Ce 15 septembre, le directeur de la DINUM (Direction Interministérielle du Numérique, service du Premier ministre) a émis une note actant que l’offre Microsoft (Office) 365 n’était « pas conforme à la doctrine Cloud au Centre », car hébergée sur Azure, le cloud de cet éditeur, et donc non sécure pour les données de nos administrations des plus au moins sensibles …
Le gouvernement français avait révélé et assumé, le 17 mai 2021, l’emploi de technologies américaines pour construire l’écosystème public cloud au travers de la stratégie « Cloud de confiance » mais ce, avec plus ou moins de réserves :
Pilier 1 : la notion de souveraineté par non-applicabilité des lois américaines, obtenable par l’hébergement par des sociétés européennes, statutairement et en possession, avec des données stockées en France par l’utilisation « sous licence » des produits sans donc l’offre complète incluant leurs clouds.
Pilier 2 : l’utilisation des « meilleurs » services mondiaux « actuels », ceux des GAFAM, néanmoins sous forme de licences pour des sociétés opératrices françaises (validées SecNumCloud).
Pilier 3 : la sacro-sainte nécessité d’inscription de ces choix à une stratégie de mutualisation, de convergence européenne du moins franco-allemande habituelle.
Ce choix s’inscrit comme un des supports à la stratégie « Cloud au centre » qui vise à la migration des systèmes de l’état vers ce standard. Au passage, on note qu’on aura évité les habituelles appellations anglo-saxonnes « trendy » souvent associées à ces annonces avec un « trust » ou un « centric » pour nommer ces programmes franco-français. L’exemple des centrales nucléaires lancées dans les années 70 sous licences américaines (Westinghouse, choix de Pompidou) est repris pour justifier le second pilier de cette stratégie. L’application des lois extraterritoriales étasuniennes d’accès, Cloud Act et FISA, étant apparemment évitée avec un système de licence, de centres de données situés en Europe, avec des sociétés françaises ou européennes, le cœur du digital français est quand même rendu dépendant de ces acteurs extra-européens et de leurs services.
Le référentiel SecNumCloud largement cité lors de cette présentation, certificat de l’ANSSI validant des sociétés offrant des services d’infrastructure sécurisés (3 françaises à date) est vertueux. Mais cette approche nationale est en cours de partage (ESCloud notamment) avec la démarche équivalente allemande, C5 par la BSI, qui, elle, fait part belle au GAFA sans doute pour extension européenne. D’autres actions, comme le Digital Market Act (par principe à effet positif comme l’a été la raison du RGPD), démarche de l’UE visant à la concurrence juste et à imposer des contraintes aux contrôleurs d’accès vise à contrer la concentration de la totalité de services numériques sur des plateformes au même moment ou aux USA des projets antitrusts se raniment. Nous allons vers un monde sur-contraint mais dont les effets des actes et règlements sont souvent vains quand on sait, par exemple, que les pénalisations infligées aux GAFAM, dans le cadre du RGPD, ne sont pas dissuasives, non versées pour certaines d’entre elles, en recours, insuffisamment instruites par la CNIL, pas assez pénalisantes par des amendes faibles pour ces géants (cf. article en annexe).
Les licences évoquées ont un prix, induisent une dépendance, le morcellement avec une stratégie de startupisation européenne qui fait place aux grandes entités qui auraient été aptes à concurrencer les GAFAM (un INRIA adossé à une grande société française par exemple …).
Rappelons encore que la majeure partie des services des GAFAM est facturée via des paradis fiscaux intra-européens (Irlande, Luxembourg, Pays-Bas,…).
Ainsi, nous n’aurons que des clients, des licenciés nous annonce cette présentation ministérielle, des prestataires voire des partenaires des GAFAMI (rajoutons ici IBM, entre autre, pour l’IA). Ceci valide bien que des sociétés assimilées comme françaises sont dépendantes des infrastructures physiques ou applicatives de ces mêmes géants. C’est le cas maintenant d’OVH avec GOOGLE. Il y a un nouveau rideau de fer technologique/numérique US-UE versus Russie/Chine … tout cela est encore plus inquiétant si nous surchargeons cela du domaine de la Défense bâti sur ces technologies, nos armées devenant dépendantes et astreintes de nos … alliés d’aujourd’hui. Concédons qu’en fin de son allocution Cédric O. ne se satisfait pas de cette situation par la nécessité de « rattrapage volontariste ». Gageons que le « Plan Quantique » porte lui des fruits avantageux pour notre pays.
GAIA-X, le dernier projet Cloud de l’UE, est lui-même déjà gangrené par la présence des GAFAM, de d’autres acteurs majeurs transocéaniques et même asiatiques (Palantir, Oracle, Salesforce, Huawei, Alibaba Cloud, la liste est longue …).
DEBOUT LA FRANCE, parti politique conscient et en veille sur ces sujets, rappelle donc son positionnement et des propositions sur ce sujet du cloud et de ses services périphériques:
Faire que l’IA et le Big Data (les fameuses « valorisation » dans cette conférence) opérant sur nos données françaises soient le plus possible indépendantes des mêmes GAFAM et sociétés non françaises si possible ou du moins que les données soit pseudonymisées (terme attaché au RGPD) par le biais de l’état si recours à celles-ci.
Appliquer que pour chaque type de services informatiques (OS, applications, IA, sécurité, hébergement, …) qu’au moins un géant français soit constitué, musclé et se sépare des influences étrangères pour les services de l’État et les sociétés privées de notre pays qui voudraient avoir recours à ses services en toute transparence et respect des enjeux et règles strictes (au sens vertueux du RGPD en particulier).
Eviter que des sujets commercialement sensibles (comme nous sommes encore théoriquement dans un monde concurrentiel) et régaliens d’un Etat souverain soient systématiquement inscrits dans une obligation de travail conjoint, de partenariat, d’interdépendance statutaire avec l’Allemagne ou l’Union Européenne plus généralement.
Sous couvert d’emploi des « meilleures entreprises de services mondiaux qui aujourd’hui sont américaines », le terme de « colonie numérique » est parfois utilisé pour qualifier cette situation résidante en France et dans l’Union Européenne d’ailleurs.
Plus globalement, ne laissons pas faire que l’état devienne un squelette, un simple contracteur et médiateur de tous ses secteurs privatisés qui font ainsi de notre pays, un franchisé de l’état monde.
Lionel Mazurié
Délégué National au Numérique
Annexes :
Confirmation de la DINUM : https://www.cio-online.com/actualites/lire-la-dinum-confirme-l-interdiction-de-deployer-office365-dans-les-administrations-13537.html
Présentation Stratégie Nationale pour le Cloud : https://www.economie.gouv.fr/cloud-souverain-17-mai#
La Quadrature du Net : https://www.laquadrature.net/2021/05/25/les-gafam-echappent-au-rgpd-avec-la-complicite-de-la-cnil/