Deuxième volet de ma trilogie sur la souveraineté numérique.

Paris, le 14 juillet 2021

Ce texte est un cri de protestation écrit dans la foulée de l’annonce de la doctrine Cloud par le Gouvernement. Sur les conseils de plusieurs amis, j’ai finalement décidé de le publier sous la forme d’un petit e-book.

Le 17 mai dernier à Bercy était présentée la nouvelle stratégie Cloud du Gouvernement.
Dans un discours un peu gêné, le ministre de l’Économie Bruno Le Maire a confirmé ce que beaucoup d’entre nous craignaient : grâce à des accords de licences qui seront confirmés prochainement, Google et Microsoft vont faire leur entrée au cœur de l’État. Un nouveau label appelé « Cloud de confiance » conditionne désormais l’accès aux juteux marchés publics tout en promettant un niveau de sécurité élevé. Mais dans la pratique ce nouveau mécanisme de certification sera complexe à obtenir et pourrait déstabiliser la filière en décourageant les petites structures innovantes d’y participer.

Le Ministre aura beau tenter de présenter cette décision comme une évolution naturelle et inéluctable, nombreux sont ceux qui y voient le franchissement de la ligne rouge de la souveraineté numérique.

Pour avoir suivi ces sujets depuis les débuts du Net, j’ai pour la première fois le sentiment que nous entrons en territoire inconnu. Jamais un tel niveau de dépendance n’avait été expérimenté même en plein cœur de la Guerre Froide.

À moins d’un an des élections présidentielles, pourquoi impulser un tel changement de doctrine ?

Finie l’idée d’un marché équitable et d’une politique industrielle volontariste où le Gouvernement et les régulateurs font leur travail de rééquilibrage face à un Internet de plus en plus opaque et monopolistique. À part OVH Cloud, aucun des acteurs français n’a été mentionné par les Ministres. Leur seul tort ? De ne pas avoir la force de frappe marketing et financière des géants du numérique.

Aucun défenseur des questions de souveraineté numérique n’a d’ailleurs été consulté sur cette démarche. Seuls les syndicats des grands groupes et les lobbies des plateformes ont pu dérouler leurs arguments, comme si le futur de la France ne pouvait être décidé que par eux.

Face à un État qui s’affaiblit numériquement chaque jour un peu plus, il semble que l’idéologie libertarienne de la Silicon Valley qui prône la destruction de l’État Providence en le remplaçant par des services en ligne désincarnés soit en train de gagner. Bientôt les citoyens n’auront d’autre choix que de se saisir eux-mêmes des outils qui leur sont disponibles pour gérer leur souveraineté numérique personnelle.

C’est d’ailleurs dans cette direction que je vais concentrer mes efforts désormais car mes dernières conversations avec de hauts fonctionnaires m’ont convaincu qu’il n’y a plus grand-chose à faire à part continuer d’expliquer au plus grand nombre ce qui se joue en ce moment.

La même semaine, la diffusion de l’émission Cash Investigation sur l’exploitation sauvage des données des Français a suscité une vive émotion. Pour la première fois, le mécanisme d'extraction de nos données médicales par la société américaine IQVIA était révélé au grand jour. Notamment un système permettant de transformer la caisse enregistreuse des pharmaciens en un outil de Big Data pour faire remonter automatiquement nos données vers les serveurs d’IQVIA. Suite au tollé qui a suivi la diffusion du documentaire, la CNIL qui avait autorisé la démarche n'a pas eu d’autre choix que d’annoncer qu’elle allait faire des contrôles.

Le responsable France de IQVIA a par ailleurs été le maître d’œuvre du Health Data Hub, un nouveau projet de l’État créé à la suite du rapport de Cédric Villani sur l’Intelligence Artificielle et dont la mission est de mettre à disposition gratuitement l’ensemble des données médicales des Français aux start-up et grands groupes de santé qui souhaitent les utiliser pour leurs recherches.
Grâce à l’état d’urgence sanitaire qui lui a permis d'obtenir les autorisations d'exploitation, le Health Data Hub a pu rapidement bénéficier des remontées des données de patients liées au Covid. Une fois récupérées, ces données sont traitées et hébergées sur le Cloud de la société Microsoft.

Nous avons été nombreux à l’époque à critiquer ce choix car il nous apparaissait que la sécurité juridique des données de santé des Français n’était pas garantie. En effet les lois américaines dites FISA et Cloud Act permettent d’obliger les grandes sociétés US à fournir à la justice américaine les données situées sur leurs serveurs européens, ceci sans même avoir besoin d’en informer la personne visée.

Mais nous allions le comprendre bien plus tard, le Health Data Hub était le “patient zéro” de cette nouvelle doctrine d’État qui utilise des services de Cloud externalisés pour imposer le format de ses services numériques sans que les citoyens ni les fonctionnaires n’y soient associés.

En effet, pour répondre à la problématique liée à la souveraineté des données de santé, le Gouvernement aurait dû se porter vers des acteurs européens, en les mettant autour de la table pour trouver une solution alternative.

Il n’en a rien été. Malgré la saisine du Conseil d’État par un collectif incluant des médecins et des informaticiens, un avis de la CNIL détaillant les risques d'une telle solution, le Gouvernement n’a pas souhaité changer d’avis, expliquant que l’offre française n’était pas en mesure d’accueillir le Health Data Hub et que l’accord Europe États-Unis, appelé Privacy Shield, offrait une protection juridique suffisante.

Mais coup de théâtre et hasard du calendrier, une décision de la Cour européenne invalide le Privacy Shield confirmant que les données transférées chez les grandes plateformes américaines ne peuvent plus offrir de protection juridique suffisante.

En l’absence de cette protection, la responsabilité légale peut être engagée en cas de fuite de données, comme le stipule le règlement européen sur la protection des données (le fameux RGPD).

Cette instabilité juridique extrêmement fâcheuse est arrivée au moment où de nombreuses entreprises publiques et services de l’État (notamment la BPI avec la solution Cloud d'Amazon) commençaient à porter leur choix d’hébergement sur les plateformes américaines.

Lors de la commission d’enquête du Sénat sur la crise du Covid, le Secrétaire d’État au numérique doit faire marche arrière en confirmant que le Health Data Hub se donne deux ans pour trouver un hébergeur qui satisfasse aux exigences liées à la souveraineté des données.

Mais quelles sont les raisons d’un tel engouement des services de l’État pour le Cloud américain ?

La première est évidente : si l’on met de côté les questions de souveraineté, les services de sociétés comme Amazon, Microsoft et Google sont très ergonomiques et permettent de mettre en place rapidement des services fonctionnels. De nombreux acteurs du Cloud français disposent de produits similaires mais n’ont pas les bénéfices d’un marketing intensif et efficace qui fait qu’aux yeux du profane technologique “tout est toujours mieux quand cela vient des États-Unis.”

Il faut aussi le reconnaître, là où les Américains offrent des services clé en main, les services “made in France” demandent de combiner plusieurs produits issus de sociétés différentes pour obtenir un résultat final identique. La taille plus importante du marché américain et les nombreuses acquisitions de petites start-up spécialisées ont permis aux géants du Cloud de se construire un catalogue de services pléthorique. Toutefois, sur les fonctionnalités essentielles utilisées dans la majorité des cas, il n’y a pas de différences majeures. Rien d’insurmontable donc mais à l’ère du “tout fonctionne en appuyant sur un bouton”, c’est plus difficile à défendre.

L’autre raison est idéologique. Après avoir délocalisé notre industrie (le fameux “Fabless” de Serge Tchuruk ancien patron d’Alcatel), l’État et les grandes entreprises ont délocalisé leur informatique vers les grandes SSII qui se sont mises à produire des projets à la chaîne.

C’est l’époque des nouvelles techniques de management qui visent à rationaliser et éliminer la complexité. Négocier avec les syndicats devient trop complexe, délocalisons en Chine ; mettre en place une informatique dédiée coûte trop cher, sous-traitons nos projets aux grandes sociétés de services. Cette stratégie a permis à la France de construire des géants mondiaux du service informatique mais a vidé ses Administrations de talents et de savoir-faire.

Hélas, et nous ne l’avons compris que trop tard, c’est bien cette maîtrise de la complexité industrielle et informatique qui produit la valeur d’une entreprise. Tesla n’a pas décidé d’acheter des batteries pour ses voitures, mais de les construire elle-même en possédant sa propre mine de lithium. Apple, Google, Facebook, Amazon ont embauché des dizaines de milliers d’ingénieurs, dont de très talentueux Français, pour construire leurs produits.

À l'inverse, nous avons vendu nos fleurons technologiques et notre informatique d’État est devenue une suite de projets gargantuesques (Louvois, Chorus, et tant d’autres) hors de contrôle facturé à la journée par des prestataires.
Il n’est pas difficile de comprendre pourquoi la disponibilité des services en ligne de l’Éducation Nationale n’était pas au rendez-vous lors de la réouverture des écoles après le confinement.

Quand le logiciel dévore le monde, le Cloud devient le modèle de distribution. C’est Amazon qui a été le premier à se rendre compte qu’il pouvait louer son infrastructure d'hébergement à d’autres. La véritable raison de ce choix n’a été connue que bien plus tard. Pour ne pas être dépendant d’une hausse exorbitante subite de leurs licences logicielles qui les a presque amenés à la faillite, ils décident de construire dans l’urgence leur propre infrastructure en s’appuyant sur du logiciel libre. Le succès sera au rendez-vous ; les exigences de croissance rapide des start-up comme Netflix vont rendre Amazon incontournable au point que Google et Microsoft vont l’imiter.

Au départ, les entreprises françaises sont peu enclines à utiliser le Cloud. En effet leur informatique est souvent hébergée en infogérance chez les grandes SSII françaises qui prélèvent au passage des marges très confortables. Elles voient d’un très mauvais œil l’arrivée de ces nouveaux acteurs qui facturent à la minute d’usage. Les “Cloudeurs” américains qui souhaitent offrir leurs services d’hébergement aux sociétés du CAC40 trouvent une manière simple de convaincre les SSII : garantir leur chiffre d’affaires en échange d’une aide à la migration de leurs clients historiques sur leurs plateformes. Sous la pression d’un besoin de « Transformation Digitale » les grandes entreprises du CAC 40 vont briser un tabou et migrer progressivement leur informatique stratégique vers le Cloud américain.
À cause des critères de sécurité nationale, les services de l’État leur restaient inaccessibles jusqu’à aujourd’hui.

L’autre priorité des services de Cloud américains est de toucher les start-up de la French Tech. Leur politique commerciale agressive qui consiste à donner des crédits d’usage gratuits (parfois plusieurs centaines de milliers d’euros) est une véritable aubaine pour les entrepreneurs qui doivent gérer un budget de démarrage réduit. Plus tard lorsque les levées de fonds sont entérinées (dont une partie d’argent public via la Banque Publique d’Investissement), la facture s’envole.

Cette stratégie permet à la fois de s’emparer du marché des start-up de la French Tech, des étudiants des Grandes écoles mais également de convaincre les grands groupes qui rêvent d’avoir la même agilité que les jeunes pousses.

Enfin et c’est le plus important, cette hégémonie promeut une nouvelle génération de développeurs français qui sont friands des GAM (Google Amazon, Microsoft) notamment parce que les missions sont fortement rémunératrices, en tout cas pour l’instant. Toutefois la standardisation des fonctionnalités et la globalisation du marché menacent de les mettre en concurrence avec les développeurs pakistanais ou indiens prêts à casser les prix. C’est un peu la version informatique du plombier polonais de la directive Bolkestein.

Dans le cadre de plusieurs de mes projets, j’ai eu l’occasion d’utiliser les services d’Amazon. Leur simplicité d’utilisation, le support à la migration des projets informatiques permettent d’aller très vite. Pour peu que l’on accepte de redéfinir son projet dans l’environnement standardisé de services proposés et surtout de prévoir un budget conséquent car leur usage est souvent facturé à la minute.

Enfin, si l’on souhaite en sortir, le coût de « réversibilité » peut se chiffrer très rapidement en millions d’euros pour les gros projets. Un “quoi qu'il en coûte” qui s’est parfois révélé fatal pour certaines migrations.

Toutes ces questions pratiques en suspens n’auront pourtant pas empêché Bruno Le Maire d’annoncer que les acteurs américains auraient toute leur place dans le cadre de la numérisation de l’État.

L’astuce proposée pour contourner le problème délicat de l’extraterritorialité américaine consiste à faire installer sous licence par des acteurs français sur des infrastructures françaises les logiciels des services de Cloud américains. Cela revient à une forme de franchise qui n’est pas différente de ce que font les grandes chaînes de fast-food américaines en Europe.

Ainsi cette « souverainisation des GAFAM » pourrait décrocher le Graal, c’est-à-dire avoir le label SecNum Cloud (le plus haut niveau de sécurisation de l’État). Cela permettrait selon Cédric O, Secrétaire d’État au numérique et ardent défenseur de cette approche, de régler le problème de souveraineté des données en rendant caduque le risque d’ingérence américaine.

Rien n’est moins sûr.

Il faut tout d’abord rappeler qu’une autre loi sur l’exportation du logiciel existe. Elle a d’ailleurs été utilisée par Donald Trump en Chine contre Huawei et en Iran. Rien n’empêche en théorie au Président Biden, ou son successeur, sur simple ordre présidentiel de rendre illégal l’usage des plateformes numériques américaines en Europe.
Rien n’empêche d’exploiter les données via des backdoors (portes dérobées logicielles). Il faut aussi rappeler que Microsoft est l’objet d’une attaque mondiale sur ses services de messagerie Office 365, et que l’affaire Solar Wind, l’une des plus grandes cyber attaques de l’histoire de l’Internet a montré la grande faiblesse des acteurs européens à faire valoir leurs droits en cas de problèmes de sécurité.

C’est probablement par excès de prudence que cet accord exclut les services de Bercy (gestion de l’impôt) et du Ministère de l’Intérieur. Il se chuchote également que l’Armée n’y est pas très favorable. Elle n’est de toute façon pas concernée par ces décisions et ne rend pas de comptes au ministre de l’Économie sur les questions de sécurité nationale.

Point positif toutefois, c'est à l’ANSSI et son excellent directeur Guillaume Poupard que l’on a demandé d’auditer les critères d’acceptation. Mais on peut se désoler que le service chargé de la sécurisation de l’État soit transformé en faiseur de roi : l’obligation de certification obligeant tous les acteurs à faire une demande pour continuer de bénéficier de la manne publique.

Pour faire passer la pilule, nos Ministres ont tenté de rappeler que la France s’est appuyée sur des technologies américaines pour son programme nucléaire. C’est vrai, mais à l’époque nous en avions les plans, ce qui ne sera pas le cas a priori ici.

Curieusement, alors que nous avons accepté de donner les plans de nos Rafales aux Indiens et d’en accepter la construction en Inde, les contreparties pour la France de la souverainisation des GAFAMs n’ont toujours pas été révélées.

La France aura-t-elle accès au code source des plateformes de Cloud américaines ? A-t-elle négocié une réversibilité forte et peu onéreuse pour les services qui y seront hébergés ?

J’ai posé la question lors des Assises de la Souveraineté Numérique au Directeur des Affaires Juridiques de Microsoft qui n’était pas en mesure d’y répondre.

Question subsidiaire : cette souveraineté sous licence utilisera-t-elle le même montage fiscal déjà à l’œuvre chez les géants du numérique ?
Il serait inacceptable de vouloir d’un côté, prôner une taxe GAFAM pour lutter contre l’optimisation fiscale tout en installant ce même montage au cœur de l’informatique d’État !

Enfin et c’est la question qui m’importe le plus : quel est le devenir des acteurs français ? L’objectif d’une doctrine Cloud n’est pas d’ouvrir grandes les portes de l’État aux géants américains mais de fédérer et de soutenir son offre locale dont la qualité n’est plus à démontrer.
Plus de la moitié du CAC 40 utilise des technologies françaises de Cloud et la France est dans le trio de tête mondial de l’hébergement grâce à la compétition saine entre OVH et Scaleway (filiale du groupe Iliad). D’ailleurs le troisième acteur est allemand. Il n’y a donc pas à rougir sur le sujet.

L’erreur d’analyse majeure de ce Gouvernement (et des précédents) est de croire que le Cloud est un problème d’infrastructure, alors qu’il s’agit essentiellement de logiciels.

Pour être bon dans le Cloud, c’est très simple ; il s’agit de construire des logiciels clés en main et ensuite de les louer à ses clients, parfois avec des marges indécentes (on parle de 1000 % pour certains services).

C’est donc dans le logiciel que la bataille va se livrer. Notre chance c’est que nous sommes très bons notamment dans le logiciel libre. Lors de mon rapport remis à Fleur Pellerin sur les développeurs, j’avais mis l’accent sur le fait que de nombreux services américains de la Silicon Valley d’Apple à Google en passant par Amazon avaient été conçus par des ingénieurs français. L’iPhone lui-même avait été initié à Paris par le génial Jean-Marie Hulot avant d’être rapatrié aux États Unis. Quand les services américains vendent des systèmes d’IA, ils s’appuient souvent sur la librairie logicielle libre scikit-learn mise au point à l’INRIA. La force du logiciel est qu’il ne nécessite pas de grosses ressources. Comme le dit Daniel Glazman, un des vétérans français du Web, il suffit d’une table, d’un ordinateur et de beaucoup de « jus de cerveaux ».

Il faut donc le dire et le répéter : sans souveraineté du logiciel, il n’y a pas de souveraineté pleine et entière.

Il est facile de comprendre pourquoi les acteurs français sont inquiets de cette nouvelle doctrine d’État. Certains envisagent déjà de se replier vers les marchés étrangers jugés plus ouverts à l'innovation des petites structures. Si c’est le cas, leur absence privera notre Cloud souverain de leur créativité. Une association en cours de création, Euclidia, espère porter leur voix au niveau européen.

Le ministre de l’Économie corrigera-t-il le tir en garantissant à tous l’accès aux marchés d’État, un « small business act », une forme d’exception culturelle du Cloud à la française ?

Il faut l’espérer.

Et surtout espérer que nos dirigeants savent ce qu’ils font car comme pour la baisse drastique du nombre de lits d’hôpitaux ou l’arrêt du stockage des masques, leurs décisions engagent la France et sa capacité de résilience future. Surtout quand on connaît notre niveau de dépendance au numérique.

Y avait-il une autre approche ? Je le crois sincèrement. Mais elle aurait nécessité de changer les dogmes actuels de la Haute Administration, c’est-à-dire faire participer aux questions numériques les spécialistes du sujet.

Depuis plusieurs années je défends l’idée que l’État à besoin d’une stratégie logicielle claire et durable, qui doit être impulsée par la nomination d’un CTO (Chief Technology Officer) capable comme l’est un Chef d’État-Major pour l’Armée de définir l’architecture d’un État souverain, cohérent et résilient pour le volet numérique. Capable de s’intégrer à une Europe numérisée et le reste du monde.

Qu’il faudrait soutenir massivement le logiciel libre en en faisant un pilier essentiel de l’État. Et en construisant un modèle de partenariat public privé qui récompense l’innovation plutôt que l’entre-soi qui a fait que les projets médiocres finissent toujours par être choisis.

Que le service public aurait dû depuis de nombreuses années embaucher les meilleurs développeurs à des salaires compétitifs et leur demander de participer à la mise à jour des services de l’État.

Car la modernisation de l’État ne se fera pas avec une migration totale sur le Cloud. L’enjeu des prochaines années est de construire une vision hybride qui permette à chaque agent de l’État de pouvoir donner le meilleur de lui-même. Le Web aussi important soit-il ne remplacera pas complètement le téléphone ou la rencontre physique. C’est donc aussi une mission de service public que de s’assurer que la génération qui n’est pas née avec le Web puisse continuer d’avoir confiance en l’État.
Vis-à-vis de tous, ce dernier doit être irréprochable en matière de gestion de données voire donner l’exemple.

À ce titre, diffuser la présentation du nouveau Cloud de confiance depuis la plateforme Twitter et répondre aux questions des journalistes sur WhatsApp dont les nouvelles conditions d’utilisation font scandale et sont l’objet d’un bras de fer en Allemagne, montre encore une fois que ces sujets ne semblent pas prioritaires.

C’est pour cela que je pense qu’il est temps de permettre aux citoyens de reprendre par eux-mêmes le contrôle de leurs données. En m’appuyant sur une petite équipe et avec le soutien de plusieurs acteurs français du Cloud, nous proposerons bientôt une plateforme de souveraineté numérique citoyenne (Digital Self Sovereignty) afin de redonner à chacun le contrôle sur sa vie numérique.

Afin que chacun d’entre nous puisse rappeler à l’État que sa mission est aussi de protéger notre futur et non de le vendre au mieux disant ou au plus offrant.