A l’heure où Orange semble remettre en question sa stratégie cloud, avec la fermeture de son offre cloud Flexible Engine, il apparaît utile de se pencher sur une intervention de Benjamin Bayart à l’USI en 2022. Sa conférence a pour sujet Cloud souverain - Géopolitique de la data.
Le premier point préalable est la compréhension des différences entre le droit états-unien et le droit européen. Le droit des personnes consacré par le RGPD européen n’est pas compatible avec le droit des affaires états-uniens, et il ne le sera jamais.
Il y a une différence fondamentale dans le droit entre le droit européen et le droit qu’on trouve couramment en Amérique du Nord.
Quelle est la différence entre du droit de la personne et du droit des affaires ?
Si je prends des exemples très simples, l’interdiction de vendre à perte dans le droit du commerce, c’est du droit des affaires ; l’interdiction de tuer les gens, c’est du droit des personnes. OK. En fait, la protection des données personnelles, en Europe, est à ranger du côté du droit des personnes, ce qui explique plein de trucs un petit peu bizarres quand on essaye de comprendre ce que raconte le RGPD. Je ne sais pas si vous l’avez en tête, mais le RGPD s’impose à toutes les entreprises dans le monde, où qu’elles soient, quand elles traitent des données personnelles de personnes qui résident en Europe. Pourquoi le droit européen s’applique-t-il à une entreprise américaine ou une entreprise du Rwanda quand elle traite des données personnelles ? Parce que c’est un droit de la personne, ce n’est pas un droit du business qui s’appliquerait en fonction de la zone d’exercice de l’entreprise, mais c’est un droit qui est attaché à la personne dont on est en train de traiter les données, même si cette personne n’est pas la cliente de l’entreprise, donc on est sur du droit des personnes.
En droit américain, le droit des données personnelles est beaucoup plus vu comme un droit de la propriété. Aux États-Unis, si je fais quelque chose avec vos données personnelles, c’est considéré comme si j’utilisais votre voiture sans vous avoir demandé la permission. Je suis en train de vous porter potentiellement un dommage et, si vous voulais démontrer le dommage, il faut démontrer un dommage financier. Alors qu’en droit européen, quand on utilise vos données personnelles sans votre accord, c’est comme si on utilisait votre corps sans votre accord, c’est comme si on vous tapait ou c’est comme si on abusait de vous. Il n’y a pas besoin de démontrer le dommage, le simple fait que ça ait lieu est un dommage. Donc on est sur des notions juridiques qui sont très différentes.
[…]
Les différences de philosophie du droit qui ne sont pas les mêmes puisqu’aux États-Unis les données vont être considérées comme une propriété au sens lucratif du terme alors qu’en Europe les données vont être considérées comme une propriété. Vous allez me dire que c’est difficile, c’est le même mot, mais ça ne veut pas dire la même chose, c’est une propriété comme la couleur de vos yeux. La couleur de vos yeux est une de vos propriétés. Les données personnelles sont une propriété de la personne comme la couleur de ses yeux ou comme son ombre, mais pas comme son blouson ou sa bagnole. OK. Ce n’est pas le même sens du mot propriété.
Cette différence qui explique l’abrogation du safe harbor, l’accord conclu entre les Etats-Unis et l’Union Européenne pour encadrer le stockage de données européennes dans des datacenters aux Etats-Unis. Aussitôt cet accord abrogé, un autre viendra rapidement - dans l’urgence - prendre sa place. Mais ce nouvel accord appelé privacy shield sera également abrogé quelques temps après.
Quand la Cour de justice de l’Union européenne s’est posé la question de savoir si le Safe Harbor était vrai, elle est arrivée à la conclusion que non, les États-Unis d’Amérique ne proposent pas le même niveau de protection des données personnelles que l’Union européenne, donc la Cour a cassé le Safe Harbor et a dit niet. Du coup, ce beau jour d’octobre 2015, il est devenu subitement illégal de transférer des données personnelles entre les États-Unis d’Amérique et l’Europe.
[…]
La Cour de justice de l’Union américaine nous dit que le droit américain, partout où il s’applique, est incompatible avec le droit européen. Or les deux sont des droits extraterritoriaux. Le droit américain s’impose aux entreprises américaines où qu’elles opèrent dans le monde.
De son côté, le RGPD s’applique dès lors qu’une organisation traite de données personnelles de citoyens de l’union européenne.
Maintenant qu’on a compris que la CJUE nous dit que la protection des données personnelles c’est obligatoire et que le droit américain est non conforme, OK, ça se traduit par du cloud souverain parce qu’un des effets de ce truc-là c’est que toutes vos entreprises qui ont l’habitude de faire du move to cloud en disant « je prends tout et je benne tout chez Amazon », ce n’est plus bon, ce n’est plus possible.
Maintenant que les bases sont posées, venons-en au sujet du cloud souverain proprement dit.
Quand j’ai commencé à bosser sur le sujet cloud souverain dans le cadre de mon boulot pour essayer de voir avec les entreprises comment on allait gérer l’adaptation au droit, je vous assure que quand je disais « méfiez-vous, si un jour vous vous fâchez avec les Américains peut-être que votre business peut être remis en cause », on me prenait un peu pour le paranoïaque de service ». Depuis ils ont un peu compris parce que effectivement, quand on se fâche avec les Américains, le fait d’avoir tout foutu chez Amazon c’est dangereux.
Dans les années 2010, un cloud souverain était un cloud où la police française avait ses entrées. Aujourd’hui, un cloud souverain a un sens bien différent. Un cloud souverain peut-être souverain selon trois critères :
- un critère juridique :
Est-ce que le [cloud] est soumis au droit américain donc les données personnelles sont en danger si on en croit la Cour de justice de l’Union européenne ou bien est-ce que le [cloud] est soumis au droit européen ? On est bien d’accord, s’il est soumis aux deux il est hors-loi puisque s’il est soumis aux deux il ne respecte pas le droit européen et s’il respecte le droit européen, donc il refusera d’obéir au patriot act et au cloud act ça veut dire qu’il se met en infraction au droit américain. Il n’y a pas moyen d’en sortir. Les deux cours suprêmes des deux pays, les deux zones juridiques ont défini l’interprétation de leur droit et si vous vous retrouvez en collision avec les deux vous ne pouvez pas satisfaire les deux, ce n’est pas possible. C’est une bonne définition du mot « souverain » : quel est le droit qui s’applique ?
- un critère de rapport de puissance
Ce critère est lié à la notion de dépendance : un cloud privé utilisant les technologies américains de VMWare comme Cloud Avenue, ou bien un cloud français utilisant les technologies Azure de Microsoft, comme Bleu, sont des solutions cloud très dépendantes de technologies états-uniennes. Et comme le rapport de puissance entre la France et les Etats-Unis est en défaveur de la France, , on sait d’avance qu’un bras de fer entre les deux pays se soldera par un échec du plus faible.
- un critère de stratégie industrielle
Si l’on cette fois-ci non plus nation mais les partenaires industriels, on reste bloqué dans une problématique de dépendance à un acteur unique. Est-ce bien stratégique de se retrouver dépendant de cet acteur et de ses évolutions tarifaires, de ses évolutions contractuelles ou stratégiques. On n’est jamais totalement autonome, autarcique. Mais il faut savoir choisir avec soin son niveau de dépendance et ses partenaires.
L’opensource et le logiciel libre semble constituer ici un choix à évaluer en premier lieu.
L’aspect souverain d’un cloud doit être évaluer à l’aune de ces trois critères :
- critère juridique
- rapport de puissance
- stratégie industrielle
Dans les années 2010, la France a auparavant tenté de créer ses propres solutions de cloud, à travers les entreprises Cloudwatt et Numergy. Ces deux solutions n’ont pas rencontré le succès escompté et les entreprises ont fermé dans la même décennie que celle qui les a vu naître.
Aujourd’hui, Orange a décidé de faire appel aux trois grands hyperscalers : Google (GPC), Amazon (AWS) et Microsoft (Azure). Mais Benjamin Bayart nous invite à adopter une approche un peu plus adulte.
Quand on regarde avec un petit peu de recul comment se fait le passage vers le cloud de beaucoup d’entreprises, c’est « je prends tout, je balle tout chez Amazon ou je balle tout chez Google selon la marque que je préfère ou je balle tout chez Microsoft parce que ça ressemble à ce que j’ai sur mon PC, je ne réfléchis pas, je mets tout chez le même et j’y vais comme un gros sagouin ». En termes stratégiques c’est un petit peu léger et il faut sortir de ça, il faut accepter que le système est complexe et qu’il faut traiter la complexité. Il faut se poser la question de quelles sont les données qui sont sensibles, comment est-ce que je dois les protéger, quel est le bon type de protection, quel est le bon type de réponse, comment je mixte des solutions entre elles, etc. ? Bref ! Il faut sortir de l’enfance du cloud pour passer à une approche un peu plus adulte.
Et si Orange abandonne tout vélélité à la compétence dans l’administration système et cloud, alors la facture risque d’être rapidement plus salée que prévu.
Vous ne pouvez pas piloter un fournisseur dont vous ne connaissez pas le métier. Si vous pilotez un fournisseur dont vous ne connaissez pas le métier, il va vous enfler à chaque fois, il va vous la faire à l’envers parce que vous ne comprenez rien à ce qu’il y a dans les contrats, donc il faut que vous ayez la compétence pour piloter vos fournisseurs et c’est pareil en informatique. Il faut que vous soyez capable de piloter le choix de vos fournisseurs de cloud, comment vous les architecturez entre eux, comment vous les faites interopérer, à quel point vous êtes indépendant, mais ce n’est pas nouveau.
Il y a besoin de faire de la gestion de risque. Là c’est un risque juridique mais c’est aussi un risque technique. Si vous avez tout mis chez tel opérateur qui, du jour au lendemain, décide de tripler ses tarifs, il vous faut combien de temps pour partir ? S’il vous faut cinq ans, vous êtes mort, mais ce n’est pas nouveau.
En réalité, si nous voulons survivre, nous n’avons pas d’autre choix que d’aider à développer une alternative libre, française ou européenne.
Il y a besoin d’un environnement dans lequel grandir. Pour se développer en Europe, l’économie du numérique a besoin d’un environnement dans lequel grandir, a besoin d’avoir un marché sur lequel elle puisse développer ses compétences pour ensuite, éventuellement, aller disputer les parts de marché à l’étranger aux autres, mais il faut d’abord un terreau, il faut une pépinière où on plante le machin si on veut faire une bouture et ce n’est pas nouveau non plus.
Il n’est plus possible de se lier uniquement à des acteurs d’une puissance étrangère dont le rapport de puissance est en défaveur d’Orange…
Il y a un an, deux ans ou trois ans […] quand on allait voir des grands DSI en demandant « qu’est-ce qui se passe si Amazon vous claque la porte au nez ? », ils nous disaient tous : « Amazon ce sont des gentils, jamais ils ne se fâcheront, jamais Microsoft ne me fera un sale coup, jamais le gouvernement américain ne se fâchera contre personne, etc. » Eh bien voilà ! L’expérience montre que ce n’est pas vrai.
Avant la lecture de cet article, vous pouviez prétexter que vous ne saviez pas.
Maintenant vous savez.
Il est temps de prendre vos responsabilités !