Face à la crise de confiance des peuples et des entreprises quant aux capacités en matière de traitement souverain des données numériques dans les territoires nationaux européens, la France et l’Allemagne s’engagent dans un plan de construction d’une infrastructure Cloud de grande ampleur. Présentée comme une réussite inéluctable, de nombreux points semblent pourtant poser question quant au sérieux des parties prenantes dans l’élaboration de cette initiative de bon sens. Décryptage par Florent Jourde.
« Nous ne sommes pas la Chine ni les États-Unis, nous sommes l’Europe avec nos propres valeurs et intérêts économiques que nous voulons défendre ». Ce sont les paroles de Bruno Le Maire lors du lancement en juin dernier du projet de « Méta-Cloud » européen GAIA-X. L’objectif semble établi : Gaia-X se veut représenter une nouvelle marche vers l’indépendance et la souveraineté d’une Europe décidée à s’imposer entre les deux mastodontes que sont les États-Unis et la Chine. Une quête d’affirmation diplomatique qui semble se construire autour d’une identité alliant puissance économique alternative et interventionnisme éclairé à travers son projet d’armée européenne. GAIA-X s’inscrit vraisemblablement dans cette double optique et vise au travers du cloud européen à la fois la garantie de valeurs comme celles de respect pour la vie privée, de souveraineté des données ou encore d’interopérabilité entre services. La consigne fournie par le ministère de l’Économie se veut en totale opposition avec la posture obscurantiste défendue outre-Atlantique et son « cloud act », loi fédérale adoptée en 2018, modifiant au passage le « Stored Communications Act » (SCA) de 1986, autorisant les instances de justices américaines à solliciter les opérateurs afin d’accéder aux données contenues dans les serveurs situés sur son sol et au-delà, sans obligatoirement en avertir le propriétaire. Cette impulsion européenne se conçoit comme un contrepoids à l’emprise de Washington et Pékin sur le marché de l’infrastructure cloud.
Au-delà du discours, les moyens engagés sèment le doute quant à la portée réelle du projet
Le lancement fait en réalité suite à un « manifesto » co-rédigé par le ministère de l’Économie et de l’Énergie allemand et le ministère des Finances français en février 2019, texte lui-même issu d’une initiative allemande sur « la stratégie industrielle nationale pour 2030 ». À ce stade, plusieurs axes furent énoncés comme « investir massivement dans l’innovation », « adapter notre cadre réglementaire » et mettre en place « des mesures efficaces pour nous protéger ». Comme souvent dans l’histoire du fonctionnement institutionnel européen, l’Allemagne invite une nouvelle fois son partenaire français à le suivre pour initier ce projet. Anne-Sophie Taillandier (directrice de la plateforme TeraLabs de l’Institut Mines-Telecom, l’un des cofondateurs de Gaia-X) ne cache d’ailleurs pas que les allemands en sont bien les initiateurs. Elle ajoute que, depuis, les deux pays ont « bien travaillé ensemble » pour le faire avancer. Est-ce à dire que GAIA-X émerge exclusivement de priorités industrielles allemandes ? L’interrogation reste en suspend.
Au-delà de cette direction bicéphale initiale, la volonté n’est clairement pas à l’entre soi et à terme l’ambition serait d’élargir cette direction. Bruno Le Maire, toujours dans son discours d’introduction, rappelait que les Pays-Bas, l’Italie et l’Espagne auraient déjà fait part de leur intérêt à rejoindre l’aventure. Il est donc aisé de saisir toute l’importance du sujet qui s’étend pour ainsi dire au-delà des frontières numériques avec une ambition non-dissimulée de venir renforcer la co-dépendance et la coopération entre États membres. Le projet est pour le moment porté par 11 entreprises allemandes (Beckhoff, BMW, Bosch, Deutsche Telekom, DEC-X, Fraunhofer Institute, Friedhelm Loh Group, IDSA association, PlusServer, SAP et Siemens) et 11 françaises (Amadeus, Atos, CISPE association, Docaposte, EDF, Institut Mines-Télécom, Orange, Outscale, OVHcloud, Safran et Scaleway ). Les 22 membres ont d’ores et déjà mis 75 000 euros chacun sur la table, soit une enveloppe d’environ 1,5 million d’euros au total. Une somme qui peut paraître modeste au vu des ambitions affichées (en comparaison, les investissements américains s’élèvent à plusieurs milliards de dollars). Du côté de sa structuration, GAIA-X est juridiquement une association à but non-lucratif dont le siège social s’établit à Bruxelles, au plus près des institutions européennes. Jusqu’ici, Gaia-X semble respecter les échéances prévues, un démonstrateur ainsi qu’un document officiel ont été publiés il y a peu, rappelant au passage les grandes lignes directrices du projet :
«1. Souveraineté des données.
2. Utilisation de technologies ouvertes, compréhensibles et sûres, entre autres utilisation des principes de l’ « Open Source », en écosystème ouvert.
3. Traitement décentralisé et distribué des données (Multi-Cloud, Multi-Edge ou Edge-to-Cloud) afin de réaliser des économies d’échelle.
4. Interconnexion et interopérabilité sémantique – sur la base de standards – au niveau du réseau, des données et des services – en particulier, interconnexion des environnements « Cloud » et périphériques.
5. Indépendance et automatisation de la certification des participants à l’écosystème GAIA-X ainsi que de la réalisation de contrats de participation et de leur respect en termes de sécurité informatique, souveraineté des données, accords de services et contrats cadres.
6. Mise à disposition de tous services centraux nécessaires pour garantir sécurité et convivialité du fonctionnement (par ex. authentification).
7. Autodescription des nœuds du système GAIA-X visant à favoriser la transparence mais aussi le développement de nouveaux modèles d’affaires et d’application entre différents participants (par ex. distribution de données ou services)»
Une démarche crédible ?
Avec des moyens limités et un calendrier ambitieux (livraison pour début 2021), GAIA-X peut-il espérer s’imposer comme un concurrent crédible face à Microsoft, Amazon ou encore Alibaba ? Il est permis d’en douter. GAIA-X ne sera pas une « super entreprise » européenne « mais plutôt une entité capable de favoriser, par ses directives et ses standards, l’essor d’acteurs déjà existants, tout en harmonisant les pratiques de ceux déjà en place ». La structure a donc pour vocation d’informer et d’accompagner les utilisateurs (les entreprises en premier lieu) dans leur choix d’une solution cloud adaptée à leurs besoins et selon leurs domaines d’activité tout en garantissant des conditions vertueuses d’hébergement des données.
Cette finalité émerge également du constat que nombre d’entreprises s’orientent presque machinalement vers les géants américains (Microsoft, Google et Amazon représentent plus de la moitié du marché du cloud mondial) sans véritable prise de considération des structures et des solutions « locales ». Il faut dire que les leaders du marché ont de sérieux atouts dans leurs bottes en termes d’API (Application Programming Interface) et de services au sens large. La future plateforme s’imagine donc en « place de marché » capable d’apporter visibilité et reconnaissance aux acteurs européens, en leur offrant un configurateur géant dont les GAFAM seront parties prenantes. Ceci constitue d’ailleurs le premier défi de la structure, à savoir, de permettre une interopérabilité complète entre l’ensemble des partenaires afin de proposer l’offre la plus cohérente, la plus personnalisable et la plus stable possible.
Cette visée d’interopérabilité soulève plusieurs enjeux notamment vis-à-vis du passage quasi-obligatoire à l’utilisation de solutions relativement standardisées voire éprouvées par la communauté d’utilisateurs. Il s’agit de trouver un langage commun pour espérer établir une communication. Cela va donc se traduire par des choix d’outils, de protocoles ou de standards connus et reconnus. Notons ici que ce problème risque de s’accroître au fur et à mesure de l’arrivée de nouvelles parties prenantes au projet… Une première version du démonstrateur, publiée par CLOUD&HEAT Technologies, est déjà en service, dans laquelle l’utilisateur est à même de choisir ses options de sécurité à l’aide d’un configurateur. Le choix se porte alors automatiquement sur les acteurs déjà en place et leaders du marché. Les noms de Redhat (société américaine) ou encore Kubernetes (plateforme open source dont le propriétaire n’est autre que Google) sont d’ores et déjà retenus.
Tout ceci pose une nouvelle fois la question de la dépendance face aux entreprises américaines et étiole les revendications souverainistes des discours. S’il convient de ne pas associer systématiquement entreprises et pouvoir fédéral américain, l’histoire récente montre que cette frontière est fragile, comme en témoigne la récente décision de Google de stopper l’utilisation de la licence de leur système d’exploitation mobile Android par le géant Huawei suite à des soupçons d’espionnage. Cas relativement extrême, et peut-être rare, mais qui a le mérite d’exister. Une autre source de crispation quant à la crainte d’une ingérence américaine fut illustrée par l’application Stopcovid (application de traçage française dans le cadre de l’épidémie COVID19) lorsqu’un système de captcha Google s’est glissé dans l’hébergement du dispositif. Un détail en apparence, qui en dit long sur les réalités du degré de dépendance auquel la France est sujette vis-à-vis de l’outre-Atlantique.
Sans pour autant rejeter en bloc l’initiative que représente GAIA-X et ses ambitions émancipatrices, force est de constater que celles-ci ne s’appliquent qu’à une certaine échelle. Oui, l’hébergement se fait sur le sol européen. Oui la confidentialité des données sera vraisemblablement garantie. Mais avec quels outils et sur quelle base concrète ? En majorité via l’intervention de solutions extra-européennes dans un premier temps. Le fait de privilégier une philosophie open source est une bonne chose mais demeure suspendu au bon vouloir des leaders du marché que sont Linux, Google et autres. Difficile, toutefois, de blâmer l’initiative tant l’émancipation totale semble utopique à l’heure actuelle. Reste–t-il une marge de manœuvre possible pour le projet ? La réponse n’apparaît pas évidente tant les moyens actuels ne semblent pas à la hauteur du défi. Yohan Prigent, VP Front chez Scalway, rappelait d’ailleurs dans un webinar que « GAIA-X ne veut pas réinventer la roue », « On ne va pas se dire “il y a un protocole qui existe pour l’object storage et qui s’appelle S3, allez en Europe on est plus fort on va faire S4 ». Une réflexion qui peut paraître sommaire d’un point de vue stratégique mais qui fait sens d’un point de vue industriel, tant on connait le coût d’investissement et le temps de développement de tels outils (incompatible avec le budget de départ). Mais la partie n’est pas jouée pour autant et l’on peut toutefois compter sur des développements innovants. La thématique du « multi-cloud » revient inlassablement et certains industriels du projet GAIA-X semblent se positionner en faveur de cette initiative. Une idée qui pourrait se matérialiser à travers le transfert de données depuis domaine (Amazon Cloud par exemple), pour les faire ensuite transiter par différents services, pour enfin les exporter sur une plateforme tierce. Le projet, malgré son niveau de dépendance, possède ainsi quelques atouts qui pourraient le démarquer sur le marché. Tout reste cependant à construire. Bruno Le Maire parlait en ce sens de pouvoir transférer ses données d’un opérateur à un autre. GAIA-X ambitionne bien plus et parle d’exporter ses ACL (Access Control List ; Gestion des droits d’accès), ses licences ou encore ses applications d’un partenaire à un autre si l’offre souscrite ne convient plus ou s’avère, par exemple, trop coûteuse. On entrevoit alors le potentiel technique et commercial pour un industriel lambda. GAIA-X sera donc, du moins dans sa forme de départ, davantage vu et « marketé » comme un tiers de confiance, un gage de qualité, une forme de certification européenne en somme.
GAIA-X se tourne vers l’ouest…
L’interopérabilité, nous venons de le voir, constitue une des clefs du succès. Cependant, une autre ambition semble se profiler à l’horizon. En effet, toujours au travers de la vidéo de démonstration précédemment mentionnée, celle-ci montre à plusieurs moments l’option de choisir une localité cloud située outre-Atlantique (East, West US, Canada). Ces données ne vont pas dans le sens de l’image de la figure d’opposition à l’impérialisme nord-américain qui fut promise. L’heure est effectivement davantage à l’inclusion des parties nord-américaines, si bien que l’on pourrait presque se demander si GAIA-X, en laissant une telle porte ouverte, ne recherche pas une forme d’adoubement de la part des américains. Une politique du gringue qui ne semble pas pour le moment bénéficier aux rivaux chinois. L’Europe semble donc choisir son camp, sans bousculer les liens géostratégiques historiques. Si l’Europe n’est pas les États-Unis, comme le rappelle Bruno Le Maire, il semble difficile pour elle de se détourner des vieux réflexes atlantistes. La position française reflète donc celle de son président, alternant entre gaullo-miterrandisme et néo-conservatisme. Dès lors, est-il pertinent pour l’Europe de continuer à se lier officieusement aux américains avec lesquels les intérêts stratégiques sont de plus en plus divergents ? Rien n’est moins sûr.
Les entreprises cloud américaines vont-elles se plier mécaniquement à ces nouvelles normes afin d’être référencées dans le catalogue ? La question mérite d’être posée, surtout lorsque l’on connait l’emprise américaine sur ce marché. Pourrait-on espérer des politiques incitatrices de la part de Bruxelles ? L’Europe se risquerait-elle à fermer la porte aux américains, sinon sur certaines cibles, s’ils ne se conforment pas aux exigences européennes ? Quelle réaction attendre alors de la part de Washington ? Autant de questions complexes que le projet GAIA-X ne pourra éviter. La ligne directrice semble être pour le moment de privilégier la coopération. L’Europe fait donc face à un paradoxe, tiraillée entre une politique d’ouverture et une volonté souverainiste et indépendantiste. Un discours ambigu qui se traduit également dans les faits. Le Health Data Hub, la solution d’hébergement des données de santé à la française, a été récemment confié à Microsoft. La CNIL a vivement réagi depuis appelant au choix d’un prestataire européen, mais le gouvernement Macron, par l’intermédiaire de son secrétaire d’État aux numériques, Cédric O, se défend en pointant « le retard européen dans le cloud » et précisant qu’il n’y a « pas la possibilité de faire tourner des algorithmes d’intelligence artificielle aussi développés sur une infrastructure française que sur une infrastructure américaine ». Les préjugés sont décidément tenaces et cette réaction n’est pas sans déplaire au leader français OVH. Son directeur Octave Klaba ajoutait sur le sujet « Pas de cahier des charges. Pas d’appel d’offres. Le POC (Proof Of Concept) avec Microsoft qui se transforme en solution imposée ». Une énième démonstration du poids et de l’influence de ces pachydermes du numérique sur nos institutions. Un véritable danger, surtout quand on connait les politiques « d’enfermement propriétaire » dont usent et abusent des compagnies comme Microsoft. En tout état de cause GAIA-X répond à un besoin urgent mais est-il pour autant l’outil le plus adapté ? De plus, l’argument portant sur la communication défendu par le projet ne s’avère pas secondaire surtout quand nos propres politiques se révèlent incapables d’évaluer les capacités des entreprises françaises.
La piste du cloud « Hyperscaler » européen aux infrastructures souveraines
Le besoin réel sur lequel GAIA-X trouve sa légitimité aurait pu orienter ses décideurs vers la création d’un cloud aux infrastructures souveraines. L’idée en réalité n’est pas neuve et émerge en France durant l’ère du gouvernement Fillon en 2009. Lancé en grande pompe en 2011, le projet Andromède avait déjà pour ambition de rassembler les acteurs majeurs de l’industrie hexagonale à savoir Orange (au travers de l’entité Orange Business Services), Thales et Dassault Systèmes. Suite à un désaccord entre Orange et Dassault, deux nouveaux projets sont nés, d’un côté Cloudwatt porté par Orange Business, de l’autre Numergy piloté par SFR. L’expérience fut, au final, un échec puisque Numergy périclita dès 2016. Quant à son confrère Cloudwatt, malgré des signes encourageants, il s’acheva en janvier 2020. Un retour d’expérience qui explique sans doute en partie le changement de stratégie pour s’appuyer, une nouvelle fois, sur des acteurs connus et reconnus. Malgré ces échecs, Bruno Le Maire, malgré ces précédents projets morts et enterrés ne semblait pas écarter pour autant le retour d’un énième cloud souverain appelé cloud « stratégique ». De toute évidence, le défi est de taille, surtout lorsque ces acteurs évoluent en concurrence directe ou indirecte sur le marché privé.
Le projet franco-allemand part d’un idéal sans appel : celui de trouver un espace d’indépendance stratégique sur l’industrie numérique vis-à-vis des puissances extérieures. L’idée semble prometteuse au vu de certains développements qu’elle propose autour du souverainisme mais sa mise en application reste trop souvent incantatoire à ce stade. La vocation, comme nous l’avons vu, n’est pas de repartir de zéro en proposant des outils made in Europe mais bien de continuer d’utiliser les outils connus et reconnus quitte à piocher hors des frontières de la zone euro. Or les leaders de ce marché ne sont pas situés en Europe. S’il s’agit d’une position qui fait sens d’un point de vue court-termiste, c’est aussi un choix qui laisse la place à une certaine dépendance extérieure, majoritairement américaine. Certaines entreprises y trouveront sûrement un outil adéquat, capable de s’adapter à leurs besoins, à condition que le projet s’avère viable sur le long terme au vu des défis qui sont les siens.