Cependant, le lobbying exercé sur certains industriels a conduit à un changement de position. En effet, les États-Unis auraient fait savoir à ces industriels que s’ils soutenaient le niveau 1, il y aurait des mesures de rétorsion.
LeMagIT : On est bien au-delà de l’IT. C’est une guerre économique et géopolitique que vous décrivez là ?
Stanislas de RémurOodrive
Stanislas de Rémur : Le positionnement politique est au cœur de cette problématique. Soit on choisit de créer une nouvelle ère où le rapport de force entre l’Europe, les États-Unis et la Chine serait équilibré. Soit on maintient le statu quo et on continue à laisser le marché européen ouvert comme aujourd’hui, y compris pour les données sensibles telles que les données de santé.
Actuellement, l’ENISA, qui est chargée de concevoir l’EUCS, est en attente d’un consensus politique sur le niveau 1. Bien qu’il n’y ait pas de date précise pour sa sortie, il est espéré que la décision sera prise en 2023. Cependant, il est également possible qu’il n’y ait pas de décision prise du tout.
Alors que la question de l’indépendance numérique européenne est particulièrement préoccupante et que le gouvernement français a lancé son programme « cloud de confiance », il serait incohérent que ces nouvelles normes standardisées ne protègent finalement pas davantage l’Europe.
LeMagIT : D’après vous, quelle est la probabilité que la position française sur l’EUCS l’emporte ?
Stanislas de Rémur : Il y a un an, la position française était très rassurante. Aujourd’hui, la situation semble plus mitigée. Nous sommes alignés derrière le comité stratégique de filière et son représentant Michel Paulin, DG d’OVH Cloud. Nous nous efforçons tous de faire en sorte que la position française soit mise en avant.
LeMagIT : Mais la France pourra, quoi qu’il arrive, imposer des exigences supplémentaires, par exemple aux OIV, si l’EUCS est moins strict que SecNumCloud ?
Stanislas de Rémur : Absolument. Je suis convaincu que si le statu quo perdure, cela se produira non seulement en France, mais également dans d’autres pays européens.
Toutefois, je pense que c’est le moment de démontrer que l’Europe sait s’unir, être leader et pionnière en matière de protection des données face à ses concurrents internationaux, tout comme elle a su le faire pour d’autres industries.
Rénovation du HDS
LeMagIT : Dans une lettre ouverte, vous abordez un autre sujet « chaud », avec des points communs avec EUCS sur les données sensibles : celui du label HDS (Hébergeur de Données de Santé). Pourquoi maintenant ?
Stanislas de RémurOodrive
Stanislas de Rémur : Le référentiel de la certification HDS est en cours de mise à jour, pour la première fois depuis de nombreuses années. Avec la participation d’Outscale, OVH et d’autres entreprises du secteur, nous avons rédigé une lettre ouverte expliquant qu’il est logique d’exiger un niveau de protection équivalent à celui de SecNumCloud pour les données de santé, qui sont parmi les plus sensibles.
Nous (N.D.R. : les signataires de la tribune) nous battons pour que le label HDS soit réservé aux structures non soumises à des lois extraterritoriales, afin de protéger efficacement les données des citoyens européens. En faisant cela, nous montrons également aux décideurs politiques qu’il existe des entreprises européennes avec des solutions alternatives crédibles, prêtes à travailler sur ces données, et que ce ne sont pas seulement des hébergeurs !
Nous sommes capables de fournir le même niveau de service que n’importe quelle solution américaine ou chinoise. Toutefois, notre objectif n’est pas de travailler contre les Chinois ou sans les Américains. Nous parlons plutôt de coopération et de segmentation des données, en travaillant avec les Américains et les Chinois sur une partie du cloud, tout en offrant des solutions européennes pour l’autre partie, plus sensible.
LeMagIT : Comment jugez-vous l’action du ministre délégué chargé de la transition numérique sur ces sujets d’EUCS et de HDS ? Cédric O ne semblait pas avoir la même stratégie.
Stanislas de Rémur : La position de Cédric O était très tranchée en ce qui concerne l’avenir européen de la Tech. J’ai toujours eu des discussions animées avec lui à ce sujet.
Stanislas de RémurOodrive
Je suis personnellement convaincu que nous devons continuer à lutter et que nous sommes capables de faire émerger des leaders forts dans une filière européenne, peut-être dans cinq ans. Tout n’est pas perdu, mais cela nécessite la coopération des acteurs, l’alignement des institutions et une commande publique mieux orientée.
Heureusement, la tendance est en train de s’inverser et nos décideurs politiques ont dévoilé une nouvelle stratégie. Bruno Le Maire milite sans ambiguïté pour le niveau 1 et pour qu’il soit réservé à des sociétés européennes.
J’ai aussi toute confiance en Jean-Noël Barrot, fervent défenseur de l’indépendance numérique française et européenne.
Lancement du Comité stratégique de filière.
LeMagIT : Troisième sujet « chaud » : le comité stratégique de filière (CSF). Quel est son objectif ?
Stanislas de Rémur : Oui, le Comité Stratégique de Filière (CSF) a été officiellement annoncé en septembre dernier lors de l’inauguration du datacenter d’OVH, en présence de personnalités telles que Bruno Lemaire, Philippe Latombe, Thierry Breton et Jean-Noël Barrot. Cette présence témoigne de la volonté de l’État de promouvoir un « numérique de confiance » à travers divers domaines tels que le cloud, le logiciel libre, et bien d’autres.
Stanislas de RémurOodrive
Le nouveau représentant du CSF, Michel Paulin, a clairement indiqué qu’il consacrait son temps personnel à cette initiative pour s’assurer que les propositions formulées au gouvernement puissent être mises en œuvre.
La création du CSF est cruciale pour faire passer le « numérique de confiance » de simple concept à une réalité tangible. Le Comité est actuellement en phase de constitution, avec une dizaine de groupes de travail. Des annonces importantes sont attendues dans les prochaines semaines. Je pense que cela sera bénéfique pour toutes les entreprises privées et publiques, ainsi que pour l’Europe dans son ensemble.
Small Business Act européen
LeMagIT : Sur l’Europe justement, vous appelez une sorte de « Small Business Act » pour favoriser l’émergence d’acteurs numériques locaux grâce à la commande publique. Pourquoi ?
Stanislas de Rémur : Il est regrettable de constater que 80 % du marché du cloud en Europe est dominé par huit entreprises non européennes, dont six américaines et deux chinoises. Ce problème est en partie dû à la taille modeste de nos entreprises de cloud. La première entreprise européenne dans ce domaine, OVH, ne représente pas plus de 1 % du marché mondial, ce qui est minuscule par rapport à AWS ou Azure. Cette situation ne peut pas être tolérée et il est impératif de faire émerger de véritables leaders mondiaux dans ce domaine.
Pour y parvenir, il n’est plus nécessaire d’uniquement subventionner ces entreprises, mais plutôt de leur offrir des commandes publiques. En effet, l’achat public peut aider à renforcer les entreprises européennes et à concurrencer durablement les acteurs américains et chinois. Aux États-Unis, de nombreuses organisations, y compris dans des secteurs autres que le numérique (comme SpaceX), ont été développées grâce à la commande publique. Les Américains sont très doués pour cela et soutiennent les leaders sectoriels en achetant leurs solutions et en les favorisant. Sur certaines parties du marché, aucun non-Américain ne peut entrer. Les Européens pourraient s’inspirer de cette approche pour renforcer leurs propres entreprises et stimuler l’innovation.
LeMagIT : Pourquoi la France et l’Europe ne le font-elles pas ?
Stanislas de RémurOodrive
Stanislas de Rémur : En Europe, la réglementation en matière de concurrence est plus complexe, notamment pour restreindre la concurrence à des entreprises européennes, surtout dans des domaines qui ne sont pas encore considérés comme « stratégiques ».
Chez Oodrive, nous plaidons pour un rééquilibrage du marché, sans exclure définitivement les géants du cloud qui ont beaucoup contribué au développement du domaine. Nous visons également à établir la confiance dans le traitement des données, en particulier pour les données les plus sensibles.
LeMagIT : Mais pourquoi les Américains peuvent-ils le faire et pas l’Europe ?
Stanislas de Rémur : En Europe, il serait nécessaire d’avoir l’unanimité au Parlement pour mettre en place un Small Business Act. Personnellement, je doute que cela puisse se concrétiser. Cependant, il est possible d’aller dans cette direction en utilisant des référentiels de certifications et qualifications plus stricts qui intègrent des critères ou des clauses d’immunité aux lois extraterritoriales. Il existe déjà des appels d’offres exigeant des solutions qualifiées SecNumCloud, par exemple.
Il serait envisageable d’avoir des appels d’offres de grande envergure, tel que celui d’un Health Data Hub, qui suivent cette approche. L’idéal serait que tous les marchés liés ou impliquant des données sensibles des citoyens ou des entreprises adoptent cette démarche.
Un marché de plus en plus sensible à l’indépendance numérique
LeMagIT : Que dîtes-vous à ceux qui raillent cette souveraineté et qui n’y voient que du protectionnisme ?
Stanislas de Rémur : À mon avis, il est crucial que l’Europe renforce son « indépendance » numérique. Alors que les Chinois, les Américains et les Russes agissent avec détermination pour se doter d’une infrastructure cloud indépendante et soutenir l’émergence de leaders forts dans leur propre pays, l’Europe tergiverse encore.
Stanislas de RémurOodrive
Je ne suis pas en train de dire qu’il faut de la commande publique sur tous les sujets, mais elle devrait être mise en place au moins pour les données sensibles, notamment les données de santé. En fait, j’ai entendu dire que certains membres du gouvernement envisagent de retirer le Health Data Hub à Microsoft, de le soustraire aux lois extraterritoriales et de le confier à une société européenne ou française comme OVH ou une autre. Si cela se produisait, ce serait un message extrêmement puissant.
LeMagIT : Et du côté du marché : quelle est la sensibilité des entreprises que vous croisez sur ces problématiques ? Les grands groupes français n’hésitent pas à migrer de plus en plus de leur IT sur des hyperscalers. N’avez-vous pas l’impression de prêcher dans le désert ?
Stanislas de Rémur : Non, ce n’est pas mon impression ni celle d’Oodrive. Au fil des années, il y a eu un vrai basculement, une évolution notable dans la sensibilisation des entreprises à la sécurité des données. Bien sûr, cela ne signifie pas que tout le marché est parfaitement conscient des enjeux, mais nous avons identifié une prise de conscience croissante chez de nombreuses entreprises et OIV dans les secteurs de l’énergie, de la défense, de la santé, du luxe, des banques et des assurances.
Nous discutons régulièrement avec nos clients et prospects qui sont de plus en plus prêts à changer leurs pratiques en matière de sécurité des données. Cependant, comme cela se produit dans toutes les industries, il faut souvent une commande publique significative pour inciter le secteur privé à s’engager à son tour. En résumé, les signes sont très encourageants.
Pour approfondir sur Réglementations et Souveraineté
-
EUCS : la CNIL défend la réintroduction des critères d’immunité aux lois extraterritoriales
-
Espionnage économique par l’IT : les États-Unis renforcent FISA, l’Europe réagira-t-elle ?
-
Les éditeurs français de plus en plus SaaS et agnostiques
-
European Sovereign Cloud : AWS lance (lui aussi) son cloud à l’européenne