Le 18 novembre dernier, nous avons annoncé que notre entreprise « ne renouvellerait pas son adhésion au projet GAIA-X en 2022. Les objectifs de l’Association, quoique louables au départ, sont de plus en plus détournés et contrariés par un paradoxe de polarisation ayant pour conséquence de renforcer le statu quo, c’est-à-dire une concurrence déséquilibrée. Scaleway choisit de consacrer son temps, ses capitaux et son attention à améliorer son offre multi-cloud, un facteur clé pour une véritable réversibilité et ouverture. »

Vous êtes nombreux à nous avoir demandé les motifs qui nous ont poussé à prendre cette décision : voici donc,  en toute transparence, un retour sur ces 18 derniers mois passés en qualité de membre-fondateur de GAIA-X.

Avant le jour J, un soutien total des ambitions de GAIA-X, en dépit de nombreux défis

Tout d’abord, revenons en  juin 2020, mois du lancement de l’initiative par le ministre allemand Peter Altmaier et son homologue français Bruno Le Maire : Scaleway était alors l’un des 22 membres fondateurs.

Nous soutenions alors complètement les objectifs exprimés et défendus par les gouvernements des deux côtés du Rhin, en l'occurrence « garantir la souveraineté, la disponibilité, l’interopérabilité et la portabilité des données » et, « promouvoir la transparence ».

Bien sûr, nous savions dès le début que progresser tous ensemble et promouvoir une vision commune serait un défi intéressant, en raison de la nature-même des acteurs industriels impliqués dans le projet : trois fournisseurs de services cloud français (OVH, Outscale et Scaleway) face à des acteurs verticaux prédominants sur le marché allemand (BMW, Volkswagen, Deutsche Bank, etc.), qui utilisent principalement des services et  technologies cloud non européens.

Les objectifs du projet étant en parfaite adéquation avec notre philosophie et notre ADN multi-cloud, nous avons décidé de participer à cet élan : d'une part pour renforcer l'écosystème numérique européen en fixant des règles communes et fédératrices (c'est-à-dire en rééquilibrant les conditions et les dynamiques actuelles du marché du cloud), et d'autre part pour améliorer l'adoption des solutions de cloud sur notre continent, en s'appuyant sur les valeurs, les pratiques et les normes européennes : les deux piliers devant aller de pair, naturellement.

Au-delà de mon propre engagement (réunions hebdomadaires du conseil d'administration ainsi que tout le suivi, la préparation et la coordination qui s’ensuivent), près de 10 Scalers (des cloud solution architects, des business developers, des membres du département de communication et des affaires publiques) se sont partiellement impliqués, au cours des 12 premiers mois de l'initiative, notamment pour construire la première démonstration présentée au sommet 2020 de GAIA-X , soutenir les travaux techniques et politiques, et mettre GAIA-X sur les rails. A l’époque, nous n’étions que 300 à 350 employés, nous avons donc consacré une énergie conséquente au projet de faire décoller GAIA-X.

Notre analyse : nous n'avons pas de temps à perdre à jouer aux échecs... ni l’envie de prolonger le statu quo.

Les premiers mois de GAIA-X ont été caractérisés par une importante incompréhension quant à sa portée et ses objectifs : certains l'ont décrit comme un « Airbus du cloud », d'autres ont pensé qu'il opérerait un « cloud souverain », d'autres encore parlaient d'une « fédération d'offres de cloud » ou d'un « métacloud ». Parallèlement, de nombreux doutes sur le périmètre d'adhésion ont persisté : les entreprises non européennes doivent-elles être autorisées à devenir membres ? Avec ou sans limitations ?  Avec ou sans garanties quant à leur niveau d'engagement au niveau technique ?

Mes collaborateurs et moi-même avons très clairement annoncé que nous quitterions GAIA-X, si des entreprises non européennes étaient autorisées à participer à la gouvernance du Board. Croyez-le ou non, cela n'allait pas de soi pour certains ; j'ai même dû utiliser mon droit de veto pour éviter qu'une décision désastreuse ne soit prise.

Quelques mois plus tard, en avril 2021, lorsque le conseil d'administration a dû valider les candidatures de ceux que l'on appelle les « day-one members » (ayant postulé entre Q3-2020 et Q1-2021), la même question s'est à nouveau posée : fallait-il accepter tous les candidats internationaux ? C’est un fait, les acteurs non européens, ayant une emprise (très, trop forte parfois) sur les marchés européens, étaient légitimes pour rejoindre GAIA-X. Pour autant, n'aurions-nous pas pu établir des critères afin des entreprises dont l'actionnariat est par exemple composé d'un gouvernement d'un pays tiers (ex : Palantir, Huawei), afin de différencier « entrée » et « entrisme » ?

Typiquement, nous voulions éviter une situation où ces entités pourraient, plus tard, prétendre être des contributeurs clés, à travers GAIA-X, à la souveraineté numérique européenne. En voyant comment GAIA-X a fait la publicité de la contribution de Huawei (Europe) à la souveraineté numérique sur Twitter il y a quelques jours, ou en considérant la structure de parrainage du dernier sommet GAIA-X en novembre, je suis triste de constater que la réalité nous a donné raison.

Le fait d’avoir accepté sans aucune restriction tous les fournisseurs de services cloud non-européens dominants a eu des conséquences dont nous n’avions peut-être pas suffisamment anticipé l'ampleur. À partir du moment où ces acteurs dominants et leurs « diplomates de la tech » ont rejoint les comités techniques, ils ont assailli les autres contributeurs d’orientations, de propositions d’exigences et de commentaires face auxquels il était impossible pour les européens de se positionner, que ce soit individuellement ou collectivement. Un déséquilibre structurel s’est donc formé dans les enceintes de travail de GAIA-X. Dès lors, le risque est que certaines orientations servent les intérêts d’acteurs déjà dominants au lieu de refléter les besoins, attentes et défis des différents fournisseurs de technologies européens. Nous constatons que les mêmes causes reproduisent les mêmes effets dans plusieurs organisations similaires. Les intérêts des grands acteurs y sont régulièrement protégés au détriment d’organisations moins importantes dont les orientations, innovantes mais alternatives, sont souvent marginalisées.

Une étude récente publiée par Synergy research group a mis en évidence que, ces quatre dernières années (2017-2021), la part du marché européen détenue par des fournisseurs de cloud européens a chuté de 27 % à moins de 16 %. Amazon, Microsoft et Google représenteraient environ 70 % du marché européen et « leur part ne fait qu’augmenter. »

Alors que les institutions européennes poursuivent avec succès leurs négociations autour du Digital Market Act, dans le but d’une stricte réglementation du gatekeeping au sein des marchés du numérique, il semble contradictoire de la part de GAIA-X de placer de nouveaux obstacles devant notre écosystème local.

Malheureusement, le renouvellement du conseil d’administration de GAIA-X en juin dernier ne nous a pas donné lieu d’espérer une représentation plus juste du cloud et de l’écosystème numérique européens. Étant donné que ni Outscale, ni Scaleway, ni Aruba n’ont été (ré)élus, le conseil d’administration ne compte plus désormais qu’un fournisseur cloud (OVH), qui a été rejoint par quatre opérateurs de télécommunications. Trois associations professionnelles (CISPE, Digital Europe et Bitkom), ont également rejoint le bureau, ouvrant ainsi la porte de la gouvernance politique de GAIA-X à leurs membres non-européens. De même, le conseil est désormais composé d’industriels européens utilisant principalement des technologies cloud non européennes, ce qui joue un rôle non négligeable dans leurs décisions. Enfin, les Petites et moyennes entreprises ont été exclues du conseil, reléguant ainsi en marge toute une partie de l’environnement numérique.

Quand les ambitions initiales de GAIA-X sont détournées…

Encore une fois, en tant que membre fondateur, nous avons soutenu à 200 % les ambitions initiales de GAIA-X. Nous chérissons les grands principes qui soutiennent les activités de GAIA-X, et notre objectif principal a été d'éviter, comme c'est si souvent le cas avec le green washing, que les notions critiques d'interopérabilité, de portabilité ou de souveraineté soient vidées de leur substance - tandis que les exigences correspondantes auraient vocation à devenir des « références ultimes » en la matière, aux niveaux européen et national.

Plus concrètement, lorsque nous lisons le libellé décrivant le plus strict niveau de label sur lequel les membres de GAIA-X ont itéré, nous ne pouvons qu'exprimer notre inquiétude quant à la manière dont ces notions sont traitées et (vaguement) définies :

« Ce niveau vise les normes les plus élevées en matière de protection des données, de sécurité, de transparence, de portabilité et de flexibilité, ainsi que de contrôle européen. Il étend les exigences des niveaux 1 et 2, avec des critères qui garantissent l'immunité aux lois non européennes et un fort degré de contrôle sur le verrouillage des fournisseurs. Une localisation du service en Europe est obligatoire. Pour la cybersécurité, l'exigence minimale sera de satisfaire au niveau élevé du système européen de cybersécurité de l'ENISA ».

La notion d'extraterritorialité n'est pas mentionnée, le « contrôle européen » est un concept vide de sens (ou, au contraire, il peut avoir une pluralité de sens...). Le lien fait avec les exigences du "ENISA European Cybersecurity Scheme Level High" est plus que bienvenu.  Néanmoins, nous ne comprenons pas comment certains acteurs non-européens, farouchement opposés au haut niveau d'ambition de ce schéma de certification, pourraient soudainement soutenir une référence à celui-ci au sein de GAIA-X ? Parieraient-ils sur l'échec de l'ENISA (et des États membres) ?

Il en va de même pour l'ambition d'un « fort degré de contrôle sur le verrouillage des fournisseurs » : cette formulation a sûrement été le résultat d'intenses négociations mais, en l'état - elle amène à se demander jusqu'où GAIA-X ira pour résoudre les phénomènes de verrouillage rencontrés sur le marché. « Contrôle » ne signifie pas « atténuation », qui devrait être un objectif clé si nous voulons rééquilibrer les conditions oligopolistiques qui régissent les marché du cloud, préjudiciables à la fois pour les fournisseurs européens et pour les utilisateurs du cloud. En outre, nous avons vu comment les codes de conduite volontaires pour faciliter le changement et le portage développés par l'association SWIPO n'ont pas eu d'impact l'économie réelle : Google et Microsoft n'ont déclaré leur adhésion pour aucun service, et AWS l'a fait pour seulement trois d'entre eux.

Pendant ce temps, un angle crucial reste à aborder : les coûts d'extraction des données, également connus sous le nom de « frais de sortie ». En effet, notre expérience du marché nous amène à partager pleinement cette évaluation de la commission judiciaire de la Chambre des représentants des États-Unis datant d’octobre 2020, notant que « le verrouillage existe parce que les coûts de changement pour les clients de services cloud sont élevés ».

Plus nous attendrons pour introduire des changements à cette situation, plus il sera difficile de « surpasser les opérateurs historiques en raison du risque de verrouillage des fournisseurs », selon le même rapport officiel américain. Après le manque d'impact des codes de conduite de SWIPO, développer un nouveau type d'approche volontaire à travers GAIA-X, en se concentrant sur les exigences techniques, ne sera qu'un moyen de préserver le statu quo. Nous avons besoin d'une législation concrète, au niveau de l'UE, pour progresser vers une plus grande portabilité des données, pour donner une liberté de choix effective et durable d'un point de vue financier aux utilisateurs de cloud, et pour améliorer véritablement la libre circulation des données sur le continent européen.

Nous avons également été régulièrement surpris par la façon très singulière de GAIA-X d'appréhender la transparence et la confiance, ce qui a rendu d’autant plus long et compliqué de suivre et de contribuer de manière proactive aux activités de l’association.

...Scaleway s'engage à construire le cloud qui fait sens en Europe, conformément aux principes fondateurs de GAIA-X !

Certains pourraient arguer que « quitter l'organisation n'aidera pas à avoir du poids » : à ceux-là, nous répondons que pendant des mois, nous n'avons eu aucun poids de toute façon. Comment une entreprise de 400 personnes peut-elle gérer une centaine de réunions par mois, sans visibilité globale, et s'impliquer comme il se doit, alors que mobiliser ne serait-ce que 1 ou 2 % de l'effectif total de notre entreprise, à temps plein, ne serait même pas suffisant ?

Toute cette situation crée pour nous ce que j'appelle une « injonction paradoxale » : On reproche souvent aux fournisseurs européens de services de cloud d'être « en retard », de ne pas être « assez compétitifs », d'être « à la traîne en termes d'innovation » : toutes ces hypothèses sont très discutables, mais une chose est devenue claire pour nous : dans un écosystème technologique européen composé d'un large éventail de petites et moyennes entreprises, toutes opérant dans des conditions défavorables, la mise en place d'un « Adminotaur » du cloud ne peut pas être le meilleur moyen de renforcer la visibilité du savoir-faire industriel et d'ingénierie de ces acteurs.

De notre côté, notre choix est clair : le maître mot pour 2022 sera de se concentrer :

  • Tenir la promesse de GAIA-X aujourd'hui plutôt qu'en 2023 : en proposant des produits et des stratégies multi-cloud, Scaleway se conforme déjà les valeurs de GAIA-X aujourd'hui, grâce à l'orchestration interopérable et réversible des charges de travail avec Kosmos (un control plane Kubernetes multi-cloud) ou avec notre répartiteur de charge multi-cloud. Alors que GAIA-X s'évertue à redéfinir la souveraineté des données à sa manière pour passer à la vitesse supérieure d'ici 18 ou 24 mois, nos clients peuvent s'appuyer sur notre infrastructure de cloud souverain opérationnelle depuis des années : de nos datacenters situés en région parisienne, à l'infrastructure physique (puissance de calcul et stockage) en passant par les infrastructures logicielles (IaaS et PaaS) que nous développons en interne, notre engagement au service de votre souveraineté est sans concession : niveau minimal de dépendances, niveau maximal de protection des données.
  • Vélocité dans l'innovation et le développement de produits : au travers de nos 40 produits, nous sommes aujourd'hui en mesure de répondre à environ 80 % des besoins du marché : puissance de calcul, de stockage et de réseau. Les marchés du cloud public connaissent une croissance sans précédent, jusqu'à 30 à 40 % par an... Notre force, pour regagner des parts de marché (et pas seulement augmenter notre volume de ventes), réside dans notre capacité à agir rapidement. Jusqu'à présent, cela n'a pas été la façon de faire de GAIA-X qui ne reflète pas la vitesse avec laquelle nos marchés évoluent actuellement.
  • Des actions impactantes, pour remettre en cause le statu quo : afin de clarifier notre positionnement, nous avons également pris la décision de quitter des organisations dont nous faisions partie, mais que nous ne pouvions pas activer pour porter nos valeurs, que ce soit en termes de souveraineté, d'interopérabilité/portabilité, de concurrence ou d'objectifs de politique environnementale : c'est le cas de l'association Cloud infrastructure service provider in Europe (CISPE), ou de SWIPO, pour les raisons sont évoquées ci-dessus.
  • Travailler avec de nouvelles coalitions, comme EUCLIDIA, aux côtés d'acteurs européens alternatifs, avec et pour l'écosystème technologique européen ; faire entendre notre voix alternative, permettre aux législateurs nationaux et européens de comprendre autant le potentiel des technologies du cloud et la complexité de nos marchés, tout en démontrant qu'il est possible, tous ensemble, de construire « un cloud qui a du sens » afin de favoriser la transformation numérique et la résilience de nos économies.
  • Montrer (encore plus) l'exemple en matière de transparence et d'environnement, afin de respecter notre engagement à devenir le cloud le plus efficace et le plus transparent du monde sur le plan environnemental. Nous sommes convaincus que notre approche radicale en matière de transparence est une source d'externalités positives, et qu'elle est génératrice de confiance. Nous le devons à nos clients, à nos institutions publiques, mais aussi à l'ensemble de la société et aux générations futures.

Pour aller plus loin, téléchargez le livre blanc - Multi-cloud : enjeux et bénéfices : pourquoi faut-il y penser dès à présent ?