Les directions informatiques ne jurent plus que par lui : le Cloud leur simplifie tellement la tâche – et réduit tellement les coûts et les risques pour l’entreprise par rapport à une infrastructure gérée en propre, qu’il faut d’urgence y faire migrer tous ses systèmes. Ajoutons-y la vertu induite par les APIs dont il incite à la généralisation, et la richesse des fonctionnalités rendues possibles, en particulier en Intelligence Artificielle, et le voilà paré de surcroît de toutes les vertus innovatrices et écosystémiques. Dès lors,  on peut se demander pourquoi toutes les entreprises n’ont pas déjà suivi les plus avant-gardistes…

Beaucoup sont simplement lentes, mais cela pourrait finalement ne pas s’avérer être un défaut, à la lecture des déclarations faites fin Mars par notre ministre de l’Economie et des Finances.

Bruno Lemaire cherche en effet à agir, car nous, Européens, ne pouvons plus nous cacher derrière notre petit doigt : il est temps de reconnaitre à sa suite que le Cloud Act promulgué par les Etats-Unis en Mars 2018 prévaut sur le Règlement Général de Protection des Données (RGPD) mis en place par l’Europe en Mai de la même année. Sans entrer ici dans des détails largement commentés ailleurs, le premier permet le transfert aux Etats-Unis de tout type de données, y compris les plus critiques ou les plus personnelles, pour peu qu’elles soient hébergées par une entreprise américaine – y compris sur le sol européen – et réclamées par un « juge » américain, mécanisme auquel s’oppose en principe le second.

D’aucuns célébreront le cosmopolitisme de la Data, entité que son essence immatérielle permet de faire voyager aisément. Les cartes les plus récentes des fibres qui parcourent les océans comme les projets d’internet par réseau de satellites montrent de fait la gageure de vouloir conserver des données à l’intérieur de frontières physiques.

D’autres rappelleront que ces mêmes données sont réputées être le nouvel eldorado du 21^ième siècle, et qu’il conviendrait a minima de ne pas se désintéresser de ceux à qui elles profitent, qui pourraient de ce fait prendre une place prépondérante à assez court terme dans l’économie, donc dans nos vies. La question finalement est de savoir comment nous pouvons préserver un mode de vie européen, si nous devenons clients d’entreprises presque exclusivement américaines ou chinoises. Il y va de notre richesse, de nos emplois et de notre culture. Et même de nos règles éthiques, puisque l’Intelligence Artificielle intègre celles de ses développeurs, qui, selon leur nationalité, ne choisissent par exemple pas la même stratégie en matière d’évitement de piéton par une voiture autonome.

Trop alarmiste ? Le lobby incroyable mené actuellement par les américains contre l’implantation de Huawei dans les réseaux 5G  européens, au prétexte que toute entreprise chinoise doit, depuis une loi de 2017, collaborer avec les services secrets de son pays (c’est pourtant juste un Cloud Act dans une version un peu moins démocratique), ou le même lobby américain mené (sans succès à date) à la Commission Européenne pour ne pas avoir à payer les contenus sur Internet sont très clairement à visée économique et destinés à protéger l’industrie américaine, tandis que les initiatives chinoises de financements multiples et discrets, mis au jour à l’occasion de la médiatique Nouvelle Route de la Soie, consistent à faciliter la logistique d’accès au marché européen pour les entreprises chinoises.

Les frontières ne sont plus physiques – l’Atlantique à l’Ouest ou l’Oural à l’Est – mais économiques, entre clients européens et entreprises non européennes.

Le principe d’extra- territorialité contenu dans le Cloud Act est l’expression juridique de ce changement de nature des frontières. Qui se traduit économiquement par la part des GAFA dans les câbles sous-marins transatlantiques (passée de 5% à 50% en 3 ans), ou dans les projets d’internet par satellite (3 sur 4 sont menés par: SpaceX & Google (StarLink), FaceBook (PointView), et Amazon (Kuiper)).

Du coup, il convient de réfléchir non plus en coordonnées géographiques, mais en coordonnées bancaires : quelle est la nationalité de l’entreprise à qui je concède ma richesse quand je lui transfère mes données ?

Quant à la richesse créée, il suffit de se pencher sur le marché publicitaire : en France, selon le Baromètre Unifié du Marché Publicitaire, la croissance du marché en 2018 a été tirée par le Search et par le Display Social, qui ont ajouté 644M€ en 2018, pour une croissance totale du marché de … 578M€. Et ce n’est pas qu’une affaire d’audience pour Google et FaceBook, les medias digitaux concurrents reconnaissent leur infériorité quant aux données dont ils disposent pour cibler les messages et augmenter leur efficacité.

Au niveau mondial, c’est un déjà quart des dépenses publicitaires globales qui vont au duopole. Si les choses doivent changer à l’avenir, c’est Amazon qui va monter en puissance, du fait d’un parcours client gagnant un clic jusqu’à l’achat … et de meilleures données sur le taux de transformation. L’apparition de la publicité vocale sur les Google Home, Amazon Echo et FaceBook Portal va encore augmenter le faisceau de données disponibles sur les utilisateurs, encore améliorer l’efficacité de ces medias, et marginaliser un peu plus les medias plus traditionnels. Il y a bien 3 acteurs non américains dans les 6 premiers vendeurs de publicité au monde, il s’agit de … Baidu, Alibaba et Tencent, les 3 premières lettres de BATX.

Si ces tendances lourdes sont relativement bien connues, leur extrapolation au-delà de la sphère habituelle de la publicité digitale et des réseaux sociaux est largement ignorée. C’est pourtant la prochaine étape de la guerre qui se joue en ce moment, et pour laquelle notre ministre monte au créneau.

La question est simple : le Cloud hébergeant maintenant potentiellement toutes les données opérationnelles d’une entreprise, comment s’assurer du respect de leur confidentialité quand l’opérateur de Cloud est non-européen ? La question, posée exactement en ces termes par un responsable de Safran au dernier AWS SUMMIT PARIS la semaine dernière… n’a pas eu de réponse.

Très concrètement, ToysRus a disparu car la plateforme à laquelle il avait délégué ses ventes en ligne a pu connaitre dans le détail tous les paramètres de son business. La Commission Européenne enquête d’ailleurs sur ce risque induit par l’utilisation d’Amazon, tandis que l’Inde a été un cran plus loin en interdisant l’année dernière au même Amazon de vendre ses propres produits en direct.

Qu’en pense Gameloft, qui a passé toute l’infrastructure de distribution de ses jeux sur AWS ? Sûrement qu’il n’y avait pas de danger tant qu’Amazon ne cherche pas à concurrencer les plateformes de jeu Stadia de Google ou XCloud de Microsoft.

Le problème est que les GAFA et les BATX n’ont de frontière ni géographique, ni business. Toute donnée, de n’importe quelle origine, peut potentiellement servir leurs intérêts au détriment de l’entreprise qui les a confiées. Si vous êtes dans le commerce, soyez prudent avec Amazon, c’est entendu. Si vous êtes dans l’information, c’est Google qui vous a disrupté, heureusement que les contenus européens doivent maintenant être rémunérés. Et si vous êtes dans le transport, les jeux, la ville intelligente, le B2C … regardez les filiales d’Alphabet pour comprendre votre risque de désintermédiation.

Un exemple tout simple : si une grande chaîne d’hôtels veut faire tourner un algorithme pour optimiser la consommation d’énergie de ses établissements, elle doit y intégrer leurs taux de remplissage en temps réel. Mieux vaut ne pas utiliser une plateforme capable par ailleurs de vendre à leurs managers de la publicité en optimisant son prix de vente grâce à ces informations…

Les premiers lancés dans une stratégie tout cloud public sont probablement passés un peu vite sur cette analyse de risque, imaginant sans doute que les garanties légales proposées par l’opérateur de Cloud seraient suffisantes. C’est oublier qu’en matière de référencement et de liens sponsorisés par exemple, la Commission Européenne a pu démontrer que Google ne respectait pas toujours ses propres garanties, trompant ainsi ses propres clients payants. Cependant les délais judiciaires n’étant pas toujours compatibles avec la survie en milieu concurrentiel, il vaut mieux ne pas compter exclusivement sur ce type de protection.

D’où les propositions incluses dans le livre blanc « Privacy Tech », présenté ce 10 Avril à l’Assemblée Nationale, pour renforcer la sécurité des entreprises européennes. On y trouvera en particulier un principe de gouvernance particulièrement simple, inspiré du principe de séparation mis en place dans plusieurs secteurs par le régulateur, comme le dégroupage pour les telecoms, ou la séparation trains et voies ferrées pour les transports ferroviaires. Il permet en général d’éviter la création de monopoles verticaux – ou de les démanteler.

Appliqué entre d’une part les entreprises qui stockent et qui traitent les données, et d’autre part celles qui les cryptent et en autorisent l’accès, le principe stipule que les données doivent être stockées encryptées, et le moyen de décryptage (la gestion des clés) doit être géré par une entité totalement indépendante de celle qui stocke ces données : l’un dispose des données encryptées mais pas des clés, l’autre des clés de décryptage mais pas des données. Seul le propriétaire des données peut autoriser un traitement sur ses données décryptées, et suivre à la trace qui s’en sert pour quel usage.

La bonne nouvelle est qu’il n’est nul besoin d’attendre une réglementation future pour établir cette bonne pratique, et ne pas confier à son hébergeur à la fois ses données et les clés pour les lire. Le constructeur de votre maison ne garde pas un double de vos clés, n’est-ce pas ?

Cette démarche, qui sera certainement plus souvent à l’initiative d’une direction Marketing que d’une direction Informatique, traduit tout simplement l’impact des technologies digitales sur le cœur même de l’entreprise : ses produits et ses services.