L'étude indique que les services cloud, qui englobent le cloud privé, public et hybride et les services de IaaS, PaaS et SaaS, couvrent un large éventail des besoins IT des entreprises, et offrent des bénéfices indéniables :
- Variabilisation de la structure de coûts, avec un modèle de « paiement à l’usage », sans exigence d’investissements
- Flexibilité et évolutivité, avec la possibilité d’augmenter ou de réduire instantanément les capacités de stockage / calcul pour répondre aux besoins des clients
- Capacité de se concentrer sur son cœur de métier, en externalisant partiellement ou totalement les activités déploiement / maintenance vers les fournisseurs
Sélection des principaux motifs d’adoption du cloud (non exhaustifs)
Le marché européen du cloud est en plein essor, avec de très forts enjeux de création de valeur pour l’économie européenne :
- Une taille de marché attendue à ~260 Mds€ d’ici à 2027, contre 53 Mds€ à ce jour, comparable au marché actuel des télécommunications (~250 Md€ en 2020)
- Un paysage concurrentiel dominé par 3 « hyperscalers » basés aux États-Unis (avec par exemple 70 % de la part de marché du IaaS), mais avec des opérations limitées en Europe
- Les enjeux pour l’Europe sont d’environ 550 000 emplois et ~200 Mds d’investissements sur la période 2021-2027, dans la configuration où les opérateurs de Cloud localisent leurs opérations et leurs investissements en Europe
Rapporté au niveau mondial, le marché cloud en Europe pèse aujourd'hui près de 20 % de la totalité du marché. Reste toutefois à savoir si ces chiffres ne sont pas légèrement surévalués. À titre de comparaison, rien que pour l'année écoulée, le cabinet Synergy Research évaluait ainsi le marché du cloud en Europe à « seulement » 23 Md €.
Néanmoins, la projection de croissance peut être lue en parallèle de différents rapports qui notent un rythme soutenu d'adoption du cloud en entreprise. Canalys par exemple note que les dépenses en services d'infrastructure cloud ont augmenté de 35 % pour atteindre 41,8 milliards de dollars US au premier trimestre 2021. La tendance à utiliser les services cloud pour l'analyse des données et l'apprentissage automatique, la consolidation des centres de données, la migration des applications, le développement cloud native et la prestation de services s'est poursuivie à un rythme soutenu.
Les difficultés juridiques et réglementaires
D’un point de vue juridique et réglementaire, le marché du cloud présente des risques élevés et une profonde incohérence entre les réglementations américaines et
européennes, rendant la situation actuelle de marché non pérenne. Le rapport note que :
- Depuis 2016, plusieurs réglementations sur les données ont été mises en œuvre aux États-Unis et dans l’Union européenne (RGPD, US-EU Privacy Shield, Cloud Act), visant à établir un cadre juridique strict concernant les flux de données ; mais l’invalidation du Privacy Shield par la Cour de justice de l’UE en 2020 a mis en évidence la profonde incompatibilité de la réglementation américaine avec les principes du RGPD, qui semblent irréconciliables
- En conséquence, les entreprises transférant des données à caractère personnel des Européens sur des serveurs d’entreprises non européennes (même si ces serveurs sont localisés en Europe) n’ont plus de fondement juridique pour le faire, et s’exposent à des risques juridiques, mais aussi industriels compte tenu du fait que les fournisseurs de cloud internationaux ont accès à leurs données confidentielles et industrielles
Pour illustrer la situation, le rapport note que la législation américaine autorise l’accès des autorités américaines aux données à caractère personnel, que les informations se trouvent sur ou en dehors du territoire des États-Unis tandis que la législation européenne restreint fortement l’accès aux données à caractère personnel européen.
Les pouvoirs publics américains peuvent accéder aux données à caractère personnel, qu’elles soient américaines ou non tandis que l’accès des pouvoirs publics aux données à caractère personnel d’Européens est très réglementé et contrôlé.
Les prestataires cloud américains ne peuvent pas garantir la confidentialité des données à caractère personnel des utilisateurs européens à l’égard des autorités américaines… Que les données se trouvent sur ou en dehors du territoire des États-Unis. Du côté européen, l’un des principes du RGPD est d’assurer la sécurité et la confidentialité des données à caractère personnel... À l’intérieur et en dehors de l’Union européenne (avec des règles de traitement strictes hors de l’UE).
Les entreprises transférant des données à caractère personnel d’Européens à des serveurs d’entreprises non européennes n’ont plus de fondement juridique lié au Privacy Shield et sont ainsi passibles de poursuites judiciaires
Un écosystème européen de fournisseurs technologiques dense (liste non exhaustive)
Les entretiens de KPMG indiquent que cette situation soulève des inquiétudes et conduit à des risques financiers et commerciaux, par exemple :
- Des licenciements pouvant être annulés, car les preuves fournies par l’entreprise sont hébergées dans les data centers d’un prestataire cloud non-conforme
- Une entreprise européenne pouvant être dans l’impossibilité d’utiliser les preuves pertinentes d’un vol de données de clients, car ces données sont extraites d’un système de contrôle d’accès stocké et traité aux États-Unis alors qu’un tel traitement est dépourvu de tout fondement légal
Principales réglementations récentes relatives au marché cloud
« Depuis 2016, les nouvelles réglementations sur les données aux États-Unis et dans l’UE ont un impact fort sur le marché du cloud computing », indique par ailleurs KPMG. « La réglementation américaine en vigueur apparaît fondamentalement irréconciliable avec les principes du RGPD européen, qui visent à protéger les données à caractère personnel des citoyens de l’UE ». Sur ce point, même les offres labellisées Gaia-X, censées répondre à des critères de souveraineté, sécurité et gouvernance en matière d'exploitation et de traitement des données, ne pourraient pas aider les entreprises à y voir plus clair.
Le rapport note que le choix d’un fournisseur par un décideur cloud (les DSI notamment) est basé sur plusieurs critères ; parmi les plus importants, figurent la sécurité et la souveraineté des données ; cependant, malgré l’importance de ce critère, le manque de connaissances sur les offres garantissant réellement cette souveraineté des données est un frein dans la migration vers le cloud ou conduit les DSI à renoncer à cette souveraineté des données. Pourtant, les acteurs européens offrent la plupart des services pour répondre aux besoins des entreprises et proposent une offre de plus en plus large de services SaaS et PaaS grâce à leurs écosystèmes, permettant de couvrir une largeur et une profondeur de services progressivement comparable aux hyperscalers. De plus, les modèles tarifaires des fournisseurs européens apparaissent plus transparents que ceux des hyperscalers, qui dominent à ce jour le marché avec des pratiques d’acquisition de clients souvent agressives et non conventionnelles (par exemple, ventes liées des services SaaS et IaaS.
Plus tôt ce mois-ci, une étude du fournisseur de services informatiques Ensono a révélé que la sécurité est la principale préoccupation des professionnels de l'informatique qui envisagent, ou utilisent déjà, des stratégies multiclouds. Au Royaume-Uni, les professionnels de l'informatique considèrent la sécurité, la gouvernance et l'optimisation des coûts comme leurs trois principales préoccupations concernant les stratégies multiclouds, tandis que la sécurité, l'optimisation des coûts et le maintien d'une expérience positive pour l'utilisateur final sont les principales préoccupations aux États-Unis.
La gestion des déploiements de cloud a conduit de nombreuses entreprises à rechercher une assistance externe. 43 % des responsables informatiques interrogés ont fait appel à un fournisseur de services gérés (MSP) pour résoudre les problèmes liés à leur stratégie multicloud. Parmi ceux qui travaillent avec des MSP, 46 % sont attirés par la perspective d'une adoption plus rapide et 44 % par la possibilité d'exploiter des compétences qui ne sont pas disponibles ou qui font défaut en interne.
Amazon Web Services (55 %) et Microsoft Azure (54 %) sont les domaines d'expertise les plus courants en matière de cloud public au sein des entreprises. Les entreprises américaines sont les mieux placées en interne pour travailler avec AWS, alors que les entreprises britanniques sont avantagées par Microsoft Azure.
Conclusion
Il existe de fortes incertitudes concernant le futur du marché cloud européen, avec des impacts majeurs pour les principales parties prenantes (entreprises et services
publics) qui doivent migrer vers le cloud. Le rapport note qu'à court terme, pour atténuer les risques de ce marché du cloud très incertain, plusieurs initiatives devraient être mises en œuvre par les décideurs publics et privés :
- Les DSI, CTO et RSSI doivent envisager un certain nombre de bonnes pratiques pour une migration conforme et sécurisée : maîtrise de l’usage effectif de l’IT dans le cloud (données et charge de travail), impulsion d’un changement culturel vers une stratégie cloud proactive, et sélection et gestion précautionneuses des plateformes cloud (à travers notamment l’évaluation fine des prestataires)
- Les Directeurs Juridiques devraient suivre finement la réglementation changeante et complexe des données : cartographie des transferts de données, évaluation des outils de transfert, réalisation d’une évaluation des risques en cas de non-conformité. Au-delà de la conformité réglementaire, le chiffrage des données peut garantir la souveraineté, mais uniquement dans des conditions extrêmement strictes de mise en œuvre
- Les Directeurs Marketing devraient développer une promesse client responsable et durable en termes de protection des données, valoriser des certifications cloud comme argument commercial et marketing, et se différencier de la concurrence par la garantie d’une conformité effective au RGPD
- Les décideurs publics devraient apporter un soutien plus fort à la migration vers le cloud, avec des politiques publiques normalisées, une politique de dépenses dédiées au cloud computing et la mise en œuvre d’un programme de formation notamment pour les décideurs informatiques des collectivités territoriales. La lenteur relative de l’adoption du cloud par les autorités locales est un grand marché pour les opérateurs de cloud européens en mesure de répondre aux exigences en matière de souveraineté des données des collectivités
Source : livre blanc Cloud européen
Et vous ?
Quelle lecture faites-vous de ces données ?