Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Elevate
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Qui se souvient encore de l’EUCS ? Ce projet de certification européenne des clouds, porté par l’agence cyber de l’UE, l’Enisa, fait le fruit depuis des années d’un affrontement politique intense. Entre lobbying des hyperscalers américains, désaccords entre Etats membres et arguments techniques et juridiques, le sujet a pris l’apparence d’un vieux serpent de mer ; les spécialistes doutant de plus en plus d’un accord heureux qui mettraient tout le monde d’accord et permettrait réellement aux organisations d’arbitrer sur leurs choix technologiques. Face à ces déboires et reports récurrents, la Commission européenne est donc récemment revenue à la charge en présentant un nouveau cadre d’évaluation nommé « Cloud Sovereignty Framework » (PDF). Les choix qui composent cet indice essayent visiblement de ménager la chèvre et le choux… et provoquent déjà de nombreuses interrogations.
8 critères de notation
Le Cloud Sovereignty Framework se veut être le futur cadre de référence pour soutenir les institutions publiques et les organisations européennes et les aider à garantir que l’adoption du cloud s’inscrive dans une logique de maîtrise, d’autonomie et de résilience stratégique face à la dépendance croissante envers les acteurs non européens. Mais il ne s’agit pas tant d’un guide technique ou juridique que d’un instrument pour évaluer huit grands objectifs de souveraineté, désignés par les acronymes SOV-1 à SOV-8. Ainsi, le premier axe, la souveraineté stratégique, examine la localisation et le contrôle du fournisseur de services et le deuxième s’intéresse à la juridiction applicable aux données et aux opérations. Il s’agit de s’assurer que les obligations contractuelles et légales demeurent pleinement régies par le droit de l’Union européenne, sans exposition indue à des législations extraterritoriales.
De l’IA à la durabilité environnementale
La souveraineté des données et de l’intelligence artificielle constitue le troisième pilier. Elle vise à garantir que les données soient stockées, traitées et protégées dans l’Union, et que les modèles d’IA utilisés soient transparents et maîtrisables. À cela s’ajoute la souveraineté opérationnelle, qui renvoie à la capacité des entités européennes à exploiter, migrer et maintenir leurs systèmes sans dépendance critique vis-à-vis d’un fournisseur externe. Le cadre étend également la réflexion à la souveraineté de la chaîne d’approvisionnement, qui impose une transparence sur l’origine des composants matériels et logiciels. Enfin, le dernier pilier évalue les garanties en termes d’alignement sur les standards européens en matière de durabilité environnementale.
Un calcul pondéré…
Pour évaluer concrètement ces dimensions, le cadre introduit un système de niveaux d’assurance appelé SEAL (pour « Sovereignty Assurance Level »). Celui-ci va du niveau 0, correspondant à une absence totale de contrôle européen, jusqu’au niveau 4, qui représente théoriquement la pleine souveraineté numérique, où la technologie, les opérations et la gouvernance relèvent exclusivement d’acteurs européens. Idéalement, le « Sovereignty Score » obtenu doit permettre de faciliter la comparaison entre fournisseurs et de fixer des seuils minimaux à atteindre dans les marchés publics ou les appels d’offres. Cependant, la pondération des huit critères varie entre 5 % et 20 % de la note finale. Le critère sur la supply chain pèse ainsi pour un cinquième de la note globale, tandis que la capacité juridique à se protéger des lois extraterritoriales ne compte que pour 10 %. De ce fait, la formule de calcul de la note globale, partagée dans le document de la Commission européenne (outre le fait de paraître un peu ésotérique pour ceux qui ne baignent pas dans les mathématiques) fait déjà réagir l’écosystème.
…qui prête le flanc à la critique
« Un service cloud est soit souverain, soit il ne l’est pas, tout comme un aliment est soit biologique, soit il ne l’est pas. On ne peut pas être biologique à 75 %, et on ne devrait pas non plus être souverain à 75 %. C’est pourtant exactement la confusion créée par le nouveau cadre européen pour la souveraineté du cloud de la Commission européenne », s’agace par exemple le CISPE, l’association des fournisseurs de cloud européens, dans une communication. La critique de l’organisation pointe notamment l’exploitation avantageuse que pourraient en faire les hyperscalers américains grâce à ce mode de calcul.
L’échéance du 18 novembre à Berlin
Avec ce Framework, on sent que la Commission a voulu débloquer rapidement, et en invoquant le pragmatisme, une situation qui s’enlisait. Il était important pour elle de publier ce document avant le 18 novembre, date du sommet européen sur la souveraineté numérique qu’elle co-organise à Berlin. Elle espère ainsi poser les bases d’une réconciliation autour d’un EUCS révisé. Mais nul doute que les débats politiques autour du sujet resteront vifs, car des oppositions fondamentales existent entre les pays les plus atlantistes et les plus « puristes ».
Aller vers l’opérationnel
En la matière, les entreprises ont donc intérêt à ne pas attendre le messie d’un « score global » qui répondrait à toutes leurs questions sur les offres cloud. Les chiffres et les modes de calcul retenus sont eux aussi le résultat d’arbitrages et de compromis, plutôt que d’une science exacte. Pour agir, elles ont plutôt intérêt à s’appuyer sur des travaux très opérationnels et plus détaillés, comme le « clausier de confiance » élaboré et mis à jour par le Cigref pour évaluer les fournisseurs, jusqu’au sujet le plus conflictuel de l’immunité juridique. Pour le reste, il s’agira d’attendre et de voir quel « Sovereignty Score » les différentes plateformes cloud obtiendront… pour juger si celui-ci est crédible ou non.
