La notion de "souveraineté" est bien plus qu'un concept à la mode pour Oodrive. Le Français, qui fut le premier à recevoir le label SecNumCloud, repose toute sa stratégie commerciale et technologique sur la promesse d'une forte protection des données hébergées. L'Usine Digitale a pu échanger avec Stanislas de Rémur, à la tête de l'entreprise française depuis sa création, soit 23 ans.
L'Usine Digitale – Pourriez-vous présenter Oodrive en quelques mots ?
Stanislas de Rémur – Oodrive a été créé en 2000. Nous faisons donc partie de cette première génération tech. Nous sommes présents sur deux problématiques majeures : le partage de documents et la signature électronique. Aujourd'hui, Oodrive compte près de 350 collaborateurs situés majoritairement en France ainsi qu'en Espagne, Belgique et Tunisie. Nous comptons entre 6000 et 7000 clients, dont beaucoup d'ETI et de grands comptes (au moins deux tiers du CAC 40), avec un chiffre d'affaires aux alentours de 45 millions d'euros.
Vous êtes aussi le premier acteur du cloud à avoir reçu le label SecNumCloud par l'Agence nationale de la sécurité des systèmes d'information (Anssi).
En effet. Nous avons reçu cette qualification en 2019. Nous avons travaillé avec l'Anssi qui voulait créer une vraie qualification pour valider que certaines offres cloud répondent à des niveaux très élevés d'exigences de sécurité et de confidentialité. SecNumCloud lui permet ainsi de s'assurer que certaines infrastructures ou structures répondent à ces normes, aussi bien dans le domaine de l'hébergement que dans celui du logiciel. Nous, nous sommes présents sur les deux niveaux car nous sommes notre propre hébergeur et nous fournissons des logiciels à nos clients. A la différence d'OVHcloud et d'Outscale pour lesquels le label certifie la partie IaaS [Infrastructure as a Service, ndlr].
Sur l'hébergement, disposez-vous de data centers en propre ?
Non, nous avons des salles que nous louons au sein de data centers. Elles sont situées en France, en Allemagne, en Belgique et en Suisse.
Comment sécurisez-vous les données hébergées ?
Pour les offres SecNumCloud, qui représentent près de 10% de notre chiffre d'affaires, nous installons un boîtier physique commercialisé par l'entreprise Bull. Ce boîtier génère une nouvelle clé dont personne, ni le client ni Oodrive, n'a accès. C'est cette clé qui va crypter les données de nos clients.
En septembre 2022, vous aviez annoncé avec Olvid (message instantanée chiffrée) et Tixeo (logiciel de vidéoconférence) un projet de suite collaborative "sécurisée et souveraine". Où en est ce projet ?
C'est en cours. Pour l'instant, nous sommes en phase avec la roadmap initialement prévue. Nous aurons peut-être au début de l'année prochaine un premier POC qui permettra de pouvoir tester cette solution auprès de quelques clients.
Des organismes publics ou des entreprises vous ont-ils déjà fait part de leurs intérêts ?
Nous avons déjà des entreprises qui sont intéressées. Il s'agira d'une plateforme pour documents sensibles. A noter que notre suite collaborative intégrera Tixeo et Olvid mais a aussi pour vocation d'intégrer d'autres services. L'objectif est de proposer une alternative à des solutions collaboratives, comme Teams.
Lorsque vous échanger avec vos clients, quels arguments avancent-ils pour justifier une préférence pour une technologie française plutôt qu'américaine ? Est-ce une inquiétude vis-à-vis de la protection des données et/ou des préoccupations liées à la souveraineté économique ?
Un peu des deux. Je pense qu'il y a beaucoup d'entreprises et d'organismes publics qui sont sensibles au développement d'une certaine indépendance numérique en Europe et qu'ils veulent donc privilégier les structures européennes. Le deuxième point est qu'elles souhaitent avoir le contrôle de leurs données. Au-delà des risques liés à l'extra-territorialité de la loi américaine, elles veulent être sûres qu'elles ont 100% du contrôle de leurs données, c'est-à-dire que si elles suppriment une donnée, elles veulent être sûres qu'elles le soient vraiment.
Mais comment concurrencer les mastodontes américains ? Souhaitez-vous vous concentrer uniquement sur les données particulièrement sensibles (données de santé, données stratégiques...) ?
Nous n'avons pas vocation à gérer l'ensemble des données des entreprises. Je pense qu'il y a des solutions américaines qui sont très bien mais elles ne sont simplement pas adaptées pour certains documents importants. De la même manière que je milite beaucoup pour une certaine indépendance numérique en Europe, je ne suis pas contre les Américains et les Chinois. Je dis juste qu'il faut rééquilibrer le rapport de force et que nous devons gérer nos données différemment. Ainsi, nos données de santé ne devraient pas être hébergées sur un data center de Microsoft. C'est un sujet personnel et, en même temps, c'est un sujet d'indépendance en Europe.
Nous savons très bien que c'est la data qui va être importante dans le futur. Nous le voyons avec l'IA et nous l'avons vu avec le Covid-19. Or, aujourd'hui, nous ne maîtrisons pas ces data à 100% puisque nous les laissons sur des hébergements américains avec le risque que ces données soient transférées aux Etats-Unis. Il faut reprendre une certaine indépendance. Et c'est vrai qu'en France, nous sommes très sensibles à ces sujets là, mais pas toujours suffisamment, nous le voyons avec les données de santé sur le Health Data Hub. C'est en train de changer. Nous avons des décideurs politiques qui veulent faire changer les choses. Nous n'avons jamais eu un alignement des planètes comme aujourd'hui.
Vous parlez des données de santé, des données donc particulièrement sensibles. Pensez-vous qu'il faudrait relever le niveau d'exigence pour leur hébergement ?
Numeum [l'un des syndicats professionnels français et un lobby de l'industrie du numérique, dont Stanislas de Rémur est membre du comex, ndlr] a statué que nous allions militer pour que le HDS V2 [la deuxième version de la qualification "hébergeur de données de santé", ndlr] incorpore les mêmes contraintes d'extra-territorialité que SecNumCloud. Ce qui signifie qu'un hébergeur américain ne pourrait plus héberger des données de santé en France sauf s'il crée une joint-venture, type Bleu ou S3NS, et qu'il est qualifié SecNumCloud. Cela permettrait de s'assurer que l'ensemble des données de santé de nos start-up soient hébergées sur des structures qui ne sont pas soumises à ces lois extra-territoriales.
Justement au sujet des offres de cloud hybrides, telles que S3NS (Thales et Google Cloud) et Bleu (Microsoft, Orange et Capgemini), quel est votre regard ?
Je dis toujours que je ne suis pas contre la concurrence. Maintenant, si elles sont qualifiées SecNumCloud, elles pourront être considérées comme souveraines au sens de l'Anssi. Mais c'est toujours un peu ambigu d'être qualifié SecNumCloud dans des data centers de Google mais je respecterai la décision de l'Anssi.
Aujourd'hui, tout le monde utilise le mot "souverain", comme AWS qui a lancé son cloud "souverain". Cela n'a pas de souverain que le nom. Ce n'est pas du tout souverain : c'est juste parce qu'ils ont un hébergement en Europe et qu'ils nous disent que le personnel sera européen. C'est très très éloigné d'une vraie offre souveraine ! Aujourd'hui, les seules offres d'hébergement "souveraines" en France sont Cloud Temple, OVH et Outscale.
Pensez-vous que les entreprises sont dupes lorsqu'AWS présente un cloud "souverain" ?
Je pense que les entreprises privées et organismes publics sont de plus en plus sensibilisés sur ce sujet. Clairement. Nous voyons un vrai changement d'attitude et de compréhension de ce sujet. Maintenant, c'est un discours commercial donc c'est au client de choisir.
A l'échelle européenne, les Etats membres sont en train de négocier le schéma de certification européen (European Union Cybersecurity Certification Scheme for Cloud Services, EUCS). Ils auraient du mal à s'accorder sur les exigences relatives à l'immunité contre les lois étrangères. Que pensez-vous de ces divergences d'opinions ?
Aujourd'hui, le label EUCS est techniquement prêt. Nous sommes désormais sur un sujet de lobbying : est-ce que l'Europe veut avoir plusieurs niveaux de protection, dont le plus élevé qui ne pourrait pas être soumis à des lois extra-territoriales ou pas. A noter qu'aucun Etat ne sera obligé d'utiliser le niveau 1, le niveau 2 ou le niveau 3. Il pourra fixer le niveau qu'il souhaite donc en fin de compte, cela n'a aucun impact négatif pour les hébergeurs. Sauf que les hébergeurs non européens font un lobbying très fort pour que ce niveau 1 ne soit pas intégré dans la future norme EUCS. C'est quand hallucinant puisque chaque Etat pourra choisir !
C'est donc un choix politique. Oodrive vient de signer une tribune, aux côtés de 18 structures, pour pousser ce niveau 1. Je sais que les Américains font un lobbying très fort auprès des Allemands avec des mesures potentielles de rétorsions. Nous l'avons vu avec Gaia-X. Aujourd'hui, nous n'en entendons plus parler. Nous avons refusé d'intégrer Gaia-X : au moment où les Américains y sont rentrés, nous avons dit que cela n'avait plus aucun sens. Au moins, nous n'avons pas perdu de temps chez Oodrive avec Gaia-X. C'est un projet mort-né parce que les industriels allemands ont imposé que les Américains intègrent Gaia-X dès le départ. Cela n'a plus aucun sens.
Soit, nous décidons d'être maitre de notre destin et de mettre un niveau qui permette à certains Etats de protéger leurs données sensibles, soit en fin de compte en France, nous resterons avec SecNumCloud. Pourtant, avoir une norme forte en Europe serait bénéfique pour toute l'industrie tech européenne. J'espère que dans les prochains mois nous aurons quelque chose de positif. Nous verrons bien.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
