Quelle est l’ambition de l’Union européenne en matière de création et de déploiement de cloud computing ?
La stratégie en matière de cloud computing est une priorité pour le commissaire Thierry Breton, car elle permettra d’accroître l’efficacité économique des traitements de données. Certaines études montrent que le fait de loger ses activités dans le cloud peut induire une baisse des coûts liés à Internet en moyenne de 20 à 50 %, ce qui rendra les entreprises européennes plus compétitives. Cela peut aussi rendre les traitements de données plus agiles et permettre l’apparition de traitements de données innovants dans différents secteurs. En particulier, dans le secteur financier, l’accès au cloud peut ouvrir la voie vers des technologies nouvelles comme l’intelligence artificielle ou la blockchain, en rendant ces dernières accessibles sur une base d’usage régulier, sans que l’entreprise ait à utiliser sa propre infrastructure Internet. Si vous voulez faire tourner des algorithmes d’intelligence artificielle (IA), il vous faut disposer d’une grande puissance de réseau internet et cela peut coûter très cher. Par exemple, le recours à l’IA pour des conseils automatisés, des notations de crédit, ou proposer des chat box, sont des développements très prometteurs. De même la mise en œuvre de réseaux distribués pour des monnaies digitales.
L’accès au cloud présente donc un intérêt tout particulier pour l’industrie financière et cela veut aussi dire que nous devons encourager un usage responsable du cloud, en conformité avec les options et les valeurs de l’Union européenne. Nous devons également parvenir à être autonome en matière de cloud computing. Notre ambition est donc de faciliter l’émergence de services européens de cloud de nouvelle génération, compétitifs, fiables et économes en énergie.
Que recouvre concrètement cette ambition ?
Nous souhaitons aller au-delà des pratiques actuelles pour développer des services de nouvelle génération en termes de technologie cloud. Nous voulons nous positionner sur des services de cloud de pointe, qui consistent aujourd’hui en des process particuliers de traitement des données, réalisés non de façon centralisée mais au niveau des utilisateurs, et qui dépendent moins d’un legacy informatique. Mais cela veut également dire de s’efforcer de fédérer les services de cloud européens déjà existants, pour rendre ces nouveaux services totalement interopérables et pouvoir les déployer aisément pour différents types de services dans différents types de contexte.
Par exemple l’initiative de cloud européen Gaia-X, qui cherche à organiser l’interopérabilité entre différents fournisseurs de services, peut être très intéressante pour le secteur financier en permettant une moindre concentration des risques auprès d’une poignée de fournisseurs de cloud très spécialisés auxquels ont recours la plupart des banques et institutions financières.
La notion de fiabilité de ces services est également très importante dans la stratégie développée par le commissaire Breton. Tous les fournisseurs de cloud actifs dans l’Union européenne, qu’ils soient européens ou étrangers, devraient répondre au même ensemble de normes et de règles essentielles, concernant la sécurité, la protection des données personnelles, la disponibilité des données, le contrôle et la supervision de cette activité.
Enfin, reste le concept lié à des services économes en énergie. Les data centers dans le monde ont une empreinte écologique en termes d’émission de CO2 bien supérieure à celle des services de cloud computing. C’est la raison pour laquelle il est important d’agir très en amont sur l’efficacité énergétique des infrastructures de traitement de données.
Quelles sont concrètement les technologies de pointe en matière de cloud que vous avez mentionnées ?
Elles concernent notamment le edge computing, qui recouvre des traitements des données qui ne sont pas mis en œuvre dans des data centers, mais à la périphérie du réseau, près de la source des données. Concrètement, il s’agit par exemple du traitement de données dans des dispositifs IoT (Internet of Things), ou dans des objets connectés à internet comme les smartphones, ou des outils spécifiques dans l’agriculture, l’industrie, les voitures autonomes, ou encore les smart cities. Cela permet une moindre dépendance au legacy informatique, et des traitements plus rapides.
Quels sont les principaux challenges auxquels fait aujourd’hui face cette ambition ?
La première catégorie de challenges se situe du côté des fournisseurs (supply side). C’est une question connue et déjà débattue, mais on constate une concentration de plus en plus forte sur le marché des services de cloud auprès de quelques acteurs très globaux et très experts, et dont les plus importants ne sont pas européens. Et ces derniers remontent de plus en plus haut dans la chaîne des services proposés : alors qu’ils étaient initialement principalement implantés dans les services de cloud de base, c’est-à-dire le traitement de données ou la mise à disposition d’infrastructure, ils développent désormais des offres de software as a service (SAAS) et accroissent leurs parts de marché dans un domaine où l’Europe est traditionnellement plus forte. C’est un véritable challenge pour les entreprises européennes actives dans ce domaine, car ces acteurs globaux du cloud peuvent proposer leurs SAAS à des prix inférieurs aux clients qui utilisent déjà leurs infrastructures de cloud de base. Un autre challenge concerne notamment le secteur financier : il s’agit de la combinaison d’un risque de lock-in [1] et d’une situation de négociations contractuelles déséquilibrées qui peut déboucher sur un risque en matière de résilience opérationnelle des institutions financières.
Concernant plus spécifiquement le problème de lock-in, il est souvent difficile de transférer les fonctions réalisées dans le cloud d’un fournisseur à un autre, en raison de clauses qui rendent ce transfert onéreux, et techniquement long et complexe. Cela ne favorise bien entendu pas la bonne compétitivité du marché et c’est un point dont nous devons nous préoccuper. Ces fournisseurs globaux ont souvent une taille bien supérieure à celle de leur client dans le secteur financier, et cela crée un déséquilibre dans les relations contractuelles avec ces fournisseurs, d’autant que les institutions financières doivent aussi compter avec leurs obligations vis-à-vis de leur superviseur. C’est le cas par exemple des droits d’audit. Les contrats avec les fournisseurs doivent inclure des droits d’audit spécifiques pour les banques et leur superviseur, pour que ce dernier soit en mesure de s’assurer que les traitements se déroulent de façon conforme au contrat. Les banques ont souvent des difficultés à négocier d’égal à égal avec ces fournisseurs.
Il existe également une deuxième catégorie de challenges, qui se situent du côté des clients (demand side). Globalement dans l’Union européenne, une entreprise sur quatre seulement, utilise le cloud computing, tous secteurs d’activité confondus et quelle que soit la taille de l’entreprise. Cette proportion pourrait être beaucoup plus élevée, comme c’est déjà le cas dans d’autres parties du monde. Les raisons avancées pour expliquer cette situation sont un manque de confiance, des craintes concernant la sécurité des traitements, la dépendance aux fournisseurs, ou encore un risque d’incertitude juridique : les utilisateurs se demandent par exemple où ils peuvent légalement stocker leurs données, etc.
Comment répondre à ces challenges ?
Nous avons adopté une première règle, appelée Free flow of non-personal data, entrée en vigueur en mai 2019, qui permet la libre circulation des données à l’intérieur de l’Union européenne : les entreprises sont légalement assurées de pouvoir stocker leurs données dans n’importe quel état de l’UE. Parallèlement nous avons engagé un process d’autorégulation avec l’industrie sur la question de la portabilité des données. C’est une réponse apportée à la crainte du lock-in précédemment évoquée. Cette initiative réunit de nombreuses parties prenantes, issues du secteur financier, des fournisseurs de cloud, ainsi que le CIGREF en France, pour développer un code de conduite sur la portabilité des données.
Nous proposons également une approche renouvelée pour la gouvernance du cloud au travers du EU cloud rule book annoncé dans notre stratégie digitale en février 2020. Ce rule book va reprendre les règles, l’autorégulation, et les standards déjà existants en Europe, dont nous avons validé l’intérêt et l’efficacité, pour les réunir dans un rule book unique. Il ne s’agit pas seulement de compiler des règles, mais de fixer un cadre légal qui évacue toute incertitude juridique et harmonise les règles, de façon à ce que les utilisateurs n’aient plus à se poser la question de savoir à quelle règle ou autorégulation ils doivent se conformer.
Nous avons également travaillé sur un code de conduite concernant la protection des données dans le cloud, qui est encours de validation finale par les autorités nationales de protection des données, ainsi que sur une recommandation pour un schéma de certification en matière de sécurité du cloud. L’ENISA (European cybersecurity agency) travaille actuellement sur l’élaboration de ce scheme et nous serons donc parmi les premiers à disposer d’une telle certification.
Nous avons engagé une initiative spécifique pour le secteur financier, le Data Operationnal Resilience Act (DORA). DORA est une régulation financière mise sur la table au début de l’année 2020, élaborée en coopération avec la direction générale de la stabilité financière et des marchés des capitaux (DG FISMA). Elle comprend des règles nouvelles pour le partage d’informations, par exemple sur la classification et la publication des incidents liés aux technologies de l’information et de la communication, et sur la gestion du risque des fournisseurs de technologie, tel qu’il apparaît souvent dans le cadre de l’outsourcing lié aux projets de cloud. DORA pose des exigences concrètes pour cadrer les engagements contractuels entre les banques, les assurances, les gestionnaires d’actifs, et leurs fournisseurs de services cloud. Cela signifie concrètement que DORA va placer les fournisseurs de services IT des institutions financières sous la supervision d’une des ESAS. Les engagements dans les cloud seront donc régulés dans le secteur financier. Le texte est encore en cours de négociations auprès du Parlement et du Conseil.
Enfin, le commissaire européen Thierry Breton a annoncé récemment la création d’une alliance européenne pour les données industrielles et le cloud, qui sera lancée dans les premiers mois de 2021. Cette alliance devrait assurer l’élaboration d’une stratégie pour les prochains investissements que nous ferons dans le domaine du cloud et des datas. Cela arrive dans une période cruciale car nous sommes au début de la nouvelle période budgétaire de sept ans de l’UE, pour laquelle un accord a été trouvé fin 2020. C’est un moment particulier : le budget pluriannuel de l’UE, associé à NextGenerationEU – l’instrument temporaire destiné à stimuler la reprise –, va constituer le plus vaste train de mesures de relance jamais financé par l’UE. Une enveloppe globale de 1 800 milliards d’euros contribuera à reconstruire l’Europe de l’après-Covid-19 : une Europe plus verte, plus numérique et plus résiliente. 20 % de l’instrument Next Generation EU, qui se chiffre à 750 milliards d’euros, sera destiné aux investissements et aux réformes numériques… Ceux-ci devront être réalisés par les États membres, mais la Commission a un rôle logistique à jouer pour guider ces derniers, leur conseiller où investir pour être conformes aux objectifs du fonds et favoriser le soutien et la relance économique européenne. La Commission a annoncé que l’Union européenne investirait directement 2 milliards d’euros d’argent public européen, en plus des investissements réalisés par les États membres au titre de Next Generation EU.
Ces investissements seront destinés à construire une alternative européenne de services de cloud de pointe, l’interconnexion des infrastructures de services de cloud déjà existants, mais aussi la construction de places de marchés européennes où seront rassemblées des offres de services cloud respectant les standards européens.
Outre les investissements directs et ceux réalisés par les états via les fonds européens, l’objectif est que des investissements privés abondent pour compléter cette stratégie. Il est nécessaire de coordonner intelligemment ces différentes actions pour éviter une fragmentation de ce marché. Cela sera un des rôles clé de cette nouvelle alliance européenne pour les données industrielles et le cloud.
Quelles sont aujourd’hui les initiatives nationales déjà lancées en matière de cloud dans les pays membres ?
Nous avons déjà une industrie forte dans ce domaine en Europe. Le commissaire Breton a ainsi organisé le 16 décembre dernier une table ronde pour discuter avec des CEOs d’entreprises européennes actives dans ce domaine, globales ou plus locales. Il existe également des initiatives de différents États européens en matière de cloud, dont Gaia-X est la plus connue. Nous prévoyons d’établir des synergies entre ces différentes initiatives notamment par la mise en place de l’alliance européenne pour les données industrielles et le cloud. Ces initiatives ont un grand rôle à jouer pour fixer les exigences techniques et les standards industriels nécessaires, mais il faut une instance comme l’alliance qui permette de faire accepter les règles pour le marché européen du cloud.
Gaia-X réunit des fournisseurs de services de cloud, notamment américains et chinois : peut-on encore voir cette initiative comme réellement européenne ?
Gaia-X est une initiative franco-allemande aujourd’hui gérée par une association privée administrée par des représentants exclusivement européens.
Il faut bien comprendre que l’Europe n’est pas un marché fermé, il reste ouvert mais selon certaines règles que tous les fournisseurs devront respecter. Les fournisseurs issus de pays tiers installés en Europe doivent pouvoir proposer leurs services, mais à la condition de se conformer à nos normes et nos règles.
Les principaux acteurs du cloud sont aujourd’hui des entreprises américaines ou chinoises : n’est-il pas déjà trop tard pour vouloir les concurrencer ?
Non, il n’est pas trop tard mais il faut pour cela agir au niveau européen, collectivement et de façon concertée. Aujourd’hui il existe un fort potentiel de développement de l’industrie du cloud en Europe, puisque comme je l’expliquais précédemment, trois entreprises sur quatre n’utilisent pas encore ces services. Si l’industrie européenne parvient à construire une solution à laquelle nous pouvons contribuer en fixant un cadre adéquat de fonctionnement, si nous parvenons à faire émerger une alternative européenne fiable sur le marché, il n’y a aucune raison de penser que ces entreprises ne l’adopteront pas. Nous devons utiliser les instruments de financement mis à disposition par la Commission pour investir dans le edge computing, le swarm computing, les mini-clouds, pour faire un saut technologique en s’appuyant sur le fait que l’Europe est traditionnellement forte dans l’industrie digitale.
[1]. L’enfermement propriétaire est une situation où un fournisseur a créé dans ses produits une particularité empêchant ses clients de recourir à d’autres fournisseurs.
