La publication du Livre Blanc sur le cloud européen par le cabinet d’audit KPMG France en mai 2021 marque la nécessité pour l’Europe, indéniablement retardataire sur le marché, de se réinventer et de saisir les opportunités apportées par l’évolution technique et technologique.
La CNIL définit le cloud computing comme « l’utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs répartis dans le monde entier et liés par un réseau. Les applications et les données ne se trouvent plus sur un ordinateur déterminé mais dans un nuage (cloud) composé de nombreux serveurs distants interconnectés ». Au lieu de posséder et de bénéficier de la capacité d’un seul serveur, le cloud computing permet une capacité d’accès à une puissance illimitée, élastique, de calculs mutualisés. Le cloud permet l’accès à des données ou applications par une connexion Internet, mais également leur stockage par un hébergeur sur un serveur extérieur.
Le déséquilibre économique et l’insécurité juridique sources d’inquiétude européenne
La crise sanitaire a démontré aux dubitatifs l’enjeu économique du cloud, les économistes prévoyant que près de 60% de la croissance mondiale proviendra du numérique, le marché mondial du cloud étant élevé à 197 milliards d’euros en 2018 contre une prévoyance de 355 milliards d’euros en 2022. Seulement, ce marché en pleine croissance n’est pas accessible à tous, mais plutôt exclusif aux hyperscalers (Amazon – AWS, Microsoft – Azure, Google) ridiculisant le chiffre d’affaires annuel du fournisseur cloud français OVH pesant 600 millions d’euros contre 32 milliards d’euros pour AWS. Ce déséquilibre est notamment expliqué par la pratique du Lock-in, favorisant la dépendance des consommateurs à certains services et possède des conséquences juridiques importantes puisqu’on estime que 80% des données des européens sont stockées chez les hyperscalers américains. Qui dit « transferts de données hors UE » dit … « conformité » (ou en l’espèce, « absence de conformité ») aux règles européennes.
L’application du RGPD imposée en 2018 est confrontée à l’adoption la même année du texte sécuritaire Clarifying Lawful Overseas Use of Data Act (CLOUD Act) répondant à la problématique de la fragmentation géographique de la preuve numérique. En l’espèce, un trafiquant de drogue non américain faisait du trafic sur le sol américain. Les États-Unis ont donc demandé à avoir accès à ses e-mails, ce que Microsoft refusa, les données étant stockées en Irlande. L’adoption de ce CLOUD Act évita une interminable procédure de coopération internationale en permettant au juge de demander directement ces données à Microsoft. L’adoption de ce texte a fait couler de l’encre à la communauté européenne, s’inquiétant de la sécurisation des données et de leur espionnage par le gouvernement américain. Malgré les tentatives de temporisation de la part des hyperscalers, affirmant la limitation de l’accès aux données par les Américains, notamment par leur chiffrement, la méfiance est de mise, particulièrement avec l’invalidation du Privacy Shield américain par la CJUE dans son arrêt Schrems II du 16 juillet 2020. La temporisation des hyperscalers se confronte à des révélations compromettantes comme le contrat d’accès de données par Google de patients américains sans leur consentement signé avec une organisation de santé visant à améliorer les services fournis.
Les données de santé, qualifiées de données sensibles par l’article 8 de la loi Informatique et Libertés et l’article 9 du RGPD, sont à manipuler avec précaution. Leur traitement est strictement contrôlé, mais il reste pourtant nécessaire à l’évolution de la recherche scientifiques, l’équilibre entre recherche scientifique et protection des données pouvant faire l’objet de contentieux aux solutions délicates. En 2019, la plateforme de massification des données de santé Health Data Hub est instituée, sous l’autorité de l’Institut National des Données de Santé, afin de croiser les bases de données de santé afin de simplifier leur consultation par différentes équipes scientifiques et médicales. La problématique résulte dans la nationalité de l’hébergeur de ces données, stockées sur le cloud Microsoft Azure, unique hébergeur de données de santé certifié par la CNIL soumis au CLOUD Act et confronté à la problématique de l’invalidation du Privacy Shield. Le Conseil d’État, saisi par un collectif soutenu par la CNIL, face à l’urgence sanitaire et l’absence d’hébergeur alternatif, confirma provisoirement Microsoft Azure comme hébergeur du Data Health Hub, ce dernier s’étant engagé à refuser tout transfert des données de santé en dehors de l’Union européenne par avenant réalisé après l’arrêt Schrems II. Le ministre de la Santé s’est par ailleurs engagé à trouver une solution alternative dans un délai ne dépassant pas deux ans.
Cette absence de conformité des hébergeurs cloud américains peut avoir des répercutions que les entreprises européennes commencent à considérer, ces dernières ne pouvant en effet être protégées en cas de vol de données hébergées aux États-Unis ou encore perdre des contentieux prud’homaux dans le cas de licenciements motivés par des données probatoires hébergées sur un cloud américain tout en risquant l’invalidation du transfert de données, accompagné d’une sanction financière pour manquement au RGPD.
Cette inquiétude due à cette insécurité juridique peut cependant s’avérer source d’opportunités pour les acteurs économiques et règlementaires européens.
L’instauration d’un cloud souverain européen source d’opportunités économiques
Dans son rapport, le cabinet d’audit KPMG affirme que, selon un sondage réalisé par leurs soins, près de 70 % des entreprises européennes interrogées s’attendent à un renforcement de la règlementation européenne et près de la moitié des entreprises interrogées pourraient privilégier un fournisseur cloud européen pour des raisons juridiques ou marketing. La clé de la compétitivité du cloud européen résiderait-elle dans l’accroissement de la règlementation européenne ? C’est ce que le rapport théorise dans la présentation de cinq scénarios permettant d’améliorer l’attractivité des services cloud européens.
Le premier scénario vise la considération du cloud comme bien commun ce qui permettrait d’émerger le multicloud, considéré comme l’avenir du cloud avec le Edge computing, et favorisant le développement de projets européens semblables au projet de développement d’une infrastructure de données indépendante labélisante GAIA-X, dont l’initiative franco-allemande a séduit de nombreux acteurs européens (et non-européens, sources de reproches), qui réalisera ses premières certifications en décembre 2021. Cet « Airbus du cloud » pourrait permettre aux entreprises de se réunir dans un « dataspace » respectueux des règles européennes en vigueur. Le second projet favorise la collaboration entre les fournisseurs cloud et les opérateurs télécom dans l’objectif d’accélérer les installations du Edge Computing tout en axant ce développement sur une intervention financière de l’Europe par le versement d’offres de subventions souveraines.
Le troisième et le quatrième scénario marquent le parti pris de la règlementation européenne comme vecteur de compétitivité économique en proposant l’instauration d’une Autorité de Règlementation du Cloud chargée de contrôler le respect d’une règlementation européenne sur deux niveaux, le premier visant à protéger les innovations basées sur le cloud et le second visant à contraindre les hyperscalers d’investir une part importante de leurs bénéfices en Europe, à localiser leurs services de Recherche et Développement, mais également par la mise en place d’une européanisation des filiales des fournisseurs cloud internationaux « comme cela se passe en Chine ou dans d’autres pays ».
Le cinquième et dernier scénario vise, par l’instauration d’une règlementation distinguant les activités cloud des activités dite « cœur de métier » des hyperscalers, à atteindre le portefeuille de ces derniers et ainsi limiter les pratiques commerciales questionnables comme, notamment la pratique du Lock-in.
Le rapport KMPG associe donc la règlementation à la compétitivité, l’innovation et la souveraineté numérique. Lorsqu’on prend en considération que le marché du cloud en Europe pourrait s’élever à 260 milliards d’euros d’ici 2027, on comprend également les intérêts dont la communauté européenne bénéficierait à trouver un accord concret et diriger ses efforts vers une règlementation commune, en ne se limitant pas à l’élaboration de guides d’utilisation du cloud, afin d’avoir dans un avenir proche, elle aussi, la tête dans les nuages.
SOURCES :
BAUER (D.), Vers une souveraineté numérique européenne ?, LPA 1 avril 2021, n° 160h2, p. 3
CAULIER (S.), Numérique : le cloud, enjeu de souveraineté, Le Monde, 16 février 2020.
DE MAISON ROUGE (O.), L’affaire Health Data Hub : entre nécessité de recherche médicale et souveraineté numérique, Dalloz IP/IT 2021 p. 103.
KPMG, Le Cloud européen : de grands enjeux pour l’Europe et cinq scénarios avec des impacts majeurs d’ici 2027-2030
FAGOT (V.), Cloud européen : l’alliance Gaia-X prend son envol, Le Monde ECONOMIE, 20 novembre 2020.
GASCOIN (S.), HAGOLLE (O.), Images satellites : « L’Europe doit investir dans un cloud public sans passer par les infrastructures des Gafam », TRIBUNE Le Monde, 28 août 2021.
MAXIMIN (N.), Transfert vers les USA : la Plateforme des données de santé doit fournir des garanties, Dalloz IP/IT 2020, p. 590
Ministère de l’Economie, des Finances et de la Relance, GAIA-X : 1ère coopération franco-allemande, 14 septembre 2020
POULLET (Y.), « La troisième voie », une voie difficile. Quelques réflexions autour de la politique européenne en matière d’intelligence artificielle, RLDI, n°182, 1er juin 2021, p.33 à 47.
DAVIS (F.), GUNKA (C.), Perquisitionner les nuages -CLOUD Act, souveraineté européenne et accès à la preuve dans l’espace pénal numérique, RCDIP 2021, 1er janvier 2021, p. 43 à 66.
CE (ord. réf.), 13 oct. 2020, req. n° 444937, CNIL, communiqué du 14 octobre (www.cnil.fr), Communiqué du 14 oct. 2020
Proposition de Règlement du Parlement européen et du Conseil sur la gouvernance européenne des données (acte sur la gouvernance des données), Bruxelles, le 25.11.2020, COM (2020) 767 final 2020/0340(COD)