Les responsables politiques de l’UE devraient avoir le « courage et l’honnêteté intellectuelle » de mettre en place un cloud souverain ainsi que de réguler les hébergeurs de services cloud américains dans le cadre de la règlementation antitrust de l’UE sur les marchés numériques, a déclaré Michel Paulin, directeur général du principal hébergeur de services cloud français OVHcloud, lors d’un entretien avec Euractiv.
Le secteur du cloud, une composante cruciale de l’économie numérique pour le stockage et la manipulation des données, est actuellement règlementé par des cadres législatifs qui se chevauchent, notamment entre les États-Unis et l’UE. De là découlent des questionnements majeurs de souveraineté numérique et de cybersécurité.
« L’économie des données est aussi importante que le secteur de l’agriculture ou que l’énergie », a expliqué M. Paulin, avant d’affirmer qu’« aujourd’hui, l’accès aux données et la manipulation des données donnent un pouvoir stratégique ».
OVHcloud, premier hébergeur de services cloud en France, est un acteur de premier plan, appelant à une souveraineté numérique renforcée en Europe.
« Aujourd’hui ce qu’indique Amazon en parlant de cloud souverain européen est de la sémantique illusionniste », poursuit-il. Du point de vue de M. Paulin, il ne faut pas confier de données stratégiques européennes à des entreprises américaines comme Amazon, Microsoft ou Google, car les lois américaines pourraient les contraindre à coopérer et transférer des données aux agences de sécurité américaines.
Le défi de la souveraineté
OVHcloud est une entreprise européenne. En tant que telle, elle est « immunisée aux lois extraterritoriales américaines » du FISA et du Cloud Act, qui permettent aux agences de sécurité américaines d’accéder aux données personnelles stockées par des entreprises américaines, sans tenir compte du lieu géographique où elles sont stockées, a déclaré M. Paulin.
Cependant, « OVHcloud est soumis à la loi locale et pourrait recevoir des demandes des administrations américaines sur les données stockées aux États-Unis. »
OVHcloud a été l’un des plus fervents défenseurs de l’introduction de critères de souveraineté dans la certification de l’UE en cours de discussion, qui vise à harmoniser au niveau européen les certifications nationales de sécurité du cloud, le « EU Cybersecurity Certification Scheme for Cloud Services » (EUCS).
M. Paulin souhaite intégrer le principe de transparence dans les critères de sécurité « pour que les utilisateurs du cloud sachent qui accède à leurs données et comment ».
Ces critères de souveraineté reproduiraient au niveau de l’UE le système français SecNumCloud, et excluraient les hébergeurs de services cloud américains de pans entiers du marché européen. Toutefois, ce projet s’est heurté à une forte opposition de la part d’entreprises et de plusieurs pays de l’UE, dont l’Allemagne, qui considèrent cette mesure comme étant protectionniste.
« J’espère que l’Europe et les Allemands auront le courage et l’honnêteté intellectuelle d’inclure ce principe au service des clients, du marché, de l’innovation. Sinon, nous risquons d’un autre scandale à la Edward Snowden dans le futur proche », a ajouté M. Paulin.
Les limites du DMA
En septembre, la Commission européenne a désigné six entreprises comme «contrôleurs d’accès» (gatekeepers) de secteurs critiques de l’économie numérique, dans le cadre de la règlementation sur les marchés numériques (Digital Markets Act, DMA). Cette désignation s’accompagne d’une série de mesures ex ante visant à rétablir une compétition loyale sur les marchés numériques.
Toutefois, la Commission n’a, jusqu’à présent, désigné aucun hébergeur de services cloud comme « contrôleurs d’accès » dans le cadre du DMA, une lacune que M. Paulin a attribuée à un « manque de courage ».
«Dans cet environnement, la Commission publie une liste qui semble dire que non, il n’y a pas de pratiques anticoncurrentielles de ces entreprises et qu’il n’y a pas aujourd’hui de risque hégémonique de ces trois acteurs, alors qu’ils contrôlent 78 % du marché européen», a-t-il continué.
Pour M. Paulin, cette indifférence de la part des autorités européennes est en contradiction avec l’attention croissante des autorités antitrust un peu partout dans le monde sur les pratiques anticoncurrentielles du secteur du cloud. Selon M. Paulin, ce sont les entreprises qui dominent ce marché qui parviennent à imposer leurs solutions au détriment des plus innovantes
Le Data Privacy Framework
Le directeur général d’OVHcloud a également exprimé son mécontentement à l’égard du nouveau Data Privacy Framework, l’accord transatlantique qui fournit un cadre juridique autorisant les transferts de données personnelles de l’UE vers les États-Unis.
« Je suis convaincu que la Cour de Justice de l’UE validera dans quelque temps l’illégitimité et le caractère illégal du Data Privacy Framework » a affirmé M. Paulin, laissant entendre qu’il souhaite un arrêt Schrems III qui annulerait pour la troisième fois consécutive un accord transatlantique de transfert de données entre les deux blocs.
Les capacités de passage à l’échelle des clouders français
Lors de l’examen du projet de loi visant à sécuriser et réguler l’espace numérique, porté par le ministre délégué au numérique Jean-Noël Barrot, le Sénat a proposé d’inscrire dans la loi l’obligation pour les administrations publiques de migrer leurs données vers des clouds sécurisés certifiés SecNumCloud.
L’amendement a été supprimé lors de sa lecture à l’Assemblée nationale, car, comme le rapportait Euractiv, des députés considéraient que les hébergeurs de services cloud français n’auraient notamment pas eu les capacités à accueillir une telle migration de données.
« Il est faux de dire qu’aujourd’hui OVHcloud, mais aussi Scaleway et Outscale n’ont pas la capacité, ou les compétences ou les moyens d’accueillir les données de l’administration publique sur des clouds certifiés SecNumCloud. Ce sont des verbatim de lobbyistes extrêmement influents qui répètent à l’envi de fausses informations » a souligné M. Paulin.
Il a également insisté sur le fait qu’« aujourd’hui le cloud SecNumCloud d’OVHcloud est le produit qui croît le plus vite et serait tout à fait capable et équipé à recevoir les données de l’administration française. Ceux qui disent le contraire ne sont pas sérieux ».
Développement de l’intelligence artificielle
M. Paulin a également abordé le secteur en pleine croissance de l’IA, qui, selon lui, va encore accroître le pouvoir stratégique des données.
La stratégie d’OVHcloud dans ce domaine est de rejoindre des consortiums et de travailler « avec des acteurs de l’écosystème pour permettre à nos clients d’utiliser leurs outils dans un univers sécurisé dans lequel leur propriété actuelle est garantie, sans que personne n’y ait accès ».
