Nous l’avons tant attendu, et le voici : l’eldorado de Maximilian Schrems présentera bientôt le bout de son nez. Un cloud européen dénommé Gaia-X, d’initiative franco-allemande, a été annoncé durant l’été 2020 afin de rivaliser avec les géants du cloud computing américains et chinois.
L’Union européenne en quête de souveraineté technologique et numérique
L’UE a prévu un budget de 10 milliards d’euros sur les sept prochaines années à venir pour financer GAIA-X. 25 États-membres de l’UE ont déjà signé une déclaration conjointe promettant un budget national qui y sera dédié. Ils s’engagent à la création et au développement d’une “alliance européenne des données industrielles et du cloud computing”. Seuls Chypre et le Danemark n’y sont pas signataires pour le moment.
Cette alliance est cruciale à l’établissement d’un écosystème européen autour de la politique sur les données numériques en Europe, qui se doit d’être renforcée en vertu du RGPD. Cela s’inscrit également à l’égard de la récente invalidation du Privacy Shield par la CJUE qui a affirmé, tapant du poing sur la table, que la législation américaine ne satisfait pas aux exigences du RGPD en matière de protection des données à caractère personnel. De cette coalition doit également naître un “règlement européen sur le cloud”, ne laissant que les lois et juridictions des États-membres de l’UE comme socle juridique à ce projet.
Par ailleurs, GAIA-X arrive à un moment décisif eu égard à la polémique relative au Health Data Hub, la plateforme qui tend à créer une base de données commune aux données de santé de tous les français. Cette plateforme était supposée être hébergée par Microsoft ; la désuétude du Privacy Shield a alors remis en question le choix d’un opérateur américain de cloud computing. La CNIL a à cet effet délibéré qu’il fallait que ces données de santé ne soient ni confiées à Microsoft ni à aucune entreprise soumise au droit américain. En l’espèce, GAIA-X s’annonce une alternative durable pour l’UE, du moins en surface.
Un projet européen, oui mais pas tout à fait
Si Gaia-X fut très prometteur sur le papier au moment de son annonce officielle, il semble en pratique difficile de se défaire de la suprématie américaine. En effet, le ministre allemand de l’Economie et de l’Energie, Peter Altmaier, a annoncé que le projet ne fermerait pas ses portes aux entreprises américaines ; encore plus surprenant, les entreprises chinoises et indiennes ont également été mentionnées.
Le lobbyiste Digital Europe, comptant notamment parmi ses membres Google, Apple et Facebook, n’a pas tardé à déposer sa candidature d’adhésion au projet. C’est particulièrement à l’égard de ce dernier, Facebook, que l’on peut être surpris. La CNIL irlandaise l’a récemment mis en demeure, lui intimant de cesser les transferts transatlantiques de données à destination des Etats-Unis en raison d’une législation américaine non conforme aux exigences du RGPD en matière de protection des données des utilisateurs européens. Comment est-il ainsi légitime d’intégrer Facebook dans un projet de cloud européen ?
Le ministre allemand se veut rassurant et vient tempérer ces interrogations en assurant que les acteurs non-européens n’auraient qu’un poids limité dans ce projet, tel que l’impossibilité pour une entreprise américaine, chinoise ou indienne de devenir un membre du conseil d’administration. Cela étant, comment peut-on parler de souveraineté européenne alors que l’on intègre des acteurs américains, qui sont par ailleurs réputés comme n’étant pas conformes à la législation européenne en matière de protection des données ? Ce serait concrètement aller à l’encontre de l’esprit du projet GAIA-X. A priori, un moteur de recherche permettra aux clients de sélectionner le fournisseur de leur choix, mais est-ce satisfaisant ?
Une “Fédération européenne de l’informatique dématérialisée” déseuropéanisée ?
GAIA-X, c’est aussi la signature d’une déclaration commune par les États membres de l’Union européenne pour former une “fédération européenne de l’informatique dématérialisée”, qui serait une sorte de coopération interétatique régionale à des fins de création de clouds européens ayant pour objet de tenir tête aux géants américains et chinois. Le ministre allemand rétorque d’emblée que l’ouverture du projet aux Etats-Unis, à la Chine et à l’Inde n’aura pas pour conséquence de le soumettre aux législations étrangères.
On peut toutefois questionner la pertinence et la cohérence de cette ouverture ; GAIA-X était attendu comme étant bien plus qu’une alternative européenne de cloud computing. L’enjeu est d’assurer un rayonnement de l’Union européenne en la matière. Comment légitimer sa “résilience” si des États non membres de l’UE contribuent à sa compétitivité ? S’il est avancé qu’il s’agit de s’inspirer pour construire des bases solides et pérennes, c’est assumer implicitement la faiblesse de la région dans les services de cloud computing.
« L’enjeu central du projet est de rassembler les fournisseurs de services et d’infrastructures existantes autour d’un référentiel qui liste des attributs obligatoires, tels que l’absence de soumission à certaines réglementations comme le Cloud Act américain » Peter Altmaier
A cet égard, il est clair que GAIA-X n’a pas pour ambition de partir de zéro, mais de s’appuyer sur les infrastructures existantes et de l’adapter aux standards européens. Sous une telle mentalité, le “rayonnement” européen ne serait qu’à court terme ; de plus, ce “référentiel” se montre clairement dépendant des leaders hors des frontières de l’UE.
GAIA-X, un projet durable ou une “roue de secours” ?
Finalement, plutôt que de proposer une concurrence européenne aux GAFAM, GAIA-X s’identifie comme une entité gouvernante, mutualisant des services de cloud computing sous certification européenne, à l’instar du Privacy Shield, en offrant de la « privacy by design » aux utilisateurs. Le timing est plutôt bon : là où l’on aurait pu questionner la compétitivité du service alors que les voisins disposent déjà d’une envergure incontestable, la fin du Privacy Shield va certainement contraindre les opérateurs à se plier aux exigences européennes, considérant le potentiel économique que représente le territoire de l’UE pour les géants du web. Nous noterons néanmoins une certaine timidité : certes, GAIA-X se présente comme une infrastructure européenne des données, mais rien ne garantit par exemple que Google ne transfère pas illégalement des données vers les Etats-Unis. Le recours à des acteurs strictement européens aurait permis une « privacy by default ».
GAIA-X est attendu opérationnel d’ici fin 2020. En tout état de cause, il apparaît que l’impérialisme américain et l’émergence exponentielle chinoise entretiennent cette vision pessimiste de l’UE en matière numérique. Si le projet part d’un bon sentiment, il n’est pas certain qu’il soit sur le plan structurel suffisamment ambitieux au regard de la culture d’un écosystème européen de la donnée numérique. Tel quel, GAIA-X semble davantage digne de confiance que des opérateurs chinois ou américains, mais sera-t-il véritablement fiable ?
Sources :
- Cimino (V.), « GAIA-X : les géants du web américains chinois ou indiens pourront rejoindre le projet de cloud européen», SiècleDigital, 19 octobre 2020
- Gaydon (A.), « Controverse autour du Health Data Hub : Qui hébergera nos données de santé ? », 3 novembre 2020
- Grüll (P.) and S. Stolton (S.), « US and Chinese tech giants welcomed into ‘EU sovereign’ cloud project, Euractiv», 15 octobre 2020
- Heikkilä (M.) and Delcker (J.), « EU shoots for 10€B “industrial cloud“ to rival US», Politico, 15 octobre 2020
- Vitard (A.), « Le projet de cloud européen Gaia-X ouvert aux entreprises américaines, chinoises et indiennes», L’Usine Digitale, 16 octobre 2020