Cloud souverain & offres hybrides
Ce domaine est le cœur de la controverse « souveraineté » de la commission. Il part d'un diagnostic très largement partagé — le décrochage européen dans le cloud, dont la part de marché « est passée de 27 % en 2017 à 16 % en 2021 » (Maya Noël, Mme Maya Noël), voire 15 % aujourd'hui (Sébastien Lescop, des fournisseurs de cloud .), l'Europe dépendant « de pays étrangers pour 80 % » de ses produits et infrastructures numériques (Noël, Mme Maya Noël) — pour buter sur un désaccord de fond : que signifie « souverain », et par quel chemin l'atteindre ? Trois lignes de force traversent le domaine. D'abord, un point d'appui technique consensuel, le référentiel SecNumCloud, présenté comme la meilleure garantie contre le droit extraterritorial (Cloud Act), mais réservé à un marché étroit (17 offres certifiées, surcoût de 25 à 45 %) et fragilisé par l'échec de son européanisation dans l'EUCS. Ensuite, la montée d'un soupçon de sovereignty washing visant les technologies américaines « rebadgées ». Enfin, une exigence de réalité : une offre souveraine ne se décrète pas, elle suppose maturité, réversibilité et compétitivité effectives.
Les six sujets couverts. SecNumCloud et certification européenne (EUCS) pose la brique de référence : label qui protège « par l'opérateur, pas contre lui » (Anssi), critère excluant par nature les acteurs américains, mais dont l'extension européenne a été vidée de la souveraineté sous un lobbying US dénoncé par le Cigref. Cloud souverain et doctrine « cloud au centre » cartographie le clivage définitionnel : maîtrise de la donnée (Cnil) contre possession/auto-hébergement (Nubo à la DGFIP, Pi à la gendarmerie), et pose la question de la coercition de l'achat public (Luzeaux) face au « le cloud pèse trop dans le débat » de Verdier. Clouds « de confiance » : Bleu et S3NS détaille le nœud du domaine : des opérateurs de droit français adossés à une pile technologique Microsoft (Bleu) ou Google (S3NS), avec le débat de l'« air gap », du « kill switch » et de la migration à trois ans. Sovereignty washing et « paresse intellectuelle » nomme et disqualifie le procédé (Schrems : « un bon vieux serveur américain paré d'un drapeau européen » ; d'Agrain : « paresse intellectuelle ») et démonte le narratif du « pas d'alternative » (Paulin, sur le Health Data Hub sans appel d'offres). Maturité et disponibilité d'une offre souveraine renverse la priorité — la vulnérabilité tient « non pas à un déficit de réglementation mais au défaut d'offre souveraine » (Noël) — et confronte l'exigence maximaliste d'une chaîne de contrats 100 % européenne (Guillou) au pragmatisme dissonant de Scaleway sur les consortiums. Hébergement souverain et réversibilité des données referme le domaine sur un terrain jugé « largement gagné » : les données sensibles doivent rester dans un cadre souverain (SecNumCloud, on-premise, clouds régionaux), la réversibilité (Health Data Hub, travaillée depuis 2019) en étant la condition technique.
Les clivages majeurs. Quatre lignes de fracture structurent le domaine. (1) Souveraineté par la loi/le capital contre souveraineté par la technologie : Aiman Ezzat (Capgemini, M. Aiman Ezzat) soutient qu'« il est possible de renforcer sa souveraineté technologique sans nécessairement passer par des technologies européennes », là où Mistral (M. Arthur Mensch) exige que la donnée ne soit « à aucun moment soumise aux juridictions américaines » et Guillou (M. Nicolas Guillou) qu'aucun maillon de la chaîne ne soit américain. (2) Cloud souverain contre washing : les hybrides sont défendus comme pragmatiques et fonctionnels (Sommelet, Caudoux, M. Arnaud Caudoux — un cloud 100 % européen étant illusoire), mais dénoncés comme du « repeint bleu, blanc, rouge » qui « ne confère aucune indépendance » (Miltin, Lucas, Klaba, des fournisseurs de cloud .), la présidence de la commission (Latombe, Chatelain) nommant explicitement le « sovereign washing ». Fait notable, cette critique traverse le camp des opérateurs eux-mêmes : Christel Heydemann (Orange, Mme Christel Heydemann), co-investisseuse de Bleu, reconnaît qu'« il n'y a pas d'indépendance technologique ». (3) Le label suffit-il pour le sensible ? Strubel (Anssi) tient une logique « nécessairement binaire » et suffisante, quand le général Boget (Anfsi) juge que « même un SecNumCloud » ne vaut pas une exploitation directe par des agents publics. (4) Régulation contre offre : faut-il d'abord encadrer/contraindre l'achat public (Luzeaux, Chatelain) ou d'abord faire émerger une offre performante (Mayenobe, Noël), la souveraineté imposée « en soi » étant sinon « artificielle et court-termiste » (Mayenobe, Mme Catherine Mayenobe) ? Les cas emblématiques — Health Data Hub, choix de Salesforce à l'Éducation nationale faute d'alternative, exception DMA de 2022 pour AWS/Google/Microsoft — servent de champ de bataille commun à ces désaccords.
Sujets couverts
- SecNumCloud et certification européenne (EUCS) — la brique de référence contre l'extraterritorialité, son marché étroit et l'échec de son européanisation.
- Cloud souverain et doctrine « cloud au centre » — le clivage définitionnel (maîtrise de la donnée vs possession/auto-hébergement) et la coercition de l'achat public.
- Clouds « de confiance » : Bleu et S3NS — opérateurs français sur pile technologique américaine, débat de l'air gap, du kill switch et de la réversibilité.
- Sovereignty washing et « paresse intellectuelle » — la critique du vocabulaire souverain et le démontage du narratif du « pas d'alternative ».
- Maturité et disponibilité d'une offre souveraine — le défaut d'offre comme vulnérabilité première, exigence de chaîne 100 % européenne vs pragmatisme des consortiums.
- Hébergement souverain et réversibilité des données — les données sensibles dans un cadre souverain, la réversibilité comme condition technique, surcoût assumé.