Le sujet est brûlant et cela se sent. Quelques heures après les annonces de Choose France des investissements dans le cloud, le sommet qui réunit de grandes entreprises étrangères autour du chef de l'Etat, de nombreux messages sur les réseaux sociaux ont pointé du doigt une certaine incohérence. "Mon ressenti c'est avant tout de la colère. C'est une fois de plus la priorité aux Gafam et la non priorité aux entreprises françaises qui pourraient grandir davantage si la priorité leur était donnée", rétorque Thomas Fauré, président et fondateur de Whaller, entreprise éditrice d'une plateforme collaborative sécurisée, candidate au visa de sécurité SecNumCloud.
4 milliards injectés par Microsoft
Les regards se sont particulièrement tournés vers l'investissement de 4 milliards d'euros de Microsoft dans "le développement d'une infrastructure cloud et IA" en France. "Le plus important à ce jour dans le pays", indique l'entreprise américaine. En pratique, l'investissement comprend l'extension de ses data centers à Paris et Marseille ainsi que l'ouverture d'un "nouveau site pour héberger des centres de données de nouvelle génération dans l'agglomération de Mulhouse", dans le Grand Est.
De son côté, Laurent Saint-Martin, directeur général de Business France (agence chargée du développement international des entreprises et de leurs exportations) se félicite de la décision de Microsoft qui permet de "renforcer la souveraineté française dans l’intelligence artificielle", peut-on lire dans le communiqué du géant américain. Or, est-il possible de conjuguer investissements étrangers et souveraineté technologique française ? Certainement, d'après Cloud Temple, une entreprise qui propose un service d'hébergement qualifié SecNumCloud. "J'ai une vision favorable de la situation", nous expose Christophe Lesur, directeur général de Cloud Temple. Ce dernier refuse d'opposer investissements technologiques étrangers et valorisation des solutions françaises dites "souveraines".
"Renverser la tendance avec des offres puissantes pertinentes"
"Il faut toujours se rappeler qu'au bout du bout, il y a les clients, ajoute-t-il. Leur réalité est la suivante : le monde est pluriel et ils savent faire la part des choses en fonction de leurs contraintes entre les différentes structures internationales, européennes, françaises et souveraines." Pour lui, la notion de souveraineté est très clairement définie par l'Agence nationale de la sécurité des systèmes d'information (Anssi). "Dit simplement, c'est une histoire de capital : aux alentours de 24% du capital pour un non-Européen." "La souveraineté, c'est la liberté de choix, ajoute Laure-Martin Tervonen, directrice de la marque et des affaires juridiques de Cloud Temple. Nous ne sommes pas contre le fait que Microsoft continue de performer en France. Ce qu'il faut, c'est renverser la tendance avec des offres puissantes pertinentes."
Pour Etienne Drouard, c'est plus compliqué. L'avocat associé au sein du cabinet américain Hogan Lovells, spécialisé dans le droit des données personnelles, évoque la Constitution française. "Dans notre Constitution, la définition de ce qui est notre souveraineté, c'est obtenir la paix et les équilibres entre des Etats égaux, explique-t-il. Ce n'est absolument pas la définition de la souveraineté que peuvent avoir les Chinois ou les Américains. Pour eux, il s'agit de préserver leurs intérêts et la suprématie dans les relations internationales."
Or, ajoute-t-il, pour être véritablement souverain, encore faut-il avoir les moyens de cette ambition. "Nous dépendons d'infrastructures qui ne sont ni françaises ni européennes. On en dépend économiquement, matériellement et technologiquement", déclare le juriste. Cette dépendance est liée "à notre puissance d'achat de processeurs inférieure à celle des sociétés américaines" et le fait que ces dernières proposent de l'hébergement de données mais également un catalogue de services. "Nous, nous avons de super prestataires d'hébergement qui offrent un espace de stockage mais après il faut venir avec ses petites affaires pour installer son système", analyse-t-il. Pour rappel, ce sont Amazon Web Services (AWS), Google Cloud Platform (GCP) et Microsoft Azure qui dominent très largement le marché européen.
"Par moments, cela manque de bon sens"
Jean-Noël de Galzain, CEO de Wallix et président d'Hexatrust, une association qui représente les éditeurs français de solutions dans la cybersécurité et le cloud, a un regard assez mitigé sur l'initiative Choose France. "J'ai toujours dit autour de Choose France et VivaTech que ce sont des initiatives positives, que le président et le gouvernement s'impliquent pour promouvoir la tech française, expose-t-il. Mais bon sang, c'est la tech française qu'il faut mettre en avant ! Pas promouvoir les géants technologiques, qui n'en ont pas franchement besoin. Par moments, cela manque de bon sens."
Si l'installation de nouveaux data centers étrangers sur le sol français soulève des interrogations en matière de souveraineté technologique, d'un point de vue juridique en matière de protection des données cela ne pose pas de problème particulier. "Sur le plan juridique, il n'y aujourd'hui pas de problème", affirme Etienne Drouard. "Le jour où le Data Privacy Framework (DPF) sera éventuellement cassé à la suite d'un recours – jugeant que les garanties apportées par les Etats-Unis sont encore insuffisantes – on se retrouvera dans la situation qu'on a connu entre juillet 2020 et juillet 2023." L'avocat fait ainsi référence à la période allant de l'invalidation du Privacy Shield par la Cour de justice de l'Union européenne à l'adoption du Data Privacy Framework, nouveau texte encadrant les transferts de données outre-Atlantique.
Ce texte est vu d'un très mauvais œil par Frans Imbert-Vier, CEO d'UBCOM, une agence de contre-espionnage située en Suisse spécialisée dans la protection des actifs sensibles. "Il tue toutes les promesses qui peuvent être faites par les acteurs politiques ou économiques", juge-t-il ajoutant que l'annonce des investissements de Microsoft est "un hold up organisé". "A un moment, la donnée va de toutes façons être collectée et traitée pour les intérêts économiques de ces acteurs [américains, ndlr] ou leurs partenaires à notre détriment." Pour lui, l'arsenal législatif américain – qui autorise dans certains cas les autorités à accéder aux données situées dans des data centers d'entreprises américaines situés dans n'importe quel pays – "démonte tous les arguments marketing que l'on veut". "Les Américains comptent sur nous pour ignorer ces éléments là", rétorque-t-il.
Le Health Data Hub, le dossier sans fin
Si le sujet est aussi brûlant, c'est que Microsoft est aussi impliqué dans l'affaire du Health Data Hub, nom associé au groupement d'intérêt public (GIP) et à la base regroupant les données de santé des Français dont il a la charge. Attribué au fournisseur américain à l'origine, le gouvernement doit désormais migrer les données vers un autre fournisseur français ou européen. "L'argument du gouvernement était de dire que les technologies de Microsoft fonctionnaient tout de suite, expose Thomas Fauré de Whaller. Quelque part, il opposait souveraineté technologique et souveraineté des données." Plus généralement, il regrette amèrement le manque de mise en avant des acteurs français du cloud par la puissance publique. "Nous ne sommes pas des nazes !", lance-t-il, puis ajoute : "je trouve que cette communication autour de Choose France où Emmanuel Macron en fait des caisses est honteuse car en faisant cela, il fait un doigt d'honneur bien polissé à l'ensemble des entreprises et entrepreneurs français".
"Ce n'est absolument pas une question d'outils : les outils peuvent être trouvés sans aucune difficulté à condition de vouloir le faire", d'après le CEO de Whaller. Analyse partagée par Frans Imbert-Vier : "Ce qui est demandé en terme de collecte de données sur le Health Data Hub ne justifie absolument pas de choisir une infrastructure à la dimension d'Azure". "Ce n'est pas un problème de capacité technologique", ajoute-t-il. Pour lui, l'attribution du marché au géant américain n'est pas un hasard : "il s'agit du plus gros collecteur et datavore de la donnée de la santé". "Il y a un lobbying qui est monstrueux, note-t-il. Quand j'ai lancé l'alerte sur le Health Data Hub en 2017, j'ai eu des coups de fil très clairs qui expliquaient que ma vie allait changer si je ne fermais pas ma gueule".
"C'est une question de moyens", rétorque de son côté Etienne Drouard. "Je ne dis pas qu'il ne faut pas le mettre sur une solution européenne" parlant du Health Data Hub, "mais le délit de faciès ne suffit pas dans la diplomatie économique des nouvelles technologies". Il s'oppose aux accusations selon lesquelles les données hébergées par Microsoft "sont en clair" et donc facilement consultables par les autorités américaines. "Le caractère identifiant des données qui sont dans le Health Data Hub est inexistant. Elles sont pseudonymisées et impossibles à comprendre par quelqu'un qui n'est un professionnel de santé. Elles ne sont par ailleurs pas accessibles aux Américains grâce à une garantie contractuelle qui est la suivante : si Microsoft reçoit une réquisition pour accéder aux données – dont il n'a pas accès car elles sont chiffrées – il ferme le service et restitue les données sous forme de données brutes au gouvernement français", détaille-t-il. Il ajoute d'emblée : "je ne défends pas Microsoft mais je connais le dossier à fond".
La loi SREN impose de nouvelles obligations
Il reste que le Health Data Hub doit changer de main. La loi visant à sécuriser et réguler l'espace numérique (SREN) du 21 mai 2024 prévoit ainsi que "les administrations de l'Etat, ses opérateurs (…) ainsi que les groupements d'intérêt public" qui ont recours à un service de cloud pour héberger des données d'une sensibilité particulière et si leur violation est susceptible d'engendrer une atteinte à l'ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle doivent respecter certaines obligations. Le service fourni par le prestataire privé doit ainsi mettre en œuvre "des critères de sécurité et de protection des données garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d'Etats tiers non autorisé par le droit de l'Union européenne ou d'un Etat membre". A noter que ces critères sont moins contraignants que ceux visés dans la dernière version du référentiel SecNumCloud (version 3.2).
Plusieurs entreprises, comme Cloud Temple, qui dispose du label SecNumCloud, ont clairement montré leur ambition d'être le nouveau hébergeur du Health Data Hub. De manière générale, les acteurs français du cloud se mettent en ordre de marche afin de montrer leur capacité à proposer des solutions alternatives à celles des providers américains. Le 15 mai, a été lancé le nouveau Comité stratégique de filière (CSF) "Solutions numériques de confiance" conduite par Michel Paulin, directeur général d’OVHcloud. Les travaux qui s’engagent visent à déployer des offres intégrées "Cloud-Data-IA souveraines" et travailler collectivement à des solutions collaboratives compétitives, fluidifier le changement de fournisseur numérique afin de rendre le marché des solutions numériques plus ouvert pour les entreprises européennes ainsi que de développer des modules de formation communs à la filière du numérique de confiance pour les mettre à disposition des organismes de formation.
"Choose France c'est ce 'Comité stratégique de filière'. C'est dire : 'si vous choisissez la France, vous choisissez un pays qui propose un cloud, des espaces numériques dans lesquels on vous laisse choisir ce que vous faites de vos données et on vous garantit leur immunité", défend Jean-Noël de Galzain, président de l'association professionnelle Hexatrust. L'heure est, d'après lui, à "la promotion de SecNumCloud" afin "d'emmener toutes les administrations, les secteurs publics et les DSI" et ainsi de "montrer qu'une alternative est possible". Et ajouter : "Après peut-être que Microsoft, Google ou d'autres viendront, réussiront à être qualifiés".
"Ce sont les acheteurs qui feront le marché"
Google avec Thales (S3NS) et Microsoft avec Orange et Capgemini (Bleu) souhaitent obtenir le visa de sécurité auprès de l'Anssi. Si tel est le cas, ces entreprises pourraient accéder à certains marchés publics sensibles. Face à ce constat, Thomas Fauré – qui propose une alternative aux suites collaboratives dominantes – se montre inquiet. "Nous n'avons pas tellement envie de voir Google ou Microsoft qualifiés", note-t-il. Sur la faisabilité de la qualification, il cite "un auditeur de l'Anssi" : "si jamais un jour c'est validé, cela sera une décision politique. Sur le papier, c'est impossible". De son côté, Jean-Noël de Galzain rappelle que "nous sommes dans un monde concurrentiel" et de conclure "de toutes façons, ce sont les acheteurs qui feront le marché".
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
