La crise a accéléré la prise de conscience des gouvernements et des entreprises sur l’importance de disposer de ressources propres afin de reprendre le contrôle sur ses propres données. Les récentes alliances, notamment celle unissant Google et Thalès, représentent l’ultime tentative de concilier l’inconciliable tant que le Cloud Act est en vigueur : mettre sur pied un cloud souverain en coopération avec les géants américains. D’ailleurs l’expression « cloud souverain » n’est pas en usage dans la terminologie et les écrits produits par les firmes américaines, comme si le cloud restait une offre commerciale comme les autres. Ce qui n’est bien entendu pas le cas : le traitement des données et leur sécurité sont un enjeu stratégique pour la souveraineté des états.

Après avoir laissé retomber les débats suscités par l’annonce de l’alliance Thalès-Google Cloud, le CESIN vient de publier sa position sur ces dernières annonces. L’association des experts de la sécurité informatique commence par déplorer le manque de solutions proprement souveraines. « Ces dernières années, la souveraineté numérique a été au cœur des débats de la protection des données sensibles ou confidentielles, sans que les paroles se soient véritablement transformées en actes concrets », déplore l’association.

Les décideurs politiques n’ont pas su choisir

En effet, beaucoup de rapports parlementaires et de débats ont agité l’écosystème européen pour proposer des solutions, mais aucun projet ne s’est véritablement imposé, les contours et les objectifs de cette souveraineté restant par ailleurs souvent mal définis. Le club des experts de la cybersécurité estime qu’entre le désir d’empêcher des autorités étrangères d’accéder aux données sensibles des entreprises et administrations françaises, et la volonté de réduire notre dépendance en matière d’industrie du numérique, les décideurs politiques n’ont pas su choisir.

Toujours est-il que depuis quelques mois des initiatives concrètes, qualifiées d’« intéressantes » par le CESIN, voient le jour. Et de citer le partenariat Bleu, entre Capgemini, OBS et Microsoft, ainsi que le récent accord entre Thalès et Google Cloud. Le moins qu’on puisse dire, c’est que le club des experts adopte une position attentiste et bienveillante. « Entre l’emballement des uns et l’extrême scepticisme des autres, le CESIN accueille donc avec bienveillance les annonces de partenariats Bleu entre Capgemini, OBS et Microsoft ainsi que celle récente de Thalès et Google », explique-t-il dans son communiqué.

La quadrature du cercle

Ayant conscience que les écosystèmes des GAFAM sont incontournables pour les entreprises et les organismes publics français, ils ne peuvent rejeter en bloc toute alliance. Serait-ce une manière d’entériner une bonne fois pour toutes le caractère incontournable des fournisseurs étrangers, à fortiori américains ? On serait tenté de répondre oui à cette question.

D’ailleurs la formulation de l’explication du CESIN est assez floue pour ne pas « insulter l’avenir » : « même s’il faut rester vigilants et attendre d’en savoir davantage sur les conditions d’implémentation d’une part et l’opérabilité d’autre part, si les promesses sont tenues, les risques liés aux lois extraterritoriales américaines, sur les clouds publics Microsoft et Google, et les questions sur la localisation des données et de ceux qui opèrent les plateformes, pourront enfin être adressés par ces solutions ».

Sans entrer dans des explications technico-juridiques, débattues en long et en large, la question qui se pose alors est simple : comment considérer le cloud issu de ces alliances comme souverain, alors que l’un des signataires est soumis au Cloud Act ? La quadrature du cercle.