Les défis inhérents à la souveraineté numérique sont au cœur des préoccupations des autorités européennes, mais aussi de nombreux acteurs socio-économiques du Vieux-Continent. Ils partent d’une prise de conscience de notre dépendance aux services numériques proposés par les grands acteurs américains, aujourd’hui quasi hégémoniques lorsque l’on évoque les plateformes de Cloud public ou encore les moteurs d’intelligence artificielle les plus performants et innovants.

Héberger ses données clés ou ses actifs numériques auprès d’un acteur émanant d’une juridiction étrangère, soumis à la législation ou aux réglementations d’un pays tiers, n’est en effet pas sans risque. On sait depuis plusieurs années que des plateformes, comme Google ou les réseaux sociaux, génèrent du profit au départ de l’exploitation des données personnelles que nous leur confions. C’est ce qui a amené les autorités européennes à mettre en place une réglementation visant à offrir aux citoyens de l’Union européenne un cadre leur permettant de faire valoir leurs droits vis-à-vis de l’utilisation de leurs données personnelles : le fameux RGPD. Mais comment pourraient être exploitées les autres données, hébergées par exemple chez un fournisseur de services Cloud ? On pense notamment aux informations qui relèvent de la propriété intellectuelle d’une organisation ou encore du « secret défense ».

Des enjeux clés relatifs aux données

De manière générale, il y a lieu de se demander dans quelle mesure, par des moyens légaux ou non, des données critiques pourraient se retrouver exposées simplement parce qu’elles étaient hébergées auprès d’un opérateur Cloud américain. Par exemple, le Cloud Act (Clarifyng Lawful Overseas Use of Data Act) est une loi US qui permet aux autorités judiciaires d’accéder aux données électroniques stockées à l’étranger auprès d’entreprises américaines, cela dans le cadre de procédures pénales. Autrement dit, et sans forcément cibler les États-Unis, des données essentielles pourraient se retrouver hors de contrôle simplement parce qu’elles ont été confiées à un opérateur qui n’est pas soumis aux lois et réglementations en vigueur dans le pays de leur détenteur initial.

Est-ce un risque que l’on est prêt à accepter ?

Les grands Clouds providers, évidemment, ont de nombreux atouts à faire valoir. Les technologies qu’ils rendent accessibles via leurs plateformes sont parmi les plus avancées au monde. Les fournisseurs de service européens, en tout cas, ont jusqu’à présent du mal à rivaliser. Les hyperscalers offrent la possibilité de mobiliser des capacités de calcul importantes avec une grande flexibilité ou encore l’accès à des modèles de traitement de données avancés. Cela constitue des leviers d’innovation essentiels pour les acteurs européens. Il ne faut cependant pas sous-estimer la possibilité que ces acteurs se nourrissent des données qu’on leur confie ou que l’on soumet par exemple à un moteur d’intelligence artificielle. Un dilemme se pose, dès lors, pour des acteurs européens, entre le besoin d’accéder à ces outils pour avancer et le risque de perdre ce qu’ils ont de plus précieux, leur propriété intellectuelle.

Un autre enjeu, si l’on évoque la souveraineté numérique, a trait au risque de dépendance auquel on s’expose en se tournant vers des prestataires de services extérieurs, quels qu’ils soient. Si votre business s’appuie sur un fournisseur Cloud unique, si vos applicatifs ont été développés au départ des technologies qu’il propose, que se passe-t-il si celui-ci décide soudainement de revoir ses conditions d’utilisation à vos dépens ou si, dans la pire des situations, il fait défaut ?

DSA, DMA : casser l’hégémonie américaine

On comprend, à travers ces quelques questionnements, toute la problématique de la souveraineté numérique en Europe et, dans certains cas, à l’échelon national. Les autorités européennes, conscientes de ces défis, ont décidé de réagir. L’adoption du Digital Services Act package, composé de deux règlements, le Digital Services Act (DSA) et Digital Markets Act (DMA), est une première réponse à ces enjeux stratégiques. Il sagit, à travers elles, de rendre aux acteurs européens le contrôle de leur espace numérique, mais aussi de permettre à des prestataires de services européens d’émerger.

Le Digital Services Act doit lutter contre les produits et les contenus illégaux en ligne, en imposant qu’ils soient promptement supprimés. L’objectif étant de rendre illégal en ligne ce qui est déjà illégal hors ligne.

Le Digital Markets Act, quant à lui, vise à combattre la position dominante des géants du numérique tels que Google, Apple, Facebook, Amazon et Microsoft, afin de laisser plus de parts de marché aux plus petits acteurs internet et ainsi diversifier l’offre disponible pour les consommateurs européens.

Cette réglementation cible principalement les grandes plateformes, dont le modèle économique repose le plus souvent sur la combinaison de masses de données sur leurs utilisateurs et d’algorithmes puissants et opaques. Elle leur impose de nouvelles obligations et interdictions.

Par exemple, ces plateformes doivent rendre aussi facile le désabonnement que l’abonnement à un service de plateforme essentiel ou encore rendre interopérables les fonctionnalités de base de leurs services de messagerie instantanée avec leurs concurrents plus modestes, informer la Commission européenne des acquisitions et fusions qu’ils réalisent. Elles ne peuvent plus imposer des logiciels les plus importants par défaut à l’installation de leur système d’exploitation, favoriser leurs services et produits par rapport à ceux des vendeurs qui utilisent leur plateforme, imposer aux développeurs d’application certains services annexes (système de paiement par exemple).

Data Act : renforcer la protection de toutes les données

Ce dispositif est notamment complété par le Data Act. La loi sur les données comprend des mesures visant à accroître l’équité et la concurrence sur le marché européen du Cloud et à protéger les entreprises contre les clauses contractuelles abusives liées au partage des données imposées par des acteurs plus forts. Il introduit des garanties pour éviter que les organismes gouvernementaux de pays tiers puissent accéder à des données à caractère non personnel lorsque cela irait à l’encontre du droit de l’Union ou du droit national. Enfin, la loi sur les données définit des exigences essentielles en matière d’interopérabilité afin de garantir que les données puissent circuler de manière transparente entre les secteurs et les États membres, à travers des espaces européens communs de données, ainsi qu’entre les fournisseurs de services de traitement des données.

Dans sa volonté de renforcer sa souveraineté numérique, l’Union européenne entend aussi promouvoir les standards libres et ouverts, soutenir la création d’infrastructures logicielles et matérielles, ouvertes et partagées.

La souveraineté, avant tout un enjeu pour l’entreprise

S’il appartient à l’Europe de défendre ses valeurs et soutenir le développement du secteur numérique, la souveraineté constitue un enjeu stratégique pour chaque entreprise, à son échelle. Chacun doit veiller à recourir à des solutions digitales en faisant preuve de discernement. À eux de considérer les risques liés à l’utilisation d’une plateforme et de prendre les mesures nécessaires pour accéder aux outils numériques dont ils ont besoin sans pour autant compromettre la confidentialité de données critiques pour leur avenir. Avec des solutions de chiffrement ou en recourant à des plateformes Clouds souveraines ou déconnectées, les possibilités pour assurer sa souveraineté sont nombreuses. Chacune doit aussi veiller à ne pas se retrouver dans une situation de dépendance vis-à-vis d’un fournisseur particulier, en privilégiant par exemple des solutions open source ou en s’assurant de se doter d’une stratégie de sortie efficiente. C’est là tout l’enjeu de la souveraineté numérique.