En tant qu’Européen, notre relation au cloud et à l’exploitation des données à travers lui a toujours été ambiguë. Si le recours à ces plateformes semble incontournable pour continuer à progresser au cœur de l’économie numérique, l’usage qui en est fait et les enjeux de sécurisation des données traitées via les services cloud soulèvent encore, de manière légitime, de nombreuses questions. «Au Luxembourg, le cheminement des acteurs vers le cloud traduit bien cette situation», commente Fabrice Aresu, président de Cloud Community Europe Luxembourg.

«Pendant longtemps, l’adoption du cloud par les entités supervisées par la CSSF était tout simplement bloquée en raison de la réglementation. Le cadre s’est toutefois progressivement assoupli, permettant aux acteurs de mettre en œuvre une stratégie cloud qui tient compte de la sensibilité des données qu’ils sont amenés à gérer. Aujourd’hui, tous les acteurs bancaires déploient une approche cloud sans pour autant envisager d’y mettre l’ensemble de leurs systèmes et de leurs données. Si la tendance est claire, la réglementation européenne, elle, se renforce, fixant de nouvelles exigences en matière d’utilisation des données des citoyens ou des entreprises, en vue d’en garantir la souveraineté, notamment vis-à-vis de tiers.»

Un dispositif réglementaire qui s’étoffe

GDPR, Dora, le Data Act… sont autant de textes qui contribuent à établir un cadre de confiance en matière d’utilisation des données de manière générale, et plus particulièrement au travers des services proposés par les grandes plateformes de cloud qui sont quasi toutes américaines. «L’Union européenne, malgré de nombreuses tentatives, peine à faire émerger des champions dans le domaine des services cloud, du traitement de la donnée ou encore de l’intelligence artificielle», poursuit Fabrice Aresu. Or, si elle veut être compétitive au cœur de cette économie numérique, l’Europe doit investir sur ces sujets, et ne pas se contenter de regarder des acteurs étrangers bâtir un empire au départ de nos données.

«Dans cette perspective, la réglementation vise à encadrer les usages, à garantir un respect de l’utilisation qui est faite des données de chacun, à obliger les entreprises à veiller à la souveraineté de leurs systèmes et de leurs informations, poursuit Fabrice Aresu. Dora par exemple, en permettant le recours à des services cloud, selon la sensibilité des données qui y sont hébergées, va exiger que celles-ci soient chiffrées et que les clés soient gérées de manière sécurisée. De manière générale, le détenteur des données doit aussi savoir comment celles-ci sont utilisées, pouvoir garantir un contrôle sur ce qui est fait des informations qu’il partage.»

Un juste équilibre à trouver

Trouver le juste équilibre, pour soutenir le développement de l’économie numérique tout en protégeant autant que possible l’information, n’est pas simple. La démarche prête à de nombreuses discussions. En témoigne encore le récent coup de gueule de Guillaume Poupard. Dans une tribune intitulée «Vers des jours encore plus sombres pour l’Europe du numérique?», l’ancien directeur de l’Agence nationale française de la sécurité des systèmes d’information (Anssi) a fait part de son inquiétude à voir une majorité d’États membres envisager d’abandonner les critères juridiques sur l’EUCS (Schéma européen de certification des services cloud), probablement en raison d’un lobbying intense mené par les grandes plateformes suite à la fuite de ses critères.

Pour lui, «les données les plus sensibles ne doivent pas pouvoir être captées en toute légalité par des pays non européens, fussent-ils des alliés», précise-t-il. Or, les grandes plateformes se sont construites et ont innové au départ d’une exploitation relativement permissive de nos données. Aussi, elles ne voient pas d’un bon œil le renforcement du cadre limitant leur liberté en la matière.

Mieux encadrer l’usage des données

«Les critères de la certification EUCS, édictée par l’Enisa, visaient à mieux encadrer l’usage des données à travers le cloud en fonction de leur sensibilité, fixant notamment des exigences de territorialité ou encore de contrôle sur les opérations et les infrastructures, poursuit Fabrice Aresu. Le fait que ces critères aient fait l’objet d’un leak a donné lieu à des échanges vifs, entre les partisans d’un usage encadré et ceux défendant une libre utilisation des données, avec pour conséquence de voir l’initiative être vidée de sa substance.»

Alors que l’on va continuer à progresser dans cette économie numérique, partageant toujours plus facilement des données avec des acteurs tiers, au Luxembourg, on privilégie plus volontiers un encadrement strict des usages. «Ce cadre doit non seulement soutenir notre souveraineté, mais aussi permettre à de nouveaux acteurs d’émerger. Les grandes plateformes, on le voit, s’adaptent en conséquence, déployant des infrastructures en Europe, mettant en œuvre des plateformes ou des partenariats répondant à ces préoccupations liées à l’usage de la donnée», poursuit Fabrice Aresu. «L’enjeu, pour les acteurs européens, est désormais de se faire une place au cœur de cette économie, en adoptant une démarche entrepreneuriale.»

Saisir l’opportunité

Certes, le retard accumulé vis-à-vis des grands acteurs paraît conséquent. «Cependant, en Europe, on a souvent tendance à davantage considérer la contrainte plutôt que l’opportunité. Ce cadre, cette approche prônant un usage responsable de la donnée peuvent constituer un argument de différenciation sur le marché, précise Fabrice Aresu. Les utilisateurs sont de plus en plus sensibles à ces aspects et enclins à se tourner vers des services de confiance. C’est en jouant sur cette approche différenciante que l’on peut avancer. Il n’est pas nécessaire, comme on a tendance à le faire, d’attendre d’être en capacité de rivaliser avec la multitude de services que proposent déjà les hyperscalers pour aborder le marché.»