Le terme de souveraineté numérique est régulièrement entendu dans les discours politiques. Pourtant, dans un contexte mondialisé, où chaque nation dépend à différents degrés des autres, les difficultés à relever pour atteindre une telle souveraineté sont immenses. Ainsi, l’économie du cloud, la cybersécurité ou encore la maîtrise des infrastructures numériques essentielles sont devenues les enjeux d’une compétition agitée entre des nations désireuses d’assurer leur avenir. La France et l’Europe peuvent-elles en sortir souveraines ou la souveraineté numérique n’est-elle qu’une utopie ?
En septembre 2021, lors d’une soirée presse tenue en marge des Assises de Monaco, une table ronde évoquait cette question : « Jeux Olympiques 2024 : comment l’équipe de France se prépare aux enjeux de cybersécurité ? ». Une question fondamentale, notamment depuis les annonces du Comité International Olympique (CIO) qui choisit les solutions cloud du géant chinois Alibaba. Une incohérence majeure, à tel point que le sujet est jugé « très sérieux » par Bernard Le Gorgeu, coordinateur sectoriel grands évènements sportifs au sein de l'ANSSI. Ziad Khoury, préfet coordinateur national pour la sécurité des Jeux, rappelait quant à lui l'engagement du ministère de l’Intérieur « à valoriser le savoir français » et son attachement « à l’idée de souveraineté numérique ».
Une souveraineté numérique tant désirée
C’est en 2011 que la notion de souveraineté numérique apparaît en France, sous l’impulsion de Pierre Bellanger qui la définit dans une tribune : « la souveraineté numérique est la maîtrise de notre présent et de notre destin tels qu'ils se manifestent et s'orientent par l'usage des technologies et des réseaux informatiques ». Depuis, la notion fleurit dans tous les programmes politiques et a façonné les discours de nombre de ministres, secrétaires d’État chargés du numérique, et même du président de la République.
Même si cela peut se faire au niveau national, cette volonté de souveraineté numérique doit passer par une réponse commune à l’échelle européenne et par une prise de conscience lors d’investissements ou d’achats.
Cette volonté de défendre la souveraineté numérique du pays peut déjà s’expliquer par l’importance de l’économie numérique : rien qu’en France, elle représenterait plus de 6% du PIB (près de 150 milliards d’euros). Par ailleurs, le désir d’indépendance de l’opinion publique est extrêmement fort : 87% des Français souhaitent réduire la dépendance économique de la France à l’égard des pays étrangers. Mais cette réflexion doit-elle être menée à l’échelle nationale ou européenne ? « Même si cela peut se faire au niveau national, cette volonté de souveraineté numérique doit passer par une réponse commune à l’échelle européenne et par une prise de conscience lors d’investissements ou d’achats, explique Florian Bonnet, Directeur du Product Management pour Stormshield. Et à ce jour, la stratégie de l’Europe consiste à réduire la dépendance de ses membres aux technologies et capitaux extra-européens, mais est-ce suffisant ? » Un point de vue qui fait écho à certaines autres prises de position d’experts, poussant pour la création de champions européens. Partant de là, si la souveraineté numérique européenne devait un jour se concrétiser, elle devrait passer par la création de ces champions sur trois fronts majeurs : le cloud, la cybersécurité et les infrastructures.
Cloud : l’Europe contre-attaque
Au regard de l’état du marché du cloud, la prédominance américaine est évidente. À l’heure actuelle, Amazon, Microsoft et Google se partagent conjointement 69% du cloud européen contre moins de 2% pour les premiers acteurs européens (dont OVH fait figure de champion français). Avec une croissance de 25% par an, ce marché devrait peser près de 500 milliards d’euros d’ici 2030… Au-delà de l’idéal de souveraineté existe aussi un enjeu colossal de rapatriement de la création de valeur du numérique en Europe.
Il est temps de ne pas dépendre uniquement des solutions américaines ou chinoises !
Emmanuel Macron, en 2020, à propos de la force et du potentiel de l'écosystème technologique européen
Mais alors, comment faire bouger les lignes ? Pour tenter d'y répondre, l’UE se dotait du fameux Règlement général sur la protection des données (RGPD) en avril 2016 (avant une mise en application en mai 2018). Le but premier du texte est alors de protéger les citoyens européens à l’égard du traitement de leurs données à caractère personnel. Mais il crée également ainsi un terreau réglementaire sur lequel fleurissent plus aisément les solutions technologiques européennes (car supposées être les premières à entrer en conformité avec le règlement). Et cette approche réglementaire se retrouve également dans la directive européenne NIS. Avec elle, les fournisseurs de services cloud doivent respecter une obligation de sécurité et apporter davantage de garanties autour de la maîtrise des données, de réversibilité, de sécurité informatique et de souveraineté. Opposer aux champions étrangers de simples règlements juridiques ? L’idée ne fait cependant pas l’unanimité en Europe où de nombreuses voix s’alarment d’une réponse défensive de l’Union européenne, là où elle devrait passer à l’offensive. Cyrille Dalmont, chercheur associé à l'Institut Thomas More, n’hésite pas à comparer le RGPD à une « ligne Maginot » du numérique et à souligner sa complète inefficacité à « édifier une improbable souveraineté européenne dont elle serait garante ». Le RGPD pénaliserait ainsi davantage les TPE et PME européennes en n’ayant « quasiment aucun impact sur les géants mondiaux du numérique ». Selon lui, l’Europe n’aurait de cesse depuis lors de compenser les manquements du RGPD par l’addition de nouveaux règlements (dont le Digital Services Act et le Data Governance Act). Cette « inflation normative » conduirait à une « inertie mortifère » alors que l’UE devrait plutôt « encourager la constitution de champions européens du numérique ». Et à les protéger, à l’image des États-Unis et de l’enquête sur Alibaba Cloud.
En parallèle des mesures réglementaires à l’échelle européenne, certains pouvoirs publics (essentiellement en France et en Allemagne) adoptent des mesures de rétorsion plus engagées. Récemment, l'État du Schleswig-Holstein en Allemagne a annoncé son intention d’abandonner l’utilisation du système d’exploitation Windows de Microsoft, ainsi que de tous ses outils bureautiques Office pour adopter des solutions libres sous Linux et LibreOffice. Même son de cloche du côté de la Direction interministérielle du numérique (DiNum) française, qui a transmis une note à tous les secrétaires généraux des ministères pour rappeler la non-conformité d’Office 365 : « les solutions collaboratives, bureautiques et de messagerie proposées aux agents publics relèvent des systèmes manipulant des données sensibles. Ainsi, la migration de ces solutions vers l’offre Office 365 de Microsoft n’est pas conforme à la doctrine Cloud au Centre. » Cette doctrine “Cloud au Centre” fixe la roadmap du gouvernement français pour faire du cloud « le mode d’hébergement et de production par défaut des services numériques de l’État » et des acteurs publics, en incluant des enjeux forts de souveraineté et de sécurité. Elle stipule ainsi noir sur blanc que « l’adoption du cloud ne doit pas entraver l’autonomie de prise de décision ni d’action de l’État, pas plus que sa sécurité numérique et la résilience de ses infrastructures, la maîtrise par l’État des données et des traitements qui lui sont confiés, le respect des règles européennes en matière de protection des données à caractère personnel, et ce alors que l’empreinte des acteurs extra-européens en matière de cloud est prédominante ».
Les représentants d’intérêts américains sont-ils les mieux placés pour développer et présenter ce que devrait être une souveraineté européenne ?
Léonidas Kalogeropoulos, Délégué Général de l’Open Internet Project
Mais si certains en Europe tentent d’adopter cette approche, cette volonté se confronte souvent aux pratiques agressives de lobbying des acteurs étrangers. Ce n’est pas Yann Lechelle, directeur général de Scaleway, qui le contredira. L’entreprise est l’une des 22 fondatrices du projet Gaia-X ayant pour objet de bâtir un cloud souverain européen. Le chef d’entreprise a toutefois officialisé le retrait de sa société du projet, dénonçant un simulacre tombé sous l’emprise des influences américaines et chinoises. En effet, des sociétés telles qu’Amazon, Google, Alibaba ou encore Palantir étaient conviées comme sponsors. « Serait-il imaginable qu’une association des alcooliques anonymes soit sponsorisée par un groupe de spiritueux ?, questionne Yann Lechelle. L’Europe se ridiculise. » « L'Europe peut-elle réellement prétendre assurer sa souveraineté avec la création d'un OTAN numérique d'ici 2030 ? », s’interroge de son côté Florian Bonnet. Jean Noël de Galzain, président d’Hexatrust et de Wallix Group, témoigne lui aussi de la puissance d’influence dont font preuve GAFAM et BATX. Dans une tribune, il dénonce les accords Thalès-Google Cloud « pour la création d’une coentreprise destinée à fournir une offre répondant aux critères du label ‘cloud de confiance’, en conformité avec la stratégie nationale française ». Cette bataille de l’influence va jusqu’à s’enraciner profondément dans les débats autour de la définition même de souveraineté numérique, dont certains militent pour une approche ouverte aux acteurs étrangers. Dans un communiqué de presse diffusé début février 2022, Léonidas Kalogeropoulos, Délégué Général de l’Open Internet Project, s’interroge : « les représentants d’intérêts américains sont-ils les mieux placés pour développer et présenter ce que devrait être une souveraineté européenne ? ».
Souveraineté numérique européenne : le cloud du spectaclehttps://t.co/IiRI8LMJy7 pic.twitter.com/lqtUSjAwwf
— Fabrice Epelboin (@epelboin) February 6, 2022
Cyberdéfense : la France entend mettre l’Europe en ordre de marche
Cette doctrine “Cloud au Centre” est également un symbole de convergence des enjeux de cybersécurité et de cloud, puisqu’elle rend impératif l’hébergement des produits numériques manipulant des données sensibles « sur le cloud interne de l’État ou sur un cloud commercial qualifié SecNumCloud par l’ANSSI ».
Cette convergence n’est pas anodine. En effet, si tant est que l’Europe atteigne la souveraineté numérique à laquelle elle aspire, il est certain qu’elle devra pour cela être en mesure de la protéger. Or, lors du Forum international de la cybersécurité qui s’est tenu à Lille en septembre dernier, Margarítis Schinás a largement communiqué les craintes des plus hautes instances européennes en matière de cyberdéfense. La vice-président de la Commission européenne a décrit « une situation critique » et la « démultiplication récente des cyberattaques perpétrées par des acteurs internationaux » qui auraient des conséquences dramatiques sur les services publics et par conséquent sur la stabilité de l’Europe. La France, qui a pris la tête du Conseil de l'Union européenne, a déjà exprimé plusieurs fois son intention de restructurer l’UE afin de la doter de capacités de cyberdéfense adéquates. À l’échelle européenne, la France ne souhaite plus parler de cybersécurité, mais bien de cyberdéfense. L’enjeu devient militaire, comme en témoigne l’intervention de Florence Parly, ministre de la Défense française, qui s’est interrogée sur la résurgence « d’une guerre froide dans le cyberespace ». L'Hexagone a ainsi annoncé le renforcement de son contingent de guerre numérique et souhaite ainsi devenir « un champion européen de la cybersécurité ». Avec l’ambition d’amener l’intégralité de l’Union européenne à structurer ses capacités de défense de la même façon.
Si de tels discours soulignent bien à quel point la cybersécurité est prise au sérieux dans la défense de la souveraineté européenne, l’Europe se structure pour l’heure avec de nouveaux textes de loi… Le Parlement et le Conseil européen examinent ainsi en ce moment la révision de la directive NIS2 (liée à la sécurité des réseaux et des systèmes d’information), qui devrait considérablement élargir la liste des secteurs sensibles. Alors que la liste des Opérateurs de services essentiels (OSE) était jusqu’à présent laissée à la discrétion des États-membres, la directive NIS2 en imposera les critères en ajoutant aux domaines déjà inclus (tels que la banque, l’énergie, la santé…) de nouveaux secteurs (services postaux, gestion des déchets, grande distribution alimentaire…). Autre fait marquant, les administrations centrales et étatiques rentrent officiellement dans le périmètre de la directive et deviennent des Opérateurs de services essentiels, tandis que l’ajout des administrations régionales et locales sont encore laissées au choix des États-membres.
Infrastructures : une cyber-guerre silencieuse
Si le cloud et la cybersécurité sont les piliers visibles de la souveraineté numérique, il en existe un troisième, qui capte moins l’intérêt du grand public alors même qu’il est le théâtre d’une véritable guerre hégémonique : les infrastructures.
En juin 2019, lors d’une audition devant le Sénat français, la Direction interministérielle du numérique (Dinum) avertissait : « si nous ne disposons pas d'acteurs capables de produire les infrastructures, de construire les services, de gérer la relation de premier niveau avec les usagers et de maîtriser les interfaces, nous serons probablement relégués en deuxième division en matière de souveraineté ». La même année, en août, l’Assemblée adoptait une loi souvent présentée comme « Anti-Huawei » qui restreignait considérablement les autorisations de support et d’exploitation des bandes de réseau mobiles aux acteurs économiques étrangers. Si le but n’est pas avoué d’emblée, cette loi avait pour objet d’exclure Huawei et tout autre acteur chinois de la course à l’installation des infrastructures réseau qui serviront de socle au futur 5G français. L’Hexagone emboîtait ainsi le pas à la Grande-Bretagne et la Suède (sans parler des États-Unis sous l’administration Trump), qui avaient tous procédé de manière similaire. Une prise de position qui s’inscrit en droite ligne avec la politique défensive de l’UE et de ses membres en matière de souveraineté.
Mais cette bataille des infrastructures ne se mène pas qu’autour des ondes ; elle se mène aussi dans la mer. À l’heure actuelle, 99% des communications électroniques intercontinentales transitent par l’intermédiaire de câbles sous-marins. Dans une logique de souveraineté, l’Union européenne doit s’assurer que ces infrastructures ne tombent pas sous le contrôle d’entités étrangères. Or, étant donné que ce secteur est peu réglementé (justement dans une logique de neutralité étatique), les acteurs privés du monde entier se pressent pour s’en assurer le contrôle. Traditionnellement propriétés de consortium d’opérateurs de télécommunications (dont nombre sont européens), les GAFAM américains sont entrés dans la course avec une force sans commune mesure cette dernière décennie. Jean-Luc Vuillemin, directeur des réseaux internationaux d'Orange, constate l’évolution affolante dans une interview : « il y a dix ans, 5% des câbles sous-marins étaient contrôlés par les GAFAM. Aujourd'hui c'est 50% et ce sera 95% d'ici trois ans ». Cet entrisme des grandes plateformes américaines du numérique, qui se font emboîter le pas par les BATX chinois, aurait transformé le secteur en « véritable Far West » où la loi du plus fort prime sur l’intérêt commun.
Le constat est clair : de sa base infrastructurelle jusqu’à sa création de valeur, le domaine numérique européen est loin d’être encore souverain et subit chaque jour un peu plus les pressions étrangères. Si la notion de souveraineté numérique est un idéal compréhensible tant sur le plan économique que géopolitique, l’Union européenne semble pour l’heure choisir la voie de l’hyper réglementation. Avant de passer la vitesse supérieure ? C’est en tout cas le signal envoyé tout début 2022, d'une part par la Commission européen qui vient de lancer un appel à projets à hauteur de 80 millions d’euros pour la création d’un service de résolution DNS européen, et d'autre part par le plan d'investissement de 7 milliards d'euros dans le cloud annoncé par la France et 12 États membres de l'Union européenne.