Cloud souverain - Géopolitique de la data Benjamin Bayart à USI

Entre décisions judiciaires et programme de politique économique, on voit resurgir l’idée déjà galvaudée de souveraineté numérique.
Mélange complexe de libertés fondamentales, de macro-économie, de géopolitique et de guerre économique entre grandes puissances (USA, Chine, Europe).
Voyons ensemble comment ordonner tout ça, et y voir une formidable opportunité de développement en Europe.

Bonjour à tous.
Je vais vous parler de cloud souverain. Qu’est-ce que c’est encore que cette bêtise ?
Je vois qu’il y a plusieurs personnes de plus de 17 ans dans la salle, vous vous souvenez peut-être que de cloud souverain on en a déjà mangé, la dernière fois c’était en 2012. Qu’est-ce que c’est ? Pourquoi en reparle-t-on ? Pourquoi ça revient 10 ans après ? J’ai repris une vieille coupure de presse [1] de 2015 et 2015 c’était le moment où on considérait que le machin était mort. Qu’est-ce que c’est ? Ils nous font la saison 2, c’est le même et on recommence ?
En fait, le truc c’est que ce n’est pas la même série. Ils ont repris le même vocabulaire alors on se plante. Pour ceux qui ont un peu en tête, par exemple vous regardez Sherlock Holmes ça existe sous la forme elementary ou sous la forme Sherlock, ce n’est pas la même série à part quelques références, il y a un nom en commun, mais…, à part quelques réféRences.
Du coup ce n’est pas du tout le même sujet et c’est ça qu’on va essayer de regarder ensemble pour comprendre de quoi ça parle et comment ça arrive, parce que c’est un sujet qui n’est pas si neuf qu’il en a l’air, qui vient de loin. Vous allez voir.
Pour vous expliquer tout ça je vais être obligé de passer par un chemin un peu bizarre où je vais vraiment parler de stratégie cloud juste avant de conclure. Avant on va parler de droit, on va parler de protection des données, on va parler de géopolitique et puis on va essayer de trouver des bouts de définition de ce que veut dire souverain.

Pourquoi je vais vous parler droit des personnes ?
Je suis désolé je vais être obligé de faire un peu de philosophie du droit, le truc le moins intuitif pour les ingénieurs : il y a une différence fondamentale dans le droit entre le droit européen et le droit qu’on trouve couramment en Amérique du Nord.
Quelle est la différence entre du droit de la personne et du droit des affaires ?
Si je prends des exemples très simples, l’interdiction de vendre à perte dans le droit du commerce, c’est du droit des affaires ; l’interdiction de tuer les gens, c’est du droit des personnes. OK. En fait, la protection des données personnelles, en Europe, est à ranger du côté du droit des personnes, ce qui explique plein de trucs un petit peu bizarres quand on essaye de comprendre ce que raconte le RGPD [2]. Je ne sais pas si vous l’avez en tête, mais le RGPD s’impose à toutes les entreprises dans le monde, où qu’elles soient, quand elles traitent des données personnelles de personnes qui résident en Europe. Pourquoi le droit européen s’applique-t-il à une entreprise américaine ou une entreprise du Ruanda quand elle traite des données personnelles ? Parce que c’est un droit de la personne, ce n’est pas un droit du business qui s’appliquerait en fonction de la zone d’exercice de l’entreprise, mais c’est un droit qui est attaché à la personne dont on est en train de traiter les données, même si cette personne n’est pas la cliente de l’entreprise, donc on est sur du droit des personnes.
En droit américain, le droit des données personnelles est beaucoup plus vu comme un droit de la propriété. Aux États-Unis, si je fais quelque chose avec vos données personnelles, c’est considéré comme si j’utilisais votre voiture sans vous avoir demandé la permission. Je suis en train de vous porter potentiellement un dommage et, si vous voulais démontrer le dommage, il faut démontrer un dommage financier. Alors qu’en droit européen, quand on utilise vos données personnelles sans votre accord, c’est comme si on utilisait votre corps sans votre accord, c’est comme si on vous tapait ou c’est comme si on abusait de vous. Il n’y a pas besoin de démontrer le dommage, le simple fait que ça ait lieu est un dommage. Donc on est sur des notions juridiques qui sont très différentes.
Typiquement, quand on essaye de définir la propriété, est-ce que c’est du droit de la personne ou est-ce que c’est du droit des affaires ?, eh bien ça dépend de ce qu’on met derrière le mot propriété.

En général, quand je veux expliquer ça sur les données personnelles, je développe trois notions, c’est facile, c’est la demi-heure d’introduction du cours que je donne d’habitude sur le RGPD, comme là je n’ai que 40 minutes de conférence vous n’aurez pas la version complète. Je développe trois notions l’une qui est que l’ordinateur est fatal. C’est une notion qui est un petit peu compliquée parce que quand on dit fatal les gens entendent mortel. Non ! Ce n’est pas mortel c’est fatal, ça veut dire qu’on ne peut pas négocier, ce que décide l’ordinateur est irrémédiable, on ne peut rien faire contre l’ordinateur : il a prévu qu’il n’y avait que trois cas et, si vous n’entrez pas dans ces trois cas, vous n’existez pas. C’est la notion d’ordinateur est fatal.
Il y a une deuxième notion qui est que tout fichier est le début d’une maltraitance potentielle. Pour ceux d’entre vous qui parlent un peu le vocabulaire psy usuel, c’est ce qu’on appelle une réification. Quand vous mettez quelqu’un dans un fichier, vous allez traiter le fichier, en fait vous êtes en train de traiter la personne, donc vous êtes en train de traiter une personne comme un objet, ce que vous ne feriez pas dans la vie normale. Les exemples courants : j’organise un baptême, une bar-mitzvah, un mariage où je vais inviter plein de gens, je vais faire un plan de table pour que le tonton raciste ne se retrouve pas à côté de la cousine trans parce que ça va foutre la merde. C’est le truc classique, vous faites votre plan de table, vous avez les noms des gens et puis vous décidez, vous les déplacez jusqu’à ce que vous ayez un truc à peu près équilibré. Vous ne feriez pas ça dans la vraie vie. Si je voulais réorganiser la salle en vous rangeant du plus petit au plus grand je ne vous déplacerais pas sur votre chaise, ce n’est pas comme ça, je vous demanderais, il y aurait une interaction, ce serait une relation humaine, je ne vous déplacerais pas comme des choses.
C’est ça en fait. Tout fichier est une réification et comme réification c’est le début d’une maltraitance. Si vous voulez vraiment maltraiter des gens, il faut commencer par les considérer comme des choses sinon vous n’y arriverez pas. Ce n’est pas forcément le début d’une maltraitance, c’est le début d’une maltraitance potentielle, elle n’a pas encore eu lieu.
Et puis il y a un troisième élément à avoir en tête qui est que les données sont la personne. Je ne sais de vous et vous ne savez de moi que des données, que ce soit ce que vous avez lu sur ma fiche Wikipédia, ce que vous avez entendu pendant l’introduction de Léo, ce que vous voyez ce sont des données, ce sont des images. Pour les gens qui nous regardent en ligne ce sont encore plus des données, c’est tout du numérique cette affaire-là. Ce ne sont que des données, vous ne savez de moi que des données. En fait, les données sont la personne.
Du coup, quand on combine les trois, quand on s’apprête à faire un traitement informatique, on s’apprête à traiter sans recours, en fait on s’apprête à maltraiter quelqu’un sans recours. Et c’est pour ça que c’est dangereux. Ce n’est pas interdit parce que ça n’est qu’une maltraitance potentielle, il y a plein de traitements de données qui sont tout à fait bien-traitants, qui sont dans l’intérêt de la personne, que la personne a choisis et tout va bien. Tous les traitements de données extrêmement personnelles qui ont lieu quand je m’inscris sur un site de rencontre, c’est moi qui m’y suis inscrit, je l’ai fait exprès pour tirer ma crampe comme tout le monde, il n’y a pas de problème, mais tout traitement de données personnelles, en particulier avec un ordinateur, est potentiellement une maltraitance sur une personne, sans recours, donc il faut être vigilant.

C’était le premier morceau que je voulais vous mettre dans la tête, les différences de philosophie du droit qui ne sont pas les mêmes puisqu’aux États-Unis les données vont être considérées comme une propriété au sens lucratif du terme alors qu’en Europe les données vont être considérées comme une propriété. Vous allez me dire que c’est difficile, c’est le même mot, mais ça ne veut pas dire la même chose, c’est une propriété comme la couleur de vos yeux. La couleur de vos yeux est une de vos propriétés. Les données personnelles sont une propriété de la personne comme la couleur de ses yeux ou comme son ombre, mais pas comme son blouson ou sa bagnole. OK. Ce n’est pas le même sens du mot propriété.

Si on regarde sur ces sept/huit dernières années, en droit européen il y a un certain nombre de décisions judiciaires d’un côté et de mouvements législatifs de l’autre qui créent des droits en matière de numérique et des droits assez forts en s’appuyant systématiquement sur des choses qui relèvent du droit de la personne ou qui relèvent de la protection des libertés fondamentales. On va voir apparaître là-dedans, par exemple, la neutralité du Net [3] qui est comprise par tout le monde comme étant une régulation du business qui dit « les opérateurs ont le droit de, les opérateurs n’ont pas le droit de, les opérateurs ont l’obligation de ». On le comprend comme une régulation du business, mais si vous allez regarder comment est structuré le texte, comment est légitimé le texte, il est légitimé en s’appuyant sur les libertés fondamentales. Il y a quelques éléments qui relèvent de la concurrence libre et non faussée, là on est dans le droit du business, et puis il y a quelques éléments qui relèvent du droit des gens d’accéder à l’information ou du droit des gens de diffuser l’information ou du droit des gens de participer au débat public. Là on va s’inscrire beaucoup plus dans le droit des personnes. Et ça, c’est typiquement européen.
Si on regarde, je ne vais pas vous les détailler tous, il y a quelques morceaux que je veux citer ; avril 2014, Digital Rights Ireland, c’est un arrêt de la Cour de justice de l’Union européenne qui dit qu’on n’a pas le droit, dans l’Union européenne, de surveiller la totalité de la population au cas où. Ça vous fait marrer, mais il se trouve que ce n’était pas évident puisqu’il y avait des directives qui prévoyaient qu’on surveille la totalité de la population parce que dans le lot il y en au moins trois qui sont des terroristes et deux qui sont des pédophiles, donc il faut qu’on surveille les 500 millions d’Européens. La Cour de justice de l’Union européenne a dit « non, ça ce n’est pas possible dans une société démocratique ». Notez que la France s’y oppose.
Si je reprends juste le même, donc Digital Rights Ireland avril 2014, confirmé par la même Cour de justice de l’Union européenne en décembre 2016 dans l’arrêt Tele2, que la France a encore refusé de transposer en droit français, du coup ça s’est traduit par l’arrêt Quadrature du Net contre France en octobre 2020 [4] où la Cour de justice de l’Union européenne a redit qu’on ne pouvait pas et puis, le 5 juillet, je serai de nouveau à l’audience à la Cour de justice de l’Union européenne où on attaque la France précisément pour la même chose. Il y a comme un pattern qui se dessine. Il faut repérer que ces morceaux-là se répondent en permanence. Typiquement le vote du RGPD en avril 2016 consacre tout un tas de positions et de protections juridiques des données personnelles qui ne sont compréhensibles que si on a en tête qu’on est dans du droit des personnes.
Et il y a deux arrêts qui vont nous intéresser particulièrement, je vais les commenter vite fait. Il y a l’abrogation du Safe Harbor en octobre 2015. Vous avez tous en tête ce qu’est le Safe Harbor [5], ce n’est pas la peine que je rappelle, si peut-être. Le Safe Harbor est un texte, un accord international signé entre l’Europe et les États-Unis d’Amérique à la fin des années 1990 qui dit que nous sommes deux sociétés démocratiques différentes mais enfin pas tant, nous avons des niveaux de protection des données personnelles et de la vie privée qui sont vaguement similaires, du coup on peut librement faire circuler les data entre l’Europe et les États-Unis parce que nous nous ressemblons.
Il se trouve que peu de temps après des pénibles ont planté des avions dans des tours, si vous vous souvenez, et juste après les États-Unis ont fait passer du droit en matière de surveillance qui est assez vénèr, comme disent les jeunes. Quand la Cour de justice de l’Union européenne s’est posé la question de savoir si le Safe Harbor était vrai, elle est arrivée à la conclusion que non, les États-Unis d’Amérique ne proposent pas le même niveau de protection des données personnelles que l’Union européenne, donc la Cour a cassé le Safe Harbor et a dit niet.
Du coup, ce beau jour d’octobre 2015, il est devenu subitement illégal de transférer des données personnelles entre les États-Unis d’Amérique et l’Europe.

Réaction de la Commission européenne, data must flow, panique à bord, on retricote immédiatement un nouvel accord international, le texte est prêt en février 2016. Vous voyez le truc, abrogé en octobre 2015, le texte est prêt en février 2016, un accord international qu’on a dealé et tricoté en quatre mois, ça n’existe pas. C’est comme un projet informatique qu’on a bouclé en 15 jours ! Ça n’existe pas !

Bien évidemment sitôt qu’il sera signé le texte sera attaqué et la décision de la CJUE tombe en juillet 2020, c’est super court. OK ? Pour un texte qui a été validé à peu près mi-2016, la décision dessus tombe en 2020, c’est-à-dire à peine quatre ans plus tard, c’est ultra court pour une décision de haute cour et évidemment abrogation [6]. Et cette fois-ci la réponse de l’Union européenne est très différente, c’est « bon d’accord ». Vous voyez entre-temps le texte sur la neutralité du Net est passé, le RGPD a été voté puis est entré en application, on a commencé à travailler sur d’autres textes comme le Digital Services Act, le Digital Millennium Act et maintenant le Data Governance Act qui est toujours dans les textes en préparation. On est passé de panique à bord, qui était la première réponse en 2015, à « bon d’accord. Il est interdit de transférer les données vers les États-Unis d’Amérique. OK. » Intéressant comme différence.
Ce qui m’intéresse le plus là-dedans c’est qu’on s’appuie sur de la protection des personnes pour garantir un certain nombre de libertés fondamentales, blablabla, c’est mon passé d’activiste, mon côté cofondateur de La Quadrature [7] et tout ça, mais en fait tout ça crée un effet protectionniste. Je ne sais pas si vous avez tous en tête ce que c’est que du protectionnisme, c’est ce qu’on appelle du protectionnisme réglementaire. J’ai étudié ça au lycée, donc je me dis que vous avez dû l’étudier aussi au lycée en cours d’histoire-géographie. Il y a deux grandes façons de faire du protectionnisme.
Il y a le protectionnisme douanier, on dit « quand tu importes ton zinzin je te mets 37,2 % de taxes aux douanes et, du coup, ton truc est tellement cher que tu n’en vendras pas, du coup je vendrai le mien et ça va protéger mon business contre le tien », c’est du protectionnisme douanier.
Il y a un autre protectionnisme qui marche bien, c’est le protectionnisme réglementaire. C’est le fait que les prises électriques ne sont pas les mêmes en Europe et aux États-Unis, du coup le fabricant de grille-pains américain, s’il veut importer des grille-pains en Europe, il faut qu’il s’adapte. Une fois qu’il aura réussi à s’adapter, qu’il aura mis toutes ses chaînes de production bien comme il faut, qu’il commencera à inonder le marché, nous nous irons voir nos fabricants de grille-pains en disant « on va changer hop ! hop ! dans la norme », du coup nos fabricants de grille-pains ont six mois pour s’adapter puis paf, la nouvelle énorme sort et il faudra six mois ou un an aux Américains pour s’adapter et pendant ce temps-là ils n’ont pas accès au marché.
Là on a un truc qui a effet de protectionnisme, un effet de protectionnisme réglementaire qui est extrêmement puissant puisque la Cour de justice de l’Union américaine nous dit que le droit américain, partout où il s’applique, est incompatible avec le droit européen. Or les deux sont des droits extraterritoriaux. Le droit américain s’impose aux entreprises américaines où qu’elles opèrent dans le monde. Donc quand une entreprise américaine opère à Paris, à Berlin ou à Londres, le droit américain s’applique, en particulier le PATRIOT Act [8] et le CLOUD Act [9] qui sont les deux que vise la Cour de justice. Ce que nous dit la Cour c’est « les entreprises américaines n’ont plus le droit de traiter des données européennes tant que le droit américain continue de s’appliquer » et c’est un truc auquel les entreprises ne peuvent rien. Ce n’est pas Google, Amazon ou Facebook qui vont, toutes seules, modifier le droit américain. Donc c’est un effet protectionniste extrêmement fort. Or, vous fréquentez comme moi le petit monde du numérique « parisiano-français » où chaque fois qu’un de ces textes sort tous les industriels sont paniqués « ah là, là, on ne peut pas faire n’importe quoi, rendez-vous compte, moi je faisais tout comme ça, je vais être obligé de m’adapter à la nouvelle loi, ça casse les couilles ! ». Oui, peut-être, mais si vous faites ça, vous pouvez foutre à la porte des concurrents américains, c’est le principe du protectionnisme, ça a une sacrée valeur en termes de business.
Du coup on a deux grandes postures possibles, l’une qui est de dire « j’ai déjà développé mon produit, je n’ai pas envie de me prendre la tête, je le laisse tel quel, du coup je regarde avec les juristes ce qu’il faut que je rajoute dans le contrat pour que ça colle » et vous vous retrouvez avec des conditions générales d’utilisation qui font 87 pages dans un anglais juridique et vous êtes prié de cliquer sur « J’ai lu et j’ai compris » pour pouvoir accéder au produit, on se fout quand même de votre gueule ! Du coup ce sont des gens qui font du lobbying pour alléger la réglementation et en retarder l’application, c’est-à-dire empêcher l’effet protectionniste. C’est un modèle dans lequel l’industrie du numérique européen cherche à se mettre en position de faiblesse et à garantir la domination du modèle américain. Stratégiquement c’est discutable.
L’autre posture c’est de dire que c’est un problème de société, du coup OK, je ne peux pas faire mon produit comme ça parce qu’il n’est pas conforme, donc je vais faire mon produit autrement. Je vais peut-être devoir changer de business modèle, je vais peut-être devoir passer d’un financement publicitaire à une autre forme de financement, mais je vais modifier mon produit, je vais me cacher et me protéger derrière la réglementation et je vais m’en servir pour essayer de pousser vers l’extérieur les concurrents qui ne respectent pas la loi européenne, du coup je vais aller faire du lobbying pour renforcer la réglementation puisque la réglementation me protège.
Si vous voulez, quand on traite ça comme un problème de juriste c’est exactement comme les entreprises qui considèrent que le harcèlement sexuel ou le harcèlement moral est effectivement interdit, du coup on va rajouter une demi-page dans le contrat de travail de tout le monde qui explique que le harcèlement sexuel ce n’est pas bien et vu qu’on a mis une demi-page dans le contrat de travail le problème est réglé dans l’entreprise ; c’est la bonne façon de régler le problème, on est bien d’accord ! Voilà, c’est exactement aussi con ! Ceci dit, ne rigolez pas trop parce que ça lieu, il y a plein de boîtes qui traitent ça comme ça !

Maintenant qu’on a compris que la CJUE nous dit que la protection des données personnelles c’est obligatoire et que le droit américain est non conforme, OK, ça se traduit par du cloud souverain parce qu’un des effets de ce truc-là c’est que toutes vos entreprises qui ont l’habitude de faire du move to cloud en disant « je prends tout et je benne tout chez Amazon », ce n’est plus bon, ce n’est plus possible.
Et puis on se pose la question : quelles données veut-on protéger ?
Les données personnelles on n’a pas le choix, la Cour de justice de l’Union européenne a déjà dit à plusieurs reprises qu’on n’y couperait pas.
Et puis, quand on réfléchit un petit peu, il y a d’autres données qu’on aimerait protéger, par exemple les secrets des entreprises, que ce soit les secrets des procédés ou les secrets des affaires. Est-ce qu’il faut vraiment moins bien les protéger que les données personnelles ? En droit ce n’est pas du tout protégé de la même façon. Le deux arrêts de la CJUE sur le Safe Harbor et le Privacy Shield s’appuient sur la charte des droits fondamentaux, c’est-à-dire, en gros, la transposition des droits de l’homme dans les traités européens. Si on veut de la protection du secret des entreprises ça ne va pas s’appuyer sur les droits de l’homme, j’espère que vous avez tous en tête que les droits de l’homme ça s’applique aux personnes physiques, ça ne s’applique pas aux entreprises. Mais pas mal d’entreprises, quand elles commencent à réfléchir sur la protection des données personnelles, vont se poser la question de comment protéger les secrets de l’entreprise.
Il y a évidemment tous les gens qui veulent protéger les secrets de la défense, c’est obvious, c’est évident.
Et puis il y a le régalien. Je ne sais pas si vous avez bien en tête ce que veut dire le régalien, mais globalement est-ce qu’il est acceptable que le fichier de l’état-civil soit hébergé sur des serveurs aux États-Unis ? Ça se discute. On peut considérer que ce n’est pas prudent. On peut considérer que ce n’est pas une bonne idée. Je ne parle même pas du fait que ce soit très secret ou quoi ou qu’est-ce, mais est-ce qu’il est logique, légitime, etc., que l’informatique de l’État, qui permet à l’État de tourner et de fonctionner, d’exister, tourne sur des serveurs qui sont hébergés ailleurs, loin, sous une juridiction qu’on ne maîtrise pas bien.
Donc ça, ça définit quelles sont les données qu’on veut protéger.

On commence à voir, il y a un contexte juridique qui crée du protectionnisme en s’appuyant sur les libertés fondamentales. On a étendu un petit peu la protection des données personnelles parce que, du coup, les entreprises, les ministères et la puissance publique commencent à greffer d’autres sujets, comment est-ce que tout ça définit de la géopolitique de la data ?
En fait pour moi, pour définir de la géopolitique de la data, il faut définir un rapport de puissance, c’est ça la géopolitique, c’est parler d’un rapport de puissance.
Je ne sais pas si vous vous souvenez, le Brexit, ça vous rappelle des souvenirs, vous avez dû le croiser, on en a parlé un peu dans la presse. La Grande-Bretagne s’en va, discute pendant un temps infini plus deux ans, le temps infini ne suffisait pas, d’un accord pour sortir du Brexit, cet accord prévoit certaines zones de pêche. Après que l’accord ait été signé, la Grande-Bretagne est d’avis que les zones de pêche ça fait chier, du coup ils ne valident pas trop le truc, ils en viennent à mettre des bateaux de guerre à côté des bateaux de pêche pour empêcher les bateaux de pêche français, ça monte un peu dans les régimes, je ne sais pas si vous vous souvenez c’était il y a un an, ce n’est pas si vieux. Comment la France a-t-elle signé la fin de la partie ? [10] C’est vachement simple : l’île de Jersey, territoire britannique, est alimentée en électricité depuis le continent donc depuis la France. En gros, la France a dit : « Vous arrêtez vos conneries ou on coupe l’électricité ». C’est ça un rapport de puissance.
Je suis persuadé que le brave fonctionnaire de l’Île de Jersey qui a négocié le contrat de raccordement électrique en fonction du prix du câble, de l’âge du bateau, du tarif du kilowatt-heure, de l’âge du capitaine, etc., a fait un vrai bon travail de technicien, d’ingénieur, d’optimisation des coûts et effectivement le moins cher c’était de raccorder au réseau électrique en France puisque nous sommes alliés, nous sommes dans la même Union européenne…, on va se raccorder là. Il ne faut pas se mentir, on n’est pas en guerre avec la Grande-Bretagne, même si c’est une tradition millénaire, pour le moment on est plutôt en paix depuis Talleyrand, ça fait un moment qu’on ne fait plus la guerre avec la Grande-Bretagne. Il n’empêche que quand ça crispe un peu et qu’il y a quelques tensions, eh bien ça crée un rapport de puissance, c’est ça de la géopolitique et ce n’est pas forcément compatible de la notion d’optimisation des coûts, d’amélioration des rendements et de gestion de projet en mettant les Post-it de la bonne couleur sur le tableau, c’est autre chose, c’est un autre critère. Ça c’est un exemple de rapport de puissance.

Il y a six mois, il y a même un peu plus d’un an, quand j’ai commencé à bosser sur le sujet cloud souverain dans le cadre de mon boulot pour essayer de voir avec les entreprises comment on allait gérer l’adaptation au droit, je vous assure que quand je disais « méfiez-vous, si un jour vous vous fâchez avec les Américains peut-être que votre business peut être remis en cause », on me prenait un peu pour le paranoïaque de service ». Depuis ils ont un peu compris parce que effectivement, quand on se fâche avec les Américains, le fait d’avoir tout foutu chez Amazon c’est dangereux.
Je ne dis pas que la France va se lancer dans des guerres qui feront qu’on sera en tension avec les États-Unis, ce n’est pas prévu, ça n’arrivera probablement pas, mais pas mal d’entreprises travaillent à l’international, travaillent sur des sujets tendus, peuvent travailler sur des sujets tendus vis-à-vis des États-Unis, je pense par exemple à tous nos marchands d’armes ou à tous nos marchands qui exportent là où les Américains aimeraient exporter à notre place – ayez en tête des choses comme Alstom. Eh si, les tensions géopolitiques avec les État-Unis ça existe et utiliser l’arme économique qu’est le cloud comme outil de pression dans un rapport de force géopolitique quand je le disais il y a six mois on me prenait un peu comme un doux dingue, maintenant on me prend moins pour un doux dingue, on dit « ouais, ouais, effectivement il y a un danger, on ne sait pas de quelle taille ».

Maintenant quand on parle de cloud souverain, vous voyez que ce n’est pas du tout le même contexte que celui d’il y a dix ans. Je ne sais pas si vous avez en tête le cloud souverain d’il y a dix ans. Nicolas Sarkozy n’était pas content du fait que la police ne puisse pas intervenir sur le cloud, donc il voulait un cloud où la police française ait ses entrées, vous voyez qu’on n’est pas du tout dans la même topologie en termes de construction et de décision.

J’ai retenu trois grandes façons de voir le mot « souverain ».
Il y a l’élément juridique qui est évident, ce dont je parlais au début, quel est le droit applicable ? Est-ce que le machin est soumis au droit américain donc les données personnelles sont en danger si on en croit la Cour de justice de l’Union européenne ou bien est-ce que le machin est soumis au droit européen ? On est bien d’accord, s’il est soumis aux deux il est hors-loi puisque s’il est soumis aux deux il ne respecte pas le droit européen et s’il respecte le droit européen, donc il refusera d’obéir au PATRIOT Act et au CLOUD Act ça veut dire qu’il se met en infraction au droit américain. Il n’y a pas moyen d’en sortir. Les deux cours suprêmes des deux pays, les deux zones juridiques ont défini l’interprétation de leur droit et si vous vous retrouvez en collision avec les deux vous ne pouvez pas satisfaire les deux, ce n’est pas possible. C’est une bonne définition du mot « souverain » : quel est le droit qui s’applique ?
Il y en a une deuxième, évidemment, qui est la décision géopolitique qu’on vient de voir. Je suis souverain quand je ne me retrouve pas dans un rapport de puissance dans lequel je suis vulnérable et qui ne me soit pas acceptable. On est toujours dépendant de quelqu’un, on ne peut pas être totalement indépendant sauf à vivre dans une grotte isolée, tout seul, mais quels sont les rapports de puissance que je subis, quels sont ceux qui me sont défavorables et est-ce que je les accepte ?
Et puis il y a une troisième définition de « souverain » qui est un sens industriel, ce qui revient au même si vous voulez : quels sont les risques que je prends et sont-ils acceptables ? Typiquement je dépends d’un seul fournisseur, est-ce que c’est grave ? Franchement ? Vous êtes, je ne sais pas, une grande entreprise de la finance, il se trouve que vous achetez vos stylos rouges chez un seul fournisseur, vous êtes grandement dépendant de cet unique fournisseur, est-ce bien grave ? Si le fournisseur vous fait défaut vous aurez peut-être quelques semaines ou quelques mois de pénurie de stylos rouges le temps de trouver un autre fournisseur, on peut gérer le risque. Si vous retrouvez six mois sans informatique, est-ce que vous pouvez gérer le risque ? Quel est le risque acceptable ?
Pour moi ce sont les trois définitions qu’on pose au mot « souverain » et qui vont correspondre à des choses qu’on retrouve dans de la stratégie industrielle.

Maintenant qu’on est parti de ce problème de liberté fondamentale, qu’on a vu, ça crée une opportunité pour toute l’économie numérique en Europe, quelle stratégie industrielle va-t-on définir ?

Il faut que je revienne à un petit peu de macroéconomie élémentaire, je vous préviens, c’est vraiment de l’économie de la deuxième moitié du 19ᵉ siècle, on est dans les trucs très innovants. C’est tiré d’un ouvrage d’économie qui est un des premiers sérieux qui est Le Capital de Karl Marx. Tout le monde a en tête que Marx c’est le communisme, vous confondez, ce n’est pas le même livre, c’est Le manifeste du parti communiste. Le Capital c’est un des premiers livres sérieux d’économie, qui est encore enseigné en économie aujourd’hui parce qu’il y a les bases de l’économie moderne dedans.
Quand je vends sur le marché le costume que j’ai importé la plus-value du marchand rentre dans mon système économique avec de la TVA, des impôts, le fait qu’il y a de l’argent qui circule, etc., et tout le reste échappe à mon économie.
Si au lieu d’importer le costume j’importe le tissu, alors la valeur ajoutée du tailleur qui fabrique le costume et qui va ensuite aller le vendre au marchand qui le vendra sur le marché a lieu dans mon espace économique, donc mon espace économique est plus prospère.
Si j’importe le fil alors la valeur ajoutée du tisserand a lieu aussi dans mon espace économique, il paye des impôts, il emploie des gens.
Si j’importe le coton ou la laine, du coup toute la valeur ajoutée de la filature rentre dans mon espace économique.
Et si je n’importe rien du tout parce que j’ai fait pousser mes moutons comme un grand toute la valeur ajoutée est dans mon espace économique.
C’est du b.a.-ba de macroéconomie : quand on importe des bidules on fait monter le chômage, quand on exporte de bidules on fait baisser le chômage. Quand on importe des bidules pas chers, de très bonne qualité, absolument géniaux, on fait monter le chômage. Quand on consomme des trucs tut pourris qu’on a produit en local on fait baisser le chômage. C’est de la macroéconomie élémentaire et elle est vraie depuis au moins le 19e siècle. C’est un des éléments d’analyse du truc.
Si je transpose l’arrêt de la CJUE dans le cloud, ça dit qu’il ne faut plus travailler avec les hyperscalers américains ; Amazon, Google, Microsoft, c’est fini. OK ! On fait quoi ? L’air de rien il n’y a pas grand-chose d’autre sur le marché, ce sont les trois grands en matière de cloud, à côté il y a quelques nains, il y a trois géants et des nains dans le cloud. Comment fait-on ?
Il y a deux grandes approches.
L’une est de dire qu’on travaille sous licence américaine, c’est-à-dire qu’une entreprise européenne va récupérer toute la couche logicielle de Google, de Microsoft ou d’Amazon et va faire tourner ses logiciels dans une structure juridique et une structure technique qui est montée en Europe.
Si je transpose en macro-économie, on n’importe plus le service, on n’achète plus le service de cloud à une entreprise américaine, on l’achète à une entreprise européenne, voire française, en revanche on importe toute la techno, donc on garde une très grande dépendance technologique. Mais on a effectivement réglé le problème de droit puisqu’on échappe à la juridiction américaine sur les données personnelles.
Il y a une autre stratégie qui est de dire qu’on va développer l’économie européenne du numérique, donc on n’importe pas le service, on n’importe pas la techno, on prend de la techno home made, en revanche on continue d’importer le matériel parce que, pour le moment, les usines d’ordinateurs ne sont pas en Europe. OK.
Ça, ça correspond à deux stratégies qui ne s’excluent pas. Mais vous voyez que dans les deux cas on a bien fabriqué du protectionnisme économique, la surface de ce qu’on importe a réduit, au moins de la couche services et peut-être de la couche techno.

Maintenant si je me pose non pas du côté des fournisseurs mais du côté des entreprises utilisatrices du cloud. Il y a trois grands types de réponse.
La première c’est de dire « pour le moment je vais regarder ailleurs, pour le moment je n’ai pas pris d’amende, personne ne m’a pas tapé sur les doigts, pas vu pas pris, je continue comme d’habitude ». Ce n’est pas si bête parce qu’en fait les différents régulateurs européens n’ont pas envie de saccager toute l’industrie, donc si vous n’êtes pas en première ligne et hyper-visible, ce n’est pas par vous qu’ils vont commencer. En revanche, si vous êtes en première ligne et hyper-visible, ça va vous coûter cher, exemple le Health Data Hub [11]. Je ne sais pas si vous voyez ce qu’est le Health Data Hub, c’est le machin qui récupère toutes les données médicales de tous les Français depuis toutes les sources possibles pour les compiler en un seul endroit de manière à ce qu’on puisse faire de la recherche ouverte dessus, des trucs assez intéressants en termes techniques, mais en termes de criticité sur les données personnelles, il n’y a pas pire. Ce sont les données les plus sensibles, ce sont les données médicales qui portent sur la totalité de la population et où on a sur chaque individu énormément de données. Ce sont les trois axes classiques d’analyse de la CNIL et vous avez les trois curseurs au maximum. Le truc ne peut pas échapper à un contrôle, ne peut pas échapper au fait qu’on regarde. Il y a un projecteur politique dessus en permanence, donc évidemment ils ont été attaqués, ils ont eu beaucoup de mal à s’en sortir devant le Conseil d’État, des décisions politiques sont en train de dire qu’il va falloir arrêter parce que tout ça est posé sur du cloud américain. C’est l’exemple type.
Mais si on est une petite boîte ou une entreprise qui n’est pas trop critique en termes de données personnelles ou qu’on n’a qu’une petite partie de l’IT de l’entreprise qui est partie dans le cloud, on peut monnayer un truc en disant « pour le moment je ne dis rien ».
Il y a l’approche qui est de dire « mais moi j’ai déjà tout basé dans le cloud, ça fait dix ans que je dépense des sommes gargantuesques à déplacer tout le machin chez un des trois hyperscalers, je ne vais pas tout réinvestir pour d’autres technos, je n’ai pas les moyens ». Là, pour le coup, le fait qu’il existe une solution sous licence qui permette de rapatrier ce qui doit l’être c’est une bonne stratégie.
Et puis il y a la troisième de stratégie qui est de dire « OK, on va tout reprendre. Il se trouve que je n’ai pas trop avancé dans mes stratégies cloud, maintenant je vais intégrer ça comme une contrainte et je vais plutôt penser ma solution différemment ».
En général les bonnes solutions ce sont les trois à la fois, parce qu’il n’y a pas de fournisseur en Europe qui soit aussi gros que les Américains aujourd’hui, donc on ne peut pas tout basculer d’un claquement de doigts, ça ne peut pas marcher. Il n’y a pas de solution simple, il n’y a que des solutions compliquées.

En fait il y a des solutions, elles sont différentes, les trois grands Américains se ressemblent énormément et ce n’est pas du tout le cas quand on regarde ce qui existe en solutions cloud en Europe, mais il y a des solutions, elles sont diverses, elles sont riches, elles sont disponibles, simplement il va falloir les combiner. On a un boulevard qui s’ouvre, l’effet protectionniste crée un boulevard pour l’économie du numérique en Europe, mais il faut qu’on occupe le terrain parce que si l’économie du numérique en Europe ne vient pas occuper ce terrain, forcément la réglementation va céder parce que les entreprises ne pourront pas renoncer à leur informatique, donc il faut absolument que le business correspondant se développe pour apporter le bon service aux entreprises et il faut que les entreprises passent dans un mode plus adulte.
Quand on regarde avec un petit peu de recul comment se fait le passage vers le cloud de beaucoup d’entreprises, c’est « je prends tout, je balle tout chez Amazon ou je balle tout chez Google selon la marque que je préfère ou je balle tout chez Microsoft parce que ça ressemble à ce que j’ai sur mon PC, je ne réfléchis pas, je mets tout chez le même et j’y vais comme un gros sagouin ». En termes stratégiques c’est un petit peu léger et il faut sortir de ça, il faut accepter que le système est complexe et qu’il faut traiter la complexité. Il faut se poser la question de quelles sont les données qui sont sensibles, comment est-ce que je dois les protéger, quel est le bon type de protection, quel est le bon type de réponse, comment je mixte des solutions entre elles, etc. ? Bref ! Il faut sortir de l’enfance du cloud pour passer à une approche un peu plus adulte.

De quoi parle-t-on ? En fait on parle de résilience et de dépendance économique quand on est là-dessus. Il faut arrêter de croire à la magie, Oculus Reparo ça ne marche que dans Harry Potter, en vrai si vous cassez vos lunettes elles sont cassées.

De quoi parle-t-on ? On parle de résilience et de dépendance économique. Si vous dépendez d’un fournisseur alors que vous êtes sujet à un rapport de force géopolitique c’est dangereux, c’est ce dont se rendent compte plein d’entreprises russes en ce moment. Mais ce n’est pas nouveau ! Le fait de savoir résister si un de vos fournisseurs vous claque entre les pattes, ce n’est pas un sujet très nouveau en économie, simplement c’est très vrai en matière de cloud. Pouvez-vous vous passer de votre IT pendant six mois, un an, deux ans, quand un fournisseur vous claque dans les pattes ? Si la réponse est non, vous devez prévoir.
Il y a besoin de savoir-faire pour gérer cette complexité et c’est pour moi un grand standard : vous ne pouvez pas piloter un fournisseur dont vous ne connaissez pas le métier. Si vous pilotez un fournisseur dont vous ne connaissez pas le métier, il va vous enfler à chaque fois, il va vous la faire à l’envers parce que vous ne comprenez rien à ce qu’il y a dans les contrats, donc il faut que vous ayez la compétence pour piloter vos fournisseurs et c’est pareil en informatique. Il faut que vous soyez capable de piloter le choix de vos fournisseurs de cloud, comment vous les architecturez entre eux, comment vous les faites interopérer, à quel point vous êtes indépendant, mais ce n’est pas nouveau.
Il y a besoin de faire de la gestion de risque. Là c’est un risque juridique mais c’est aussi un risque technique. Si vous avez tout mis chez tel opérateur qui, du jour au lendemain, décide de tripler ses tarifs, il vous faut combien de temps pour partir ? S’il vous faut cinq ans, vous êtes mort, mais ce n’est pas nouveau.
Il y a besoin d’un environnement dans lequel grandir. Pour se développer en Europe, l’économie du numérique a besoin d’un environnement dans lequel grandir, a besoin d’avoir un marché sur lequel elle puisse développer ses compétences pour ensuite, éventuellement, aller disputer les parts de marché à l’étranger aux autres, mais il faut d’abord un terreau, il faut une pépinière où on plante le machin si on veut faire une bouture et ce n’est pas nouveau non plus.

En fait le sujet du cloud souverain, pour moi, ne fait que mettre la lumière sur des problèmes qui existaient déjà dans l’économie numérique, dans le cloud. Il montre des solutions qui sont déjà disponibles. Il y a des solutions nouvelles qui sont en train de se monter, les trois hyperscalers n’avaient pas prévu de travailler sous licence, ils s’y trouvent contraints parce que c’est la seule façon qu’ils ont de conserver leur techno en Europe, c’est nouveau, mais toutes les solutions de cloud en Europe existaient déjà et elles proposent des solutions autres qui sont déjà sur la table.

En fait, la seule chose qui nous empêchait de traiter sérieusement ces sujets-là il y a un an, deux ans ou trois ans c’était le déni. C’est le fait que quand on allait voir des grands DSI en demandant « qu’est-ce qui se passe si Amazon vous claque la porte au nez ? », ils nous disaient tous : « Amazon ce sont des gentils, jamais ils ne se fâcheront, jamais Microsoft ne me fera un sale coup, jamais le gouvernement américain ne se fâchera contre personne, etc. » Eh bien voilà ! L’expérience montre que ce n’est pas vrai.

Voilà. C’était tout ce que j’avais à vous raconter sur le cloud souverain.

[Applaudissements]