"Gaia-X n'est pas un cloud souverain", prévient d'emblée Marine de Sury, coordinatrice du French Gaia-X Hub et directrice de mission au sein de Cigref, lorsque L'Usine Digitale l'interroge sur l'objectif de l'association de droit belge. Il s'agit d'une initiative européenne – franco-allemande à l'origine – visant à développer une infrastructure de données commune à travers l'établissement de standards. Deux buts sont ainsi poursuivis : faire émerger des solutions d'hébergement pour les données stratégiques des acteurs industriels européens et créer des espaces de données interopérables pour qu'ils puissent échanger des données de manière sécurisée.
A date, Gaia-X compte 331 membres parmi lesquels Airbus, Engie, Orange, Renault... côté industriel et Outscale, OVHcloud, Bleu... côté fournisseur. L'association est ouverte à toutes les entreprises, quelle que soit leur nationalité. C'est ainsi que les hyperscalers américains et chinois y sont présents. En revanche, ils ne peuvent pas siéger au conseil d'administration de Gaia-X.
Proposer des solutions d'hébergement des données industrielles
"Gaia-X relit le monde industriel à celui des providers grâce à un langage commun qui va permettre aux deux mondes de décider de règles", explique de son côté Anne-Sophie Taillandier, coordinatrice en France du développement des services fédérés pour le projet Gaia-X Hub France et directrice de TeraLab à l'Institut Mines-Télécom (IMT). Elle explique que face au manque de solutions satisfaisantes, les industriels continuent de stocker leurs données stratégiques dans des serveurs en interne.
En pratique, ce "langage commun" se traduit par l'établissement de normes que les fournisseurs de cloud peuvent remplir afin certifier le niveau de sécurité de leurs produits et services. Difficile de ne pas voir un lien évident avec l'objectif du schéma européen de certification cloud (Cybersecurity certification scheme for cloud services, EUCS). Issu du Cybersecurity Act, ce schéma vise à harmoniser les labels de cloud computing au niveau européen afin d'éviter une fragmentation du marché.
Alors que le premier projet a été publié en 2020, le schéma européen de certification cloud n'a toujours pas de version définitive. Les Etats membres s'écharpent sur les critères de protection contre les lois extra-territoriales, américaines en premier lieu. La France souhaite, à l'image de son visa SecNumCloud, intégrer des critères exigeants dans le niveau le plus élevé du label tandis que certains pays plaident pour des obligations beaucoup plus souples.
Quatre niveaux de label, sur le modèle de l'EUCS
De son côté, Gaia-X a réussi à ce que ses membres s'entendent sur quatre niveaux de labels : le Gaia-X “Standard Compliance (le moins exigeant qui s'applique à tous les types de fournisseurs) puis trois niveaux, du moins exigeant au plus exigeant, sur le même modèle que l'EUCS. "Bien que Gaia-X compte des hyperscalers, le niveau 3 est passé sans problème, indique Marine de Sury. C'est quand même important de le dire." Les entreprises souhaitant accéder à ce niveau doivent s'assurer que les données sont "traitées et partagées exclusivement dans l’Espace économique européen". Egalement, leur siège social et "les principaux établissements du prestataire de services" doivent être situés dans l’EEE.
Source : Extrait du Gaia-X Compliance Document
Alors, pourquoi les Etats membres n'arrivent-ils pas à se mettre d'accord alors que les entreprises y arrivent ? "C'est le besoin des utilisateurs qui priment", répond la coordinatrice du French Hub Gaia-X. Anne-Sophie Taillandier ajoute : "Pour des Airbus ou des EDF, c'est essentiel d'avoir ces trois niveaux, notamment le troisième. Ils ont besoin d'avoir un schéma qui soit valide au niveau européen et pas que français". Le fonctionnement de ces règles sera présenté lors du prochain sommet de l'association en novembre 2024, précisent-t-elle. Il reste donc à voir si, en pratique, les entreprises s'empareront de ces labels et qu'ils seront utilisés par les industriels pour choisir un service d'hébergement en fonction du niveau de criticité et de sensibilité de leurs données.
"Aucune alternative" à Gaia-X
Comme toute association, l'objectif pour Gaia-X est désormais que ses membres croissent. "Les entreprises françaises doivent s'investir. Il faut mettre la main dans le cambouis", argue Marine de Sury. En réponse aux critiques virulentes envers Gaia-X, provoquant même le départ de certains membres, elle répond qu'il n'existe "aucune alternative" en dehors de l'association. "Si Gaia-X ne fonctionne pas, les hyperscalers le feront très bien à notre place mais au bénéfice de leur seul modèle d'affaire et nous, nous aurons que nos yeux pour pleurer", déclare-t-elle.
Pour l'instant, Gaia-X ne s'est pas penchée sur l'articulation de ses labels avec le futur schéma européen de certification cloud. "Notre position a toujours été la même : nous nous poserons cette question lorsque l'EUCS sortira, explique Anne-Sophie Taillandier. Nous ne voulions pas nous freiner par rapport à des brouillons qui sortent au goutte à goutte."
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
