Il n'est point de bonheur sans nuage

Quelques jours après la publication par la Commission européenne de la grille de souveraineté du Cloud et alors que la France et l’Allemagne discutent à Berlin de leurs enjeux conjoints en la matière, des entreprises du secteur saluent l’initiative mais se montrent sceptiques, voire désabusées quant à l’efficacité de ce Cloud Sovereignty Framework.

Nécessaire mais pas suffisant, toutes les entreprises interrogées se rejoignent. Le 20 octobre, la Commission européenne publiait le Cloud Sovereignty Framework, une grille de notation destinée à l’usage des pouvoirs publics pour évaluer le niveau de souveraineté d’une offre de cloud. Nous avons souhaité interroger les entreprises françaises du secteur pour savoir comment elles ont accueilli cette annonce. Cinq d’entre elles nous ont répondu : Cyllène, Ecritel, OVHcloud et ITS Integra, qui opèrent à différents niveaux de l’hébergement, de l’infogérance et des services managés, ainsi que Wimi, éditeur d’une suite collaborative « souveraine et sécurisée ».

Toutes ont salué l’accomplissement que représente la définition claire de ce que doit être un cloud souverain par l’Union européenne. Wimi, par la voix de son Chief of Staff (COS), Timothée Demoures, insiste même sur « l’enthousiasme » dont il faut faire preuve à l’égard de cette publication qui a de son point de vue le mérite de la « simplicité, ce qui permet à chaque acteur de s’en saisir ». Du côté d’ITS Integra, Geoffroy de Lavenne, directeur général (DG), souligne tout de même que ce Framework est un « aveu d’échec de l’EUCS », cette certification de cybersécurité pour les services cloud, qui se voulait plus contraignante et donc plus ambitieuse, actuellement dans l’impasse faute de consensus entre les États membres.

« On l’est ou ou ne l’est pas »

Toutes ces entreprises se montrent également unanimes dans la critique, et rejoignent la déclaration du Cloud Infrastructure Services Providers in Europe (CISPE), « le critère d’extraterritorialité devrait être une condition sine qua non. » affirme Audrey Louail, co-présidente d’Ecritel. « On se retrouve avec des moyennes de moyennes sur un certain nombre de critères, tous très intéressants, mais pour moi, il y a certains points sur lesquels nous devons être intransigeants. En l’état, la pondération est insuffisante. »

Elle dénonce ici le système de notation. La Commission a choisi de prendre en compte huit critères (stratégique, légal et juridique, données et IA, opérationnel, chaîne d’approvisionnement, technologie, sécurité et compliance, durabilité environnementale) et applique une pondération à chacun, comme pour des coefficients.

Résultat, le critère désignant la juridiction compétente, donc le fait que l’extraterritorialité du droit américain puisse potentiellement s’appliquer, au hasard, pèse peu par rapport à la combinaison des autres. Donc des entreprises très performantes sur les critères de chaîne d’approvisionnement, de sécurité ou d’environnement, pourrait atteindre un score élevé malgré le fait qu’une juridiction étrangère soit compétente sur les données, quand bien même l’infrastructure serait localisée sur le sol européen. En comparaison, une entreprise non-soumise à une juridiction étrangère mais moins performante sur les autres critères pourrait se voir moins bien notée.