Petit à petit l’informatique en nuage s’étend sur l’Europe, de par les initiatives multiples de la Commission, mais aussi le dynamisme des différents écosystèmes nationaux. Les challenges à relever pour favoriser sa croissance sont légion.

En septembre 2012, la Commission européenne adoptait une stratégie visant à exploiter le potentiel de l’informatique en nuage en Europe. Objectif : accélérer le recours aux technologies du cloud computing dans tous les secteurs de l’économie. Le chantier est de taille, mais il serait à même d’entraîner, selon Bruxelles, la création de 2,5 millions de nouveaux emplois et de contribuer d’ici à 2020 au PIB de l’Union européenne à hauteur de 160 milliards d’euros par an, soit environ 1 %.

Cette stratégie repose sur trois axes essentiels. Tout d’abord, l’Union européenne veut faire le tri dans la jungle des normes techniques pour assurer l’interopérabilité, la portabilité des données et la réversibilité pour les utilisateurs, et soutenir à son échelle les systèmes de certification des prestataires fiables. Elle souhaite ensuite élaborer des conditions contractuelles types, sûres et équitables. Enfin, elle ambitionne de transformer le secteur public, en moteur d’innovation et de croissance avec son « European Cloud Partnership » (ECP), qui associe Etats membres et entreprises.

La bataille des normes

Dans le cadre de la première action, l’Institut européen de normalisation des télécommunications (Etsi) a
publié, fin 2013, le rapport Cloud Standards Coordination*. L’Agence européenne de cybersécurité s’est, pour sa part, penchée sur les régimes volontaires de certification cloud existants et a proposé des mesures pour l’avenir*. Un groupe de travail Certification a, par ailleurs, été créé au sein du Cloud-Select Industry Group. « Le processus de normalisation est loin d’être chaotique, selon le rapport de l’Etsi », écrivent Philippe Recouppé, président de Forum Atena et Alevizopoulou Vasiliki, juriste spécialiste du cloud et membre du Forum, dans une analyse sur le sujet en Europe. « Il est admis que l’effort de recensement des offres et des services cloud n’est pas chose aisée, mais le rapport souligne que la richesse de projets cloud se trouve dans la multiplicité des acteurs entrant dans le marché », poursuivent-ils. Ils insistent aussi sur l’importance de la mise à disposition d’un vocabulaire technique commun, applicable aussi bien au secteur du BtoC que du BtoB. Le travail de l’Etsi a permis de créer une cartographie détaillée grâce à l’étude de plusieurs centaines de cas d’usage du cloud, afin d’aboutir à l’élaboration d’une grille des normes. « Les points qui nécessitent une attention particulière y sont mis en évidence tels que l’interopérabilité du système informatique et la portabilité des données traitées, la gestion des aspects de sécurité et de confidentialité », affirment les deux experts du Forum Atena. Selon eux, la disponibilité de produits open source favorise l’adoption des normes et l’Europe y contribue fortement – un exemple en est le framework OpenStack. Ceci aide les acteurs à être plus compétitifs, et aux clients à choisir et à changer plus facilement. Côté normes internationales (ISO), Olivier Teitgen, directeur de la standardisation pour l’Afnor, estime que les professionnels des systèmes d’information français ne pèsent pas suffisamment dans la Commission de normalisation du cloud, même si de grands groupes français l’ont rejointe l’année dernière. « Ils doivent davantage œuvrer à l’élaboration de standards prenant en compte leurs intérêts, déclare-t-il. Il ne faut pas abandonner la construction de ces normes aux Chinois et Sud-Coréens qui les veulent les plus permissives possibles pour continuer leur business en l’état. » Une première norme ISO sur le vocabulaire applicable au cloud, « Cloud Computing – Overview and Vocabulary », rédigée par une équipe mixte ISO et UIT-T, va être publiée. Une deuxième suivra sur l’architecture du cloud.

La deuxième action de l’Union européenne consiste à élaborer des clauses contractuelles types pour les accords sur le niveau de service dans les contrats entre prestataires et utilisateurs professionnels et à adopter un code de conduite favorisant chez les prestataires une application uniforme des règles de protection des données. La troisième mesure, l’European Cloud Partnership (ECP), réunit industrie et secteur public pour travailler sur les besoins communs d’achat des services de cloud computing. Son projet Cloud for Europe doit aider les autorités publiques européennes à se procurer des produits et services d’informatique en nuage pour renforcer la confiance. Le comité de pilotage de l’ECP fournit, quant à lui, des conseils à la Commission sur les options stratégiques pour transformer le cloud en moteur de croissance et vient de publier sa vision pour le cloud en Europe (Establishing a Trusted Cloud Europe*).

Pour donner corps aux recommandations de ce rapport, la Commission a choisi Hewlett-Packard pour coordonner le projet CoCoCloud (cloud confidentiel et conforme), qui va créer le socle d’un modèle de sécurité pour le partage des données dans le cloud. Le consortium, en charge du projet, fournira une solution sécurisée de bout en bout, du référentiel de données au terminal de l’utilisateur, mobile ou fixe, où les règles de stockage, de partage et d’accès aux données seront définies par l’usager. « CoCoCloud répondra à la nécessité omniprésente de protéger les données en surmontant les limites des offres technologiques actuellement disponibles », précise Xavier Poisson-Gouyou Beauchamps, vice-président de HP Cloud pour la région EMEA. Démarré voilà deux ans, le projet est hébergé sur HP CloudOS, plate-forme ouverte et sécurisée basée sur OpenStack.

La France roule pour l’Europe

En France, les différents acteurs du secteur s’accordent sur la nécessité de mener une politique à l’échelle européenne, et ce, notamment avec la création du label Secure Cloud. « Il est urgent
de proposer une alternative sécuritaire et de présenter ce label aux instances européennes. Nous y intégrerons ensuite tout ce qui ressortira des travaux de l’Europe », explique Jean-Stéphane Arcis, PDG de Talentsoft, membre de l’équipe du Plan Cloud, et président de la commission SaaS de l’Association française des éditeurs de logiciels et solutions Internet (Afdel). Egalement impliqué dans ce plan, le cloud souverain Numergy se montre aussi actif dans ce registre. En juin 2013, il s’est allié à l’opérateur de télécommunications belge Belgacom, pour développer un réseau européen, qui se veut une alternative aux offres d’acteurs américains ou asiatiques. « Nous souhaitons accompagner nos clients à l’international en leur offrant une continuité de service », confie Philippe Tavernier, président exécutif de Numergy. Cette « Cloud Team Alliance » a depuis été rejointe par d’autres partenaires, tels KPN Wholesale (Pays-Bas) et Portugal Telecom. Pour sa part, fin septembre, le fabricant Cisco a annoncé que plus de trente nouvelles entreprises (Deutsche Telekom, BT…), apportaient leur soutien à « Intercloud », le réseau mondial des clouds interconnectés que l’Américain a développé avec ses partenaires. Il servira de support à la création d’une nouvelle génération d’applications standardisées et favorisera la multiplication de clouds hybrides hautement sécurisés.

* L’ensemble des documents cités sont accessibles en ligne en cliquant ici

Viviane Reding, ancienne Commissaire européenne, avait présenté la réforme des règles de protection des données. Photo : Commission européenne Harmoniser la protection des citoyens Dans le domaine de la protection des données personnelles, le vaste chantier d’un règlement européen, applicable à tous les Etats membres, a été lancé en janvier 2012. Le 12 mars dernier, il a été largement adopté, en première lecture, par le Parlement européen. Le Conseil européen doit encore se prononcer dessus. « Une notion de coresponsabilité dans le traitement des données, entre l’entreprise et son fournisseur cloud, a été introduite dans le texte. Compte tenu du niveau de sanction prévu, cela devrait impacter leurs relations », explique Paul-Olivier Gibert, président de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP). En cas de violation des règles, et en particulier de fuite des données, les entreprises risquent une amende allant jusqu’à 100 millions d’euros ou 5 % de leur chiffre d’affaires ! Avant de communiquer les données personnelles d’un citoyen européen à un pays tiers, toute entreprise serait, par ailleurs, tenue de demander une autorisation préalable à une autorité nationale de protection des données dans l’Union… et d’informer la personne concernée de sa demande. Ce projet de règlement en l’état soulève d’intenses débats. Cependant, avec l’installation le 1er novembre de la nouvelle Commission européenne, son processus d’adoption ne devrait se poursuivre que début 2015. Si le texte passait, seul un tiers des entreprises françaises savent qu’elles ne disposeront que de deux ans pour se mettre en conformité avec les nouvelles règles. 41 % n’en ont aucune idée ou pensent disposer de davantage de temps. Pour plus des deux tiers, la sanction actuelle aurait pourtant un impact conséquent sur leurs activités (étude du cabinet Vanson Bourne pour Trend Micro, 2014).