Depuis plusieurs mois, un mouvement de fond traverse les administrations et institutions publiques européennes. Sans annonces tonitruantes ni déclarations politiques spectaculaires, de nombreux organismes revoient en profondeur leur dépendance aux grands fournisseurs de cloud américains. Ce basculement progressif n’a rien d’idéologique. Il est avant tout pragmatique, technique et juridique, porté par une accumulation de signaux faibles que les décideurs publics ne peuvent plus ignorer.Pour les professionnels de l’informatique, ce mouvement est loin d’être anecdotique. Il redéfinit les stratégies d’hébergement, les architectures de systèmes d’information et, à terme, l’équilibre du marché cloud sur le continent.
Les révélations de Snowden montrent que les États-Unis se livrent à une surveillance de masse des utilisateurs de l'UE en récupérant des données personnelles auprès des grandes entreprises américaines. En conséquence, un rapport en 2020 a révélé que les Européens ne font pas confiance aux géants américains de la technologie pour leurs dossiers personnels. Le rapport, basé sur une enquête auprès de 4500 personnes au Royaume-Uni, en France et en Allemagne, a montré que les plus grandes inquiétudes concernent l'utilisation des données personnelles à des fins commerciales (51 %) et la possibilité de piratage (43 %). C’est dans ce contexte que de plus en plus de clients européens des grands fournisseurs de services Cloud US envisagent de s’affranchir.
Des fournisseurs comme Nextcloud et OVHCloud font état d'un pic de demandes de renseignements de la part de leurs clients. Les responsables desdites structures attribuent ce phénomène non seulement à l'effet Trump, mais aussi aux actions de l'administration américaine dans son ensemble.
La loi américaine CLOUD Act au cœur du problème ?
La quête de souveraineté numérique de l'Europe est entravée par une dépendance à 90 % vis-à-vis de l'infrastructure cloud américaine, affirme Cristina Caffarra, experte en concurrence et l'un des moteurs de l'initiative Eurostack.
Alors que Bruxelles défend des initiatives politiques et que les géants technologiques américains commercialisent leurs propres solutions « souveraines », quelques autorités publiques en Autriche, en Allemagne et en France, ainsi que la Cour pénale internationale de La Haye, prennent des mesures concrètes pour reprendre le contrôle de leurs technologies de l'information.
Ces cas constituent un modèle potentiel pour un continent aux prises avec son autonomie technologique, tout en révélant les défis juridiques et commerciaux profondément enracinés qui rendent si difficile l'accès à une véritable indépendance.
Le cœur du problème réside dans un conflit juridique direct et irréconciliable. La loi américaine CLOUD Act de 2018 permet aux autorités américaines d'obliger les entreprises technologiques basées aux États-Unis à fournir les données demandées, quel que soit l'endroit où ces données sont stockées dans le monde. Cela place les organisations européennes dans une position précaire, car cela entre en conflit direct avec la réglementation européenne stricte en matière de confidentialité, le règlement général sur la protection des données (RGPD).
Cela crée un risque difficile, voire impossible, à atténuer par voie contractuelle. Tout contrat privé entre un client européen et un fournisseur de services cloud américain est en fin de compte soumis à la législation fédérale américaine. Un mandat délivré en vertu du CLOUD Act oblige légalement une entreprise américaine à remettre des données, passant outre tout engagement contractuel en matière de résidence des données ou de confidentialité.
De plus, ces mandats s'accompagnent souvent d'une ordonnance de silence, interdisant légalement au fournisseur d'informer son client que ses données ont été consultées. Cela rend sans effet toute clause contractuelle exigeant la transparence ou la notification. Si des mesures techniques telles que le chiffrement sont souvent proposées comme solution, leur efficacité dépend entièrement de la personne qui contrôle les clés de chiffrement. Si le fournisseur américain gère les clés, comme c'est souvent le cas dans de nombreux services cloud standard, il peut être contraint de déchiffrer les données pour les autorités, rendant ainsi ces mesures de protection inutiles.
Le conflit entre le CLOUD Act et la législation européenne en matière de protection des données devient un obstacle pratique en vertu de l'article 35 du RGPD, qui impose une analyse d'impact relative à la protection des données (AIPD) avant le déploiement de toute nouvelle technologie « susceptible d'entraîner un risque élevé pour les droits et libertés des personnes physiques ».
Lorsqu'elles sont réalisées pour les services hyperscalers américains, ces AIPD signalent invariablement le CLOUD Act comme un risque important, souvent inacceptable. Cette obligation légale incite de plus en plus les organismes publics à rechercher des alternatives.
Ce que l'Autriche a appris
Le ministère fédéral autrichien de l'Économie, de l'Énergie et du Tourisme en est un bon exemple. Le ministère a récemment achevé la migration de 1 200 employés vers la plateforme collaborative open source européenne Nextcloud, mais le projet ne consistait pas à migrer depuis un fournisseur de cloud américain existant. Il s'agissait d'un choix délibéré de ne pas en adopter un.
Contrairement à de nombreuses organisations qui se sont précipitées pour adopter des solutions cloud américaines pendant la pandémie de COVID-19, le ministère autrichien a eu plus de temps pour évaluer les alternatives, car il utilisait encore Skype for Business. Ce répit s'est avéré crucial.
Florian Zinnagl, le CISO du ministère, et Martin Ollrom, son CIO, ont dirigé le projet. Le ministère traite non seulement les données des employés, mais aussi des informations sensibles provenant des citoyens et des entreprises externes, ce qui rend l'évaluation des risques DPIA particulièrement critique. Pour Ollrom, la question dépassait le simple choix technologique.
« Il ne s'agit pas seulement de Microsoft. Il s'agit d'un changement fondamental, les grandes entreprises technologiques transférant toutes vos données et le contrôle opérationnel vers leurs clouds », explique-t-il. « Au sein du département informatique, nous nous inquiétons depuis des années de perdre le contrôle de notre propre infrastructure. »
Le principal facteur déterminant n'était pas le coût, mais la souveraineté. « Il ne s'agissait pas d'économiser de l'argent », ajoute Zinnagl. « Il s'agissait de garder le contrôle sur nos propres données et nos propres systèmes. »
Une validation de principe de trois mois sur les serveurs du ministère a convaincu l'équipe que Nextcloud pouvait offrir les fonctionnalités dont elle avait besoin. Plus important encore, elle offrait quelque chose que Microsoft n'avait jamais pu offrir, selon le RSSI : « Nous pouvons voir notre contribution dans les versions de Nextcloud. C'est un sentiment que nous n'avons jamais eu avec Microsoft », explique Zinnagl.
La migration, achevée en seulement quatre mois, a démontré que de tels projets peuvent être exécutés rapidement. La solution Nextcloud s'est avérée nettement moins coûteuse, explique-t-il , mais le principe de maintien du contrôle est resté primordial.
Le cas autrichien illustre également les limites pratiques de la souveraineté numérique
Cette décision a eu un effet boule de neige, puisque plusieurs autres ministères autrichiens ont depuis commencé à mettre en œuvre Nextcloud. Pour Zinnagl et Ollrom, cela prouve qu'une organisation prête à faire le premier pas peut inciter d'autres à suivre son exemple.
Leur conseil aux autres gouvernements européens est clair : soyez courageux, impliquez la direction et lancez-vous. « On n'atteint pas la souveraineté numérique du jour au lendemain », explique Ollrom. « Il faut passer par plusieurs étapes, mais il faut commencer par la première. Ne vous contentez pas d'en parler, passez à l'action. »
Cependant, le cas autrichien illustre également les limites pratiques de la souveraineté numérique. Nextcloud sert désormais de principale plateforme de collaboration pour la communication interne et le partage de fichiers, mais Microsoft Teams n'a pas été entièrement interdit.
Son utilisation est strictement limitée à la communication externe avec les parties qui continuent de l'utiliser, telles que la Commission européenne. Même dans ce cas, des règles strictes s'appliquent : aucune information sensible ne peut être...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.