Après plusieurs mois d’efforts et de concertations, le gouvernement, sous l’égide des Ministres Bruno Le Maire, Amélie de Montchalin et du Secrétaire d’Etat Cédric O, a annoncé lundi 17 mai dernier les grandes lignes de la nouvelle doctrine “Cloud au Centre” de l’Etat.

Cette doctrine arrive à point nommé. Les considérations liées à la sécurité et à la souveraineté des données n’ont jamais été aussi prégnantes. Le caractère stratégique du cloud pour la résilience et la compétitivité de nos économies numériques est maintenant bel et bien vu comme une évidence. Or, nous évoluons sur des marchés ultra-dominés par des acteurs américains et chinois : ces marchés sont en très forte croissance, synonyme d’importantes opportunités pour des challengers comme Scaleway. On estime ainsi qu’en Europe, 80% du tissu économique doit encore entamer son passage vers le cloud. De surcroît, les acteurs français et européens du cloud ont atteint un niveau de maturité sans précédent qui leur permet collectivement de satisfaire l’écrasante majorité des besoins du marché.

Dans ce contexte, le positionnement de l’Etat, à travers cette doctrine, aura un effet d’entraînement que nous ne sous-estimons pas, tant du côté du secteur privé qu’au niveau européen. C’est pourquoi nous en avons attendu la publication avec beaucoup d’intérêt.

Dans l’état d’esprit pragmatique, de confiance et de transparence qui a toujours caractérisé Scaleway, nous tenions à prendre quelques jours de recul avant de partager avec vous nos grandes réflexions, suite à ces annonces gouvernementales.

Notre analyse résulte bien sûr des vingt ans d’expérience de Scaleway sur les marchés du cloud en France et en Europe. Une expérience qui nous conduit à accompagner depuis déjà longtemps un certain nombre d’acteurs publics; une expérience qui nous conduit encore à nous engager, en tant que membre fondateur et au conseil d’administration de GAIA-X, pour favoriser l’émergence d’un écosystème numérique innovant et de confiance à l’échelle de l’Union européenne, qui se base sur des règles en ligne avec nos valeurs européennes.

Cette analyse reflète aussi le positionnement unique que nous avons réussi à construire et à consolider au fil des années: Scaleway est en effet bien plus qu’un simple fournisseur d’infrastructures cloud: pour porter notre offre de valeur, nous avons choisi de maîtriser l’ensemble de notre pile technologique, du datacenter en passant au matériel informatique jusqu’au développement logiciel.

1- Une doctrine qui va dans le bon sens pour accélérer la transformation numérique de l’administration et sa “cloudification”

Il est d’abord extrêmement positif de constater qu’à travers cette doctrine, le gouvernement a pris sans hésiter le virage du cloud pour accélérer efficacement la modernisation de ses administrations - à l’instar des stratégies “cloud first” déjà menées aux Etats-Unis, au Royaume-Uni, en Australie ou à Singapour. Nous sommes convaincus que le recours par défaut aux solutions cloud pour les futurs projets informatiques de l’Etat sera un vecteur d’agilité, d’accessibilité, de rapidité et de simplicité, tant du point de vue du déploiement qu’en termes d’utilisation par nos concitoyens. Dans le même temps, nous sommes pleinement conscients des enjeux derrière un projet de transition vers le cloud de cette ampleur. C’est pourquoi nous avons décidé de mettre à disposition des 18 000 agents informatiques de l’Etat près de 3 millions d’euros de crédits cloud jusqu’à fin 2022 pour leur permettre de se former à l’état de l’art.

2- Labelliser la confiance: une ambition louable encore entourée de flou

Nous ne pouvons que soutenir l’approche du gouvernement, visant à instaurer de la transparence et de la confiance, en particulier concernant la localisation des données stockées par les administrations dans le cloud, la conformité avec la jurisprudence européenne (arrêt Schrems II) ou l'assujettissement des fournisseurs de services cloud (et des données de leurs clients) à des lois non-européennes à visée extraterritoriale. C’est une démarche que nous appelons vivement de nos vœux à l’échelle européenne pour qu’elle ait un impact tangible.

Si les premiers critères mis en avant pour l’octroi de ce label de confiance viennent compléter les exigences existantes du dispositif SecNumCloud, des questions sérieuses n’en demeurent pas moins quant aux contours de la “confiance” que ce label entend définir:

  • D’abord, le caractère très “haut-niveau” de ces critères ne nous semble pas à même d’évaluer avec un niveau de granularité suffisant l’immunité aux lois extraterritoriales, depuis la dimension physique jusqu’aux composants logiciels qui constituent le cloud.
  • Il est apparu lors de la présentation de la doctrine que, du point de vue du gouvernement, l’apanage de la confiance résidait dans la conclusion de partenariats entre des acteurs français et américains, positionnant les premiers comme des revendeurs de technologies logicielles américaines sous licence. Encourager un tel positionnement nous paraît problématique et paradoxal, car cette solution ne fonde pas une voie pérenne dans le temps ou pourvoyeuse de certitude juridique.
  • Selon nous, les métadonnées intrinsèques aux solutions étrangères permettront toujours l’application de la loi étrangère (américaine) ainsi que des réquisitions judiciaires éventuelles sur les données sinon les métadonnées des clients concernés, via le FISA ou l’Executive Order 12333.
  • Le code source de telles solutions ne sera probablement pas auditable, et par conséquent permettra soit des back-doors, soit fera remonter des informations sensibles sans qu’il soit facile d’analyser les flux sortants; donc une opacité parfaite d’un point de vue cyber.
  • Le bon déroulement de ces partenariats sera tributaire des conditions (que l’on sait fluctuantes, au gré de considérations très politiques) du régime de contrôle des exportations aux États-Unis en matière de licences. De même, nul ne sait comment les exigences du Cloud Act seront amenées à évoluer sous le coup du législateur américain. Cette absence de prédictibilité ne saurait en aucun cas représenter un gage de confiance.

Loin de résoudre un problème de souveraineté, cette solution expose l’environnement numérique français à de nouveaux types de dépendances. Nous sommes plus spécifiquement préoccupés par les effets de bord indésirables que ce label, en l’état, pourrait causer sur le marché, en excluant du champ des offres de confiance un certain nombre d’acteurs français qui se différencient pourtant par leur crédo souverain au prix d’investissements conséquents.

3- Compétitivité économique: une doctrine aux conséquences industrielles considérables pour l’avenir de la filière française

La volonté du gouvernement de consacrer un volet de cette doctrine cloud à la mise en place d’une “politique industrielle” procède d’une analyse que nous partageons totalement - à savoir l’écrasante domination des acteurs américains et chinois sur les marchés du cloud, la création de valeur hors de nos frontières sur la base des données des citoyens et entreprises françaises comme européennes, et la perte de contrôle et de souveraineté induite sur les-dites données.

Qui plus est, l’analyse exprimée par la DINUM le 17 mai lors de la présentation de la doctrine est très juste: lorsque l’on parle du cloud, il n’est pas seulement question d’infrastructures, mais bien d’une couche logicielle, génératrice de la plus forte valeur ajoutée. La maîtrise de ce segment de la chaîne de valeur par un écosystème industriel local devrait naturellement constituer un objectif à part entière de toute politique industrielle pour le cloud. Il y aurait effectivement fort à faire, non seulement pour favoriser un rattrapage par l'innovation des acteurs européens, mais pour valoriser ceux qui se positionnent déjà sur ce créneau, face à des entités américaines en position dominante - et enclines à des abus, bien documentés, du fait de cette position- pour la fourniture de solutions performantes.

Promouvoir si ostensiblement le recours à des solutions logicielles sous licence paraît par conséquent un choix difficilement compréhensible en termes de politique industrielle: de facto, les acteurs français vont se trouver cantonnés dans un rôle de fournisseur d’infrastructures, visant à revendre une technologie logicielle non-Européenne. Or, la commande publique (et non les subventions) est bien un levier prépondérant de politique industrielle. Aussi, en se positionnant comme un acheteur privilégié pour ce type de solutions, l’Etat semble abdiquer toute ambition pour le développement d’une filière cloud française compétitive et innovante sur le segment de la chaîne de valeur qui concentrera demain l’essentiel de la valeur. Il sera difficile de compenser ce signal très négatif envoyé à l’ensemble de l'écosystème par du soutien en R&D, comme l’expose la doctrine.

Nous craignons en outre des effets indésirables au détriment des start-ups de la French Tech, qui n’ont de cesse de prendre des risques pour développer des solutions SaaS innovantes (avec recours au cloud sous-jacent soit IaaS et PaaS) - la confiance à l’égard de leur démarche entrepreneuriale pourrait fortement pâtir d’une labellisation si orientée.

La logique vertueuse d’une telle orientation sur le plan fiscal est également sujette à caution, la propension à l’évitement fiscal des grands acteurs non-Européens de la tech étant un sujet bien connu, contre lequel le gouvernement français lutte par ailleurs à raison.

En conclusion: le cloud, c’est maintenant !

La doctrine “cloud au centre” est donc désormais sur la table, mais tout reste à faire: construire la confiance autour des offres cloud, qui auront vocation à servir la modernisation des services de l’Etat, et donc in fine à améliorer le quotidien des Français dans leur rapport au service public.

Cette confiance, elle ne peut pas se décréter - sous peine de décrédibiliser le tissu des fournisseurs locaux qui eux ont gagné cette confiance auprès de leur clientèle existante. Pour nous, la confiance se reflète à travers le sérieux de nos offres, éprouvé par nos clients au cours de nos vingt ans d’existence. Elle se reflète aussi à travers l’agilité et l’innovation qui caractérisent nos produits. Elle se reflète surtout à travers nos valeurs qui ont sans cesse conduit Scaleway à repousser les frontières du statu quo en matière de sécurité, de souveraineté, de transparence, d’innovation, ou sur le plan environnemental.

Pragmatiques, nous sommes dorénavant entièrement mobilisés aux côtés du secteur public pour accompagner l’accélération de sa transformation numérique, dans des conditions maximales de confiance - dans la droite ligne des attentes légitimes exprimées par le gouvernement dans sa doctrine. Parce que nous sommes convaincus qu’il existe une voie de passage pour que les industriels européens du cloud et du logiciel, aux côtés des porteurs de projets publics, écrivent ensemble, avec fierté, de nouvelles pages de notre histoire technologique.