Introduction
En 2013, le rapport d’information de la sénatrice Catherine Morin-Desailly intitulé « L’Union européenne, colonie du monde numérique ? »[1] décrivait un contexte où l’Europe était « en passe de devenir une colonie du monde numérique, […] dépendante de puissances étrangères »[2]. Nous y sommes depuis déjà quelques années, et la période de crise sanitaire que nous connaissons n’a fait qu’affirmer nos dépendances à des acteurs techniques devenus aujourd’hui très puissants. Les Big techs[3], dont les plus connues sont Amazon, Microsoft et Google, ne sont plus de simples pourvoyeuses d’outils numériques, mais se rendent aujourd’hui indispensables aux technologies socles de télécommunication. Depuis 2016, elles construisent leurs propres câbles sous-marins entre les États-Unis et l’Europe, et tracent même de nouvelles routes sur le pourtour du continent africain[4].
Elles remplacent ainsi peu à peu les telco’s – entreprises de télécommunication – qui n’ont plus les moyens d’investir dans ces grands chantiers. Elles se positionnent également sur la couche logicielle de la technologie 5G, qui repose sur le principe de slicing, soit la distribution « intelligente » du réseau, et rendent de ce fait dépendants les opérateurs utilisant leurs services. Enfin, les nouvelles technologies de maillage satellitaire à orbite basse, et plus généralement l’industrie du spatial, sont aujourd’hui intrinsèquement liées à ces technologies informatiques au sol. En développant les technologies de machine learning[5], les Big techs se sont positionnées sur le créneau de l’analyse d’imagerie spatiale, de traitement et d’acheminement de l’information numérique des satellites LEO – low earth orbit – qui en plus d’être rentable, repose également sur le principe de mise en dépendance favorisant une approche monopolistique sur le long terme.
Ces acteurs ne cessent d’accélérer leur développement, et reposent aujourd’hui sur une capitalisation boursière hors norme. Par exemple, Microsoft est à lui seul valorisé à 1972 milliards de dollars[6], soit une augmentation de 60 % en 1 an, ce qui équivaut au total des entreprises du CAC 40 (2057,2 milliards d’euros)[7].
Les pays européens ont largement contribué à l’expansion des Big techs : elles évoluent depuis trente ans dans un environnement décisionnel et idéologique favorable à une accélération de leur développement. Les questions de choix d’un outil numérique ou d’un prestataire technique ont souvent été reléguées au rang de sujet opérationnel et budgétaire, dans une logique utilitariste ne prenant pas en compte les aspects stratégiques, la gestion des risques et les spécificités de ces technologies. L’objectif premier reste la transformation numérique bien plus que l’autonomie stratégique. Les Big techs se sont souvent développées en autocratie dans la zone grise d’un droit du numérique balbutiant, et ont ainsi disposé d’un avantage temporel considérable.
Par ailleurs, elles ont bâti leur empire dans un environnement technique qui était favorable aux technologies américaines, et elles n’ont pas rencontré de réelles oppositions ni de concurrence sérieuse dans les pays européens. Elles ont également bénéficié des échecs de grands projets informatiques de l’État, notamment en France, dont nous n’avons pas su faire la juste analyse pour en tirer les enseignements et redéfinir un cadre de réalisation spécifique adapté aux enjeux à long terme[8].
Finalement, une vision de l’objet numérique, lacunaire et trop souvent limitée à la simple ambition d’accélérer les usages numériques, a encouragé les choix des partenaires techniques les plus matures. Les politiques successives de « modernisation » puis de « transformation » des organisations, entreprises ou de la fonction publique, n’ont fait qu’encourager ces choix technologiques.
Cet oligopole d’acteurs technologiques que constituent les Big techs doit être analysé dans une perspective sociétale à long terme. En effet, ces entreprises ne sont pas de simples acteurs techniques et économiques. Par l’accaparement des socles matériels, et par la mise en dépendance des opérateurs télécom vis-à-vis de leur technologie edge[9] dédiée à la 5G, ces entreprises vont prendre une place encore plus importante dans la vie économique et sociale. Si les interdépendances entre les acteurs techniques constituent un phénomène normal du monde numérique[10], ces acteurs-là sont aujourd’hui en position de force dans tous les écosystèmes numériques. Les Big techs dominent les usages numériques, les standards techniques, les infrastructures socles, le transfert et le traitement avancé de l’information. Le déséquilibre des forces, au départ invisible, touche à la fois les acteurs du marché, les individus mais aussi les États. Les moments de crises sont des révélateurs du pouvoir des monopoles et oligopoles. Les rapports de force s’y trouvent accentués, laissant les plus faibles au bord du chemin. Nous venons tout juste de vivre, avec la crise sanitaire, une nouvelle preuve de ce phénomène inégalitaire où les pays et les entreprises pharmaceutiques favorisent leur propre camp, laissant les pays moins pourvus dans des situations dramatiques.
Or, nous savons que les crises climatiques et les inégalités d’accès aux ressources naturelles engendreront de nouvelles crises sociales et économiques. La raréfaction des métaux essentiels à la fabrication des infrastructures et aux matériels électroniques[11], qui constituent les socles matériels de l’activité numérique, entraînera de nouvelles inégalités. Pour les Big techs, la gestion des ressources deviendra un élément clé de leur développement. Aujourd’hui, Google peut encore créer avec Orange un smartphone low cost pour le continent africain, le Sanza touch, afin d’accélérer les usages mobiles en Afrique[12]. Kuiper d’Amazon accélère le lancement de ses satellites[13]. Microsoft poursuit la fabrication de son casque Hololens pour l’armée américaine[14]. Les plus gros chantiers de câbles sous-marins des Big techs ont été planifiés pour être mis en place d’ici 2025. Cette maîtrise des socles matériels de l’activité numérique ne doit pas être considérée comme un hasard : ces entreprises appliquent merveilleusement la gestion du risque dans leur secteur d’activité. Sur l’échiquier mondial des négociations à l’accès aux ressources, les acteurs les plus puissants conserveront un accès privilégié.
La question des dépendances technologiques ne peut donc pas être reléguée à une logique de marché, qui opposerait les entreprises européennes et étrangères dans un cadre de pensée uniquement économique. Au contraire, l’étude de la concentration des technologies dans la sphère d’un oligopole d’acteurs doit nous interroger sur les stratégies à long terme menées par ces derniers. Cela nous conduit à interroger, également, la pertinence des modèles économiques et politiques actuels, qui permettent la formation de ces oligopoles.
Pour répondre à la montée du sujet dans la société civile, une mission d’information a été lancée à l’Assemblée nationale sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne »[15]. Celle-ci arrive près d’un an après la publication d’un rapport important du Sénat sur le sujet[16], qui n’avait pas fait grand bruit malgré la densité et la qualité du travail réalisé. Des acteurs divers de l’écosystème numérique sont actuellement auditionnés, des représentants de la Commission nationale de l’informatique et des libertés (CNIL) aux patrons d’entreprises de l’industrie spatiale. Parmi eux, certains décideurs abordent la difficulté du choix technologique, dans des limites qui apparaissent tant réglementaires qu’idéologiques. Pour le PDG d’Eutelsat, le financement des États apparaît indispensable pour encourager des acteurs technologiques européens affaiblis[17]. Au contraire, la directrice de la plateforme des données de santé considère qu’« on ne peut choisir de travailler avec un acteur français car on a envie de soutenir son développement industriel si un autre acteur répond à notre demande »[18]… Cette dernière intervention résume à elle seule la position de certains décideurs vis-à-vis des Big techs, alors que le manque de considération des aspects stratégiques constitue le moteur même du développement de ces entreprises depuis les années 90. Elle montre aussi le poids d’une idéologie néolibérale, où l’État se voit, en Europe, relégué au mieux à la place d’arbitre du marché, au pire à celle de simple observateur.
Afin de comprendre le contexte de ces choix technologiques, nous initions un diagnostic des dépendances numériques par le récit de l’histoire récente et le développement d’un grand marché européen de la donnée régalienne. Dès les années 2000, la France et l’Allemagne, pour ne citer qu’elles, ont délégué leurs besoins numériques aux acteurs américains. En 2019, toutefois, le ministère allemand de l’Intérieur faisait son auto-analyse stratégique pour réduire les dépendances vis-à-vis des fournisseurs de logiciels[19], plaçant Microsoft au premier rang des sources de dépendance numérique des autorités allemandes.
Après cette analyse des choix technologiques du décideur public, nous aborderons le positionnement des acteurs économiques nationaux et européens. Les acteurs du numérique, des entreprises de services du numérique (ESN) missionnées par l’État aux acteurs traditionnels des télécommunications, ont un rôle fondamental dans l’évolution à long terme de ces technologies.
Nous verrons également les projets européens en matière de politique industrielle, les efforts consentis dans le cadre pluriannuel 2021-2027, mais aussi les lacunes et faiblesses des programmes engagés. Nous compléterons cette analyse européenne par un retour sur le droit du numérique européen, après quelques années de recul sur le règlement général sur la protection des données (RGPD). Il conviendra ainsi d’interroger le processus d’individualisation du droit et le principe de « seconde vie » de la donnée numérique qui rend aujourd’hui possible un spectre large de contournement du droit.
Enfin, nous proposerons des réformes concrètes dont les grands axes peuvent être ainsi résumés : les choix technologiques doivent prendre en considération les phénomènes de dépendances à des oligopoles, et nous conduire à améliorer les alternatives technologiques européennes. Car ces alternatives existent et doivent nous servir à préparer l’avenir.
Cette note, qui cible principalement la politique nationale et européenne, sera suivi des deux autres volets portant sur la politique internationale, et qui partiront de l’analyse de la situation américaine et chinoise.
I. Le grand marché de la donnée régalienne
Depuis les années 2000, le nombre d’internautes européens a progressivement augmenté pour atteindre aujourd’hui 379 millions d’utilisateurs[20]. L’Europe constitue de ce fait un marché très lucratif ainsi qu’une source de données considérable pour les géants du numérique. Les produits numériques tels que le moteur de recherche Google (1998), Gmail (2004), le réseau Linkedin (2003) puis Facebook (2004), ont vite remporté l’adhésion des internautes en leur fournissant des outils en apparence gratuits, mais dont la rentabilité repose sur l’usage des données personnelles pour du ciblage publicitaire. Le citoyen européen, digital laborer[21] des premières heures du web, livre ainsi ses petits secrets en échange de services. À une échelle plus large, les États européens ont eux-même joué un jeu dangereux en confiant certaines de leurs données stratégiques à ces entreprises, faisant de l’Europe un grand marché de la donnée régalienne.
Figure 1. Synthèse schématique du développement des dépendances aux produits Google. Des timelines similaires pourraient être appliquées à Amazon et Microsoft dans leur relation au marché européen.
1. « Off-the-shelf » : des « produits sur étagère » dédiés aux États
En France, Microsoft est devenu le principal fournisseur de logiciels de l’État français dès les années 90 avec l’adoption de Windows 95 sur tous les ordinateurs de l’administration. Parmi les administrations les plus dépendantes, le ministère de la Défense et le ministère de l’Éducation nationale, qui a de nouveau signé en septembre 2020 un contrat pour équiper 800 000 postes[22]. L’entreprise reste le premier fournisseur de logiciels de l’État, encouragé par l’Union des groupements d’achat public (UGAP) qui propose en priorité dans son catalogue les logiciels Microsoft et Oracle[23]. Pourtant, depuis 1999 de nombreuses critiques sont régulièrement lancées contre l’entreprise qui laisse la possibilité, par le traçage de l’identifiant unique de Windows[24], de suivre l’activité d’un utilisateur. Par ailleurs, dès 2013 a été rendu publique la participation de Microsoft au projet de surveillance PRISM de la National Security Agency (NSA) démarré en 2007[25]. Cela n’a pas découragé nos décideurs à poursuivre des choix technologiques en faveur de cette entreprise.
Figure 2. Site de l’Union des groupements d’achat public (UGAP), la page dédiée aux logiciels met en avant Microsoft et Oracle (10 mai 2021).
Aujourd’hui, Microsoft ne limite pas son activité à son système d’exploitation ni à sa suite bureautique disponible aussi bien en local[26] qu’en ligne. Son modèle économique se fonde en grande partie sur l’hébergement et le traitement de données numériques[27] et cible particulièrement certains secteurs d’activités : les administrations, l’enseignement, la défense et la santé. Dans une de mes précédentes contributions pour l’Institut Rousseau, j’évoquais le cas du Health data hub qui repose sur la solution Microsoft Azure pour le traitement des données de santé des Français[28] lors de projets de recherche. Parmi les problèmes relatifs à ce choix, le plus important nous semble l’occasion manquée d’améliorer des socles technologiques stratégiques. Soutenir la recherche en santé par l’emploi de technologies de machine learning aurait été une occasion d’acquérir la maîtrise de ces technologies et de socles matériels nécessaires à leurs développement. Par ailleurs, la problématique n’est pas tant le lieu d’hébergement, qui est facilement corrigeable, que les passerelles potentielles de transferts de données et de technologies. Le rapatriement de données de santé ou de leur modèle d’analyse, sur des secteurs précis de la recherche, donne une carte d’identité précieuse qui peut révéler les fragilités d’un système de santé, celles des individus, et permet d’orienter des décisions économiques, politiques voire militaires. Or, il n’est pas nécessaire, pour définir une cartographie, d’obtenir la totalité des données ou d’identifier les individus.
Dans le domaine de l’intelligence technologique, industrielle ou économique, aucune stipulation contractuelle ne peut garantir le non-transfert de données dans une structure de type cloud. Le rapport d’enquête rendu en octobre 2020 par le Congrès américain donnait même de nombreux exemples où les entreprises du numérique ont utilisé les données de leurs clients pour élaborer leurs propres stratégies commerciales[29]. Par ailleurs, ces choix technologiques ont lieu dans un contexte où les risques sont connus et identifiés. En effet, la Direction générale de la sécurité intérieure (DGSI) alertait dès 2018 sur l’acquisition par les entreprises américaines de plusieurs sociétés françaises expertes dans le traitement de données de santé, et mettait également en lumière une stratégie de captation d’information dans des domaines stratégiques comme l’aéronautique, le monde de la recherche et la santé[30].
Le choix du produit Microsoft dans ce cas précis est particulièrement inquiétant. S’il révèle peut-être un manque de maturité de la part de nos décideurs en matière de choix technologique, il démontre surtout une considération purement utilitariste de ces technologies et ignore leur caractère géostratégique. La volonté d’un déploiement rapide de ces produits traduit une politique globale de « transformation » de l’action publique qui repose sur l’accélération des usages à court terme et prend le dessus sur toute considération stratégique à long terme.
Microsoft est loin d’être la seule entreprise américaine à profiter du marché des données stratégiques françaises. Bpifrance a choisi Amazon web services (AWS) en juin 2020 pour gérer les données des prêts garantis par l’État (prêt Covid)[31]. La DGSI a renouvelé son contrat avec la société Palantir[32]. Microsoft Azure, AWS, Google Cloud, IBM Cloud et la solution cloud d’Oracle font aussi partie des infrastructures cloud proposées par l’UGAP dans le cadre du marché de Cloud public[33]. Les solutions cloud françaises 3DS Outscale, Oodrive et OVHCloud, qui sont certifiées SecNumCloud[34], sont également proposées mais sans préciser quelles typologies de données « sensibles » devront être stockées dans des serveurs répondant aux meilleures normes de sécurité. La responsabilité est laissée à la personne qui passe la commande de savoir si son projet correspond à une catégorie de données sensibles ou non.
2. Une stratégie de conquête des instances publiques européennes
Nous sommes probablement, en France, l’un des champions des mauvais choix géostratégiques en matière de technologies numériques. Mais nous ne sommes pas les seuls en Europe, et en août 2019 le ministère allemand de l’Intérieur publiait un rapport sur les dépendances de l’administration aux fournisseurs de logiciels[35], plaçant Microsoft comme principale source de dépendance numérique des autorités allemandes. Ce rapport montre un intérêt tout particulier pour l’évaluation des dépendances, permettant de considérer dans une moindre mesure où se situent les points faibles de l’écosystème numérique des administrations vis-à-vis des produits Microsoft.
Figure 3. Tableau synthétique des dépendances techniques aux produits Microsoft intitulé : « Tableau 1 : Évaluations centrales de l’analyse des dépendances pour les couches considérées »[36]
Si les décisionnaires de l’administration optent si souvent pour ces acteurs, c’est que ces derniers ont bâti une véritable stratégie de vente destinée aux États, en leur proposant des « outils sur étagère »[37]. Microsoft déploie un arsenal de séduction, qui démarre par sa politique de communication. La phrase d’accroche présentant la solution Azure pour la fonction publique tient en ces termes : « Assurez le bien-être des citoyens, apportez des changements positifs au sein de la société et améliorez vos services publics »[38]. L’entreprise fournit une documentation dense sur ses produits, composée de livres blancs, de cas d’usage et de supports techniques destinés à renforcer la confiance dans ses produits. Par exemple, dans un dossier dédié aux gouvernements et intitulé Azure for Secure Worldwide Public Sector Cloud Adoption[39] datant de janvier 2020, les produits sont détaillés suivant un fil directeur bien précis : la sécurité des données confiées à la plateforme, en réponse aux inquiétudes suscitées par le Cloud Act et l’extraterritorialité des données. Le produit Azure est présenté de manière à rassurer le décideur, mettant en avant la territorialisation de certaines fonctionnalités et du stockage des données. Dans le même temps, Microsoft spécifie que le principe même du cloud suppose d’innombrables passerelles entre ces régions et le développement d’un produit centralisé et que de ce fait, un outil connecté à un service de type cloud n’est jamais vraiment territorialisé. Comme l’explique très bien l’entreprise dans cette même documentation, l’« isolation physique, comme stratégie, est diamétralement opposée à la stratégie du cloud hyperscale […] la proposition de valeur du cloud, la croissance rapide des fonctionnalités, la résilience et le fonctionnement rentable, tombent en panne lorsque le cloud est fragmenté et physiquement isolé. »[40]
Une entreprise telle que Microsoft se positionne de cette manière dans tous les domaines qui relèvent initialement de la mission des États, marquant à la fois une confirmation et un déplacement du schéma traditionnel d’opposition entre pouvoir de l’entreprise et pouvoir de l’État. En termes de géopolitique du numérique, ce positionnement représente une formidable stratégie d’expansion technologique portée par deux leviers forts : l’intelligence économique par le recueil de données stratégiques, et la mise en dépendance des entités par l’accaparement de leurs socles techniques opérationnels.
Cette stratégie touche également le monde de l’entreprise, avec d’autres géants du numérique comme Google et Amazon Web Services qui ont fait du secteur privé un vaste terrain de conquête technologique. Si Microsoft est particulièrement présent au sein des États, Amazon et Google ciblent avant tout les entreprises, en commençant par les acteurs économiques du numérique : les entreprises de télécommunications, les sociétés de services et d’ingénierie en informatique (SSII, ou ESN) ou celles offrant des solutions de stockage de données sur le territoire.
II. Les acteurs économiques face aux Big techs
Il existe très peu d’informations sur la quantité de données numériques effectivement stockées chez les Big techs. Mais en prenant en considération les parts de marchés du cloud dans un pays comme la France[41], on pourrait estimer qu’entre la moitié et les deux tiers des données françaises sont stockées aux États-Unis, avec Amazon Web Services en tête (30 % des parts de marché), suivi de Microsoft (20 %) puis OVH (10 %).
Le classement ci-dessous met en avant les six leaders du cloud au Royaume-Uni, en Allemagne, en France, et aux Pays Bas. Nous avons en France deux grands acteurs en concurrence modérée avec Amazon et Microsoft, OVH et Orange, quand certains pays européens comme l’Allemagne ne dispose que d’une seule autre option nationale réelle face aux géants américains.
Figure 4 : Classement des leaders du cloud dans les pays européens, en fonction des revenus au T1 2020. Source : Synergy Group.
Le déséquilibre s’est accentué avec le développement de la 5G, qui nécessite une technologie de cloud à la périphérie, et avec la crise sanitaire qui a joué le rôle d’accélérateur de l’adoption des solutions américaines. Finalement, les entreprises européennes font peu à peu le choix de ne pas développer elles-mêmes les technologies liées aux nouveaux réseaux de communication, et signent des partenariats stratégiques avec les Big techs.
1. Le choix du partenariat stratégique
De nombreux « partenariats stratégiques » ont été signés ces dernières années entre des entreprises françaises et les Big techs. L’année 2020 est à ce titre édifiante, puisque des acteurs importants voire stratégiques, tels qu’Atos, Orange Business Services (OBS), OVH ou Ie toulousain Sigfox, ont annoncé des partenariats avec Google et Amazon Web Services (AWS). Ces contrats concernent principalement les plateformes de recueil, de gestion et de traitement de données, comme Google Cloud, Google Anthos ou Google Anthos for telecom.
Le problème que posent ces alliances est avant tout que ces solutions constituent des socles technologiques difficilement remplaçables a posteriori, et créent donc des dépendances techniques fortes dont les clients finaux auront du mal à se défaire.
Or, Atos, OVH et OBS se présentent comme des acteurs importants de la « transformation numérique » des entreprises françaises. Atos est une entreprise de service numérique (ESN) qui compte parmi ses clients des sociétés comme Bouygues Telecom ou des acteurs publics tels que le ministère de la Culture, l’Agence spatiale européenne et le Service des douanes. Ses missions sont très larges, du conseil à la maîtrise d’œuvre, comprenant la préconisation auprès de ses clients d’outils et de services numériques. Atos a conclu des partenariats avec tous les géants du numérique[42], de Salesforce à Microsoft. Son partenariat avec Google Cloud a été signé en 2018[43], avec le projet de faciliter l’adoption du cloud par les entreprises françaises, et usant des termes « intelligence artificielle » et « machine learning » alors très d’actualité suite à la publication du rapport Villani sur l’intelligence artificielle[44]. L’entreprise a également renforcé son partenariat avec AWS en novembre 2020, s’affichant en modernisateur des entreprises, avec pour objectif de migrer les usages d’une « infrastructure informatique traditionnelle vers des plateformes Cloud modernes »[45].
Si le positionnement d’Atos, ESN des premières heures, n’est guère surprenant, il n’en est pas de même pour l’entreprise OVH. En effet, OVH s’est souvent présentée comme un acteur français clé de la souveraineté numérique européenne[46]. Elle a ainsi acquis la confiance des utilisateurs, et a même été soutenue récemment par des collectifs comme Interhop pour remplacer Azure dans le cas du Health Data Hub[47]. Mais en novembre 2020, l’entreprise OVH, pour son produit OVH Cloud, est à son tour devenue partenaire de Google Cloud via son service Google Anthos[48]. Cette démarche de partenariat a été soutenue par le gouvernement qui poursuit une politique de « transformation » des entreprises[49] sans prendre sérieusement en compte les phénomènes de dépendance. Atos et OVH deviennent alors, via leurs partenariats respectifs, des ambassadeurs des services vendus par les Big techs en France.
2. Des services numériques aux socles technologiques : de nouveaux rapports de force
Les entreprises de télécommunication mettent également en place des partenariats structurants avec les Big techs. C’est notamment le cas dans le domaine de la 5G, où la gestion et la répartition de la bande passante, notamment par le principe de slicing[50], donnent un rôle déterminant à la couche logicielle et aux technologies de calcul pour lesquelles les entreprises américaines sont aujourd’hui les mieux placées. Ces dernières se sont évidemment préparées au développement de la 5G en Europe, et multiplient depuis 2019 les partenariats avec les équipementiers et les opérateurs de télécommunication européens[51].
Orange Business Services a opté pour la solution Google Anthos for Telecom[52]. Cette plateforme dédiée aux acteurs traditionnels des télécoms a un rôle clé dans la stratégie Global Mobile Edge Cloud (GMEC) de Google, qui consiste à proposer aux entreprises des télécoms des solutions numériques destinées à la technologie 5G. AWS, Microsoft et IBM adoptent une stratégie similaire avec leurs produits Wavelength (AWS), Edge Zones (Microsoft) et IBM Cloud Satellite.
L’équipementier Nokia a commencé en octobre 2020 à migrer son infrastructure informatique chez Google Cloud[53] et a signé depuis d’autres partenariats avec AWS et Microsoft. Ericsson, l’autre équipementier choisi par les opérateurs européens, a enrichi son partenariat avec Equinix sur la gestion des clouds hybrides. L’américain Equinix est évidemment une porte d’entrée vers les clouders américains[54], et constitue un portail à la fois virtuel et physique : son nouveau centre de données BX1 à Bordeaux est stratégiquement positionné au point d’atterrissement du câble transatlantique Amitié financé par Facebook et Microsoft[55].
Concernant les équipementiers Nokia et Ericsson, il est par ailleurs intéressant de noter que les États-Unis ne disposent pas d’équipementiers 5G et comptent sur les entreprises européennes pour concurrencer le géant chinois Huawei. Le ministre américain de la Justice Bill Barr avait même proposé en février 2020 que les États-Unis « prennent le contrôle (du finlandais Nokia et/ou du suédois Ericsson) soit directement, soit à travers un consortium d’entreprises privées américaines et alliées »[56]. D’une certaine manière, en intégrant les infrastructures clés sur lesquelles reposent l’activité économique de ces équipementiers, les entreprises américaines acquièrent des capacités de négociation supplémentaires sur ces acteurs stratégiques.
Ces stratégies de partenariat ne concernent pas que les acteurs français. En effet, il est possible de faire une cartographie de ces partenariats sur l’ensemble de l’Europe. Sous couvert du développement de la 5G, on constate que de nombreux opérateurs télécoms traditionnels intègrent aujourd’hui certains partenaires cloud dans leur proposition commerciale et technologique.
Pays | Opérateur | Partenaires edge computing[57] |
France | Orange | Google
Dell Technologies |
Allemagne | Deutsche Telecom | MobiledgeX |
Italie | Telecom Italia | |
Espagne | Telefonica | Google
Microsoft |
Belgique | Proximus | Microsoft |
Telenet | ||
Autres | Vodafone (Europe) | AWS
Microsoft |
Figure 5. Tableau listant quelques partenariats en Europe, me contacter pour la faire évoluer.
Pour comprendre les liens de dépendances entre les différents acteurs technologiques dans le cadre du réseau 5G, on peut représenter la relation entre les acteurs numériques et les acteurs réseaux de la manière suivante :
Figure 6. Principaux acteurs technologiques intervenant dans les technologies de réseau 5G.
Plus largement, les entreprises de télécom traditionnelles doivent également faire face à un nouvel équilibre des forces dans le domaine des infrastructures clés, telles que les câbles sous-marins[58], également investies par les géants du numérique. Ces dix dernières années, les Big techs sont en effet passées de la location de bande passante auprès des consortium propriétaires à la construction de leurs propres infrastructures de câbles sous-marins. Les entreprises de télécom jouent toujours un rôle essentiel dans ces chantiers, notamment sur leurs territoires où elles conservent la gestion des stations d’atterrissement, des infrastructures serveurs et des réseaux qui en dépendent. L’entreprise traditionnelle maîtrise en outre bien mieux les mécanismes juridiques et les relations avec les acteurs et l’administration du territoire national. Ce critère est également important dans d’autres pays où les acteurs télécoms bénéficient d’un héritage et d’implantations historiques, comme c’est le cas sur le continent africain. Orange a par exemple investi sur les stations d’atterrissement du Sénégal, de la Côte d’Ivoire et de la République démocratique du Congo dans le cadre du projet de câble 2Africa lancé par Facebook en 2018[59]. Dans le cas des pays d’Afrique, on peut ainsi imaginer que les télécoms traditionnels deviennent progressivement des ambassadeurs des géants du numérique, qui n’ont pas encore de liens sociaux et stratégiques sur le terrain, ni ne sont familiers avec les contraintes juridiques et administratives de chaque territoire.
Figure 7. Trois grands chantiers de câbles sous-marins autour du continent africain et big tech associée : Equiano, 2Africa, PEACE. Source : Telegeography.
Enfin, les Big techs sont déjà présentes dans les projets de maillages satellitaires. Google et Microsoft ont signé des partenariats avec la NASA et SpaceX[60], pendant qu’Amazon développe son propre réseau satellitaire au travers du projet Kuiper.
3. La stratégie dissonante du label « cloud de confiance »
Enfin, le label « Cloud de Confiance » annoncé le 17 mai 2021 ajoute au paysage complexe des dépendances une dissonance profonde entre projet annoncé d’autonomie stratégique et relation de confiance vis-à-vis des Big techs. Ce label repose sur un référentiel d’exigences créé par l’Agence nationale de sécurité des systèmes d’information (ANSSI), le SecNumCloud[61]. À l’origine, ce référentiel est l’un des plus exigeants en Europe, avec le C5 allemand, mais il comporte des faiblesses en ce qui concerne l’encadrement des acteurs techniques tiers.
La stratégie du « cloud au centre » défendue par le label part du principe que si nous avons le contrôle sur l’infrastructure serveur, au travers d’acteurs européens soumis aux certifications, nous avons le contrôle sur le transfert de données entre socle physique et services numériques consentis au travers du partenariat. Ce principe accorde également une place importante à la « confiance » envers les Big techs, au travers notamment de conditions contractuelles considérées comme garantes du respect des normes européennes (point 15 du SecNumCloud).
Il est ainsi possible à un acteur du cloud français, qui dispose de serveurs et services associés sur le territoire national, de sous-traiter certains services à un acteur américain ou chinois (aujourd’hui plutôt américain que chinois). Ces solutions « mixtes » sont déjà autorisées : OVHCloud est certifié SecNumCloud depuis janvier 2021 pour son offre Hosted private cloud qui associe les serveurs d’OVHCloud avec les services de Google Anthos. Dix jours seulement après l’annonce du label, Orange et Capgemini ont à leur tour publié un communiqué de presse sur la création d’un nouvel acteur français, baptisé Bleu, dont l’infrastructure logicielle serait celle de Microsoft. Le ministère de l’Économie et des Finances soutient ce partenariat, en mettant en avant les principes d’« infrastructure isolée » des acteurs européens, proposés aux entreprises et administrations dans un « environnement de confiance ».
Figure 8. Extrait du communiqué du ministère de l’Économie et des Finances « Bruno Le Maire et Cédric O saluent un partenariat majeur s’inscrivant dans la stratégie nationale pour le cloud de confiance », 27 mai 2021.
Plusieurs acteurs du métier, dont Yann Lechelle dans une récente intervention[62], se sont étonnés de ce choix qui arrive en contradiction avec l’idée même d’autonomie stratégique. En effet, en sous-traitant certaines technologies, comme celles relatives à l’analyse de données, nous privons les acteurs européens de la possibilité d’améliorer leur propre solution. Renoncer à développer une technologie pour n’être que client d’un service n’est-elle pas en contradiction avec la notion même d’autonomie stratégique ?
Par ailleurs, d’après les informations disponibles, pour une plateforme cloud, régionalisation ne signifie pas isolation. La garantie d’isolation des infrastructures, mentionnée par le label, pose de ce fait de nombreuses questions. Si la logique de « produits régionalisés » se développe depuis plusieurs années, ceux-ci ne semblent pas séparés de l’architecture globale du service cloud. Ces entreprises annoncent elles-mêmes que la logique d’isolation physique s’oppose au principe même de technologie cloud : nous l’avons vu, Microsoft annonce clairement dans sa documentation que l’« isolation physique, comme stratégie, est diamétralement opposée à la stratégie du cloud hyperscale »[63]. Dans ce contexte, peut-on réellement séparer, par exemple, tout ce qui concerne l’activité de maintenance d’un service à distance du recueil d’informations liées à l’utilisation du service ?
Figure 9. Principe du cloud, centralisé, vis-à-vis de la logique de régionalisation
Finalement, le label « Cloud de confiance » et le soutien aux partenariats jouent un rôle majeur d’accélérateur dans la mise en dépendance aux Big techs. Celle-ci aura des conséquences systémiques sur les écosystèmes technologiques, des usages numériques courants aux industries du spatial. Nous participons finalement à cette mise en dépendance en favorisant une « transformation numérique » à bas coût, qui nous évite de développer ou d’améliorer nos propres socles logiciels, sans prendre en considération les risques associés à cette configuration des acteurs dominants. Pourtant, il est essentiel que nous préservions au mieux notre capacité à choisir notre avenir en minimisant le poids de ces acteurs économiques sur le monde de demain. Ainsi, il nous appartient de construire un environnement de décision équilibré et démocratique, laissant à chacun une capacité d’autodétermination qui, si elle est d’abord technologique, influence également les secteurs économiques, politiques et sociaux. Les États ont un rôle à jouer dans ce sens, au travers d’actions nationales, mais ils sont aussi en capacité d’agir au sein de l’Union européenne. C’est notamment le cas lors des travaux de constitution d’une politique industrielle liée au secteur numérique, qui s’annonce aujourd’hui au travers des projets portés dans le cadre financier pluriannuel 2021-2027.
III. Une politique industrielle européenne sous-dimensionnée
Ces dernières années, il y a en Europe une prise de conscience progressive de la nécessité de développer une autonomie stratégique dans le domaine du numérique. Le cadre de pensée évolue, et donne lieu à l’émergence de projets issus des travaux de la Commission européenne (CE) et d’initiatives lancées par des groupements d’entreprises.
1. Le cadre financier pluriannuel est-il à la hauteur des enjeux ?
Le Cadre financier pluriannuel 2021-2027 donne au numérique une place importante, transversale, notamment au sein du programme « Marché unique innovation et numérique ». Le projet Horizon Europe, disposant d’une enveloppe de 81,4 milliards d’euros de 2021 à 2027, cible l’innovation et la recherche dans de nombreux secteurs[64] dont celui des technologies numériques. Il s’accompagne du programme « Europe numérique » (6,8 milliards d’euros), de celui sur le « Mécanisme pour l’interconnexion en Europe » (1,8 milliard d’euros) et du « Programme spatial européen » (13,2 milliards d’euros) qui comprend une part dédiée aux infrastructures logicielles[65]. Par ailleurs, dans le cadre de Horizon Europe, la CE donne une continuité à l’effort de recherche initié dans le projet « Next Generation Internet » démarré en 2018[66] avec Horizon 2020.
La force de ces programmes tient d’abord d’une approche multisectorielle : le numérique est présent dans tous les secteurs d’activités stratégiques, de l’énergie au spatial. Aborder le numérique comme une composante multisectorielle est un atout essentiel dans une approche géopolitique des écosystèmes numériques. Ces programmes prennent également en compte les différentes couches du numérique : « Next Generation Internet » (NGI) est un bon exemple d’une volonté de remettre en question les fondements techniques mêmes de l’écosystème numérique dominant, avec une multitude de projets universitaires dans les domaines des réseaux et protocoles fondamentaux[67].
Enfin, il y a une ambition forte en matière de Recherche et Développement, de la recherche fondamentale à l’application des technologies sur un marché accessible : Horizon Europe constitue le cadre de recherche quand « Europe numérique » cible la mise sur le marché au travers d’un écosystème d’entreprises[68]. Ce dernier programme se concentre sur le financement de projets de mise en application de technologies de calcul à haute performance, d’intelligence artificielle, de cybersécurité et d’interopérabilité[69].
L’Europe est-elle en train de se réveiller ? Il est vrai qu’au travers de ces programmes de financement de nouvelles opportunités technologiques peuvent émerger. Il y a une volonté de stimuler un écosystème de laboratoire à l’échelle de l’Europe, dont certains produisent des socles technologiques permettant de bâtir des standards européens. C’est un pari qui peut néanmoins paraître risqué, car les financements sont distribués dans une multitude de projets qui entrent en concurrence les uns avec les autres. Cette approche peut être stimulante dans la phase de recherche, mais elle ne repose que sur un budget restreint qui laissera probablement de nombreuses réalisations aux portes des laboratoires. Par ailleurs, un petit comparatif des échelles de valeur nous permet une mise en contexte très concrète des enjeux budgétaires. Quand la totalité du programme « Europe numérique » dispose d’un budget de 6,8 milliards d’euros, soit 800 millions d’euros par an d’ici à 2027 pour toutes les technologies numériques, le gouvernement américain investit la même somme pour la seule informatique quantique[70]. Dans le secteur du numérique, le programme européen représente à peine 1,8 % des investissements d’une entreprise comme Amazon en 2018, qui augmente chaque année son budget de R&D. La totalité du programme « Horizon Europe », qui comprend le financement de tous les secteurs technologiques innovants, est de 13,6 milliard d’euros par an soit l’équivalent du budget de R&D du seul groupe Alphabet (13,3 milliard d’euros).
Pour se faire une idée des différences de budgets en recherche et développement dans le secteur du numérique, on peut également faire un comparatif du financement annuel des Big techs vis-à-vis d’entreprises européennes.
Figure 10. Comparatifs du budget dédié à la recherche et développement d’entreprises importantes du secteur numérique. Source : combinaison de données issues de The Global Innovation 1000 study PwC .
Ainsi, si les investissements prévus par la Commission européenne ont pour objectif de concurrencer les Big techs américaines ou chinoises sur des périmètres d’action aussi stratégiques que la santé ou le climat, alors les budgets alloués sont bien inférieurs à ce qu’on pourrait attendre dans le contexte actuel. Les ambitions communiquées par la Commission d’une Europe numérique forte ne semblent donc pas prendre en compte sérieusement l’enjeu d’autonomie stratégique.
D’autres éléments viennent appuyer ce constat. En effet, dans les cinq secteurs ciblés – les clusters – les programmes n’évoquent pas l’écosystème technique existant et le poids des dépendances aux acteurs dominants. Dans la proposition de règlement du Parlement européen et du Conseil établissant le programme « Pour une Europe numérique », mais aussi dans une majorité des textes concernant le cadre financier pluriannuel 2021-2027, l’objectif premier reste la transformation numérique bien plus que l’autonomie stratégique[71]. Il n’est pas fait mention du poids des dépendances numériques sur le pouvoir d’influence des acteurs économiques, ni des contraintes auxquelles pourraient être soumises les parties prenantes pour se soustraire de ces dépendances. Dans la partie 5 concernant l’interopérabilité, qui pourrait être l’occasion d’établir des standards techniques européens, l’objectif est d’abord de mettre à disposition du terrain les outils numériques et les données. C’est le cas notamment dans la santé, où la course aux données de santé par les acteurs économiques ne semble pas poser problème aux législateurs européens tant que le patient peut y accéder librement, et qui propose même d’accélérer la mise en place des outils permettant ce recueil et leur traitement automatique[72]. Or, dans les faits, et à l’instar du Health data hub français, il est probable que cette accélération bénéficie plus aux Big techs, qui jouent le rôle de technologie socle, qu’aux acteurs technologiques européens.
En mai 2021, vingt-sept entreprises européennes ont publié un rapport[73] adressé à Thierry Breton portant sur le chiffrage d’un budget dédié à trois grand chantiers qualifiés de prioritaires d’ici à 2025 : la construction et le renforcement des infrastructures (14 milliards d’euros), un chantier transversal comprenant les enjeux d’énergie, d’interopérabilité et de cybersécurité (2,7 milliards d’euros) et le développement de services et plateformes liés (2,3 milliards d’euros).
Figure 11. Extrait du rapport « European industrial technology roadmap for the next generation cloud-edge offering », mai 2021, p.73.
Ce chiffrage met en avant la nécessité de renforcer les infrastructures socles. Celles-ci représentent les trois quarts du budget total de 19 milliards d’euros. Ces socles devraient alors servir de base solide au développement des services associés présentant une alternative aux solutions dominantes, condition d’une souveraineté européenne.
2. Deux exemples de projets au service de la souveraineté numérique européenne : Gaia-X et le programme spatial européen
Fin 2020, la Commission européenne a confié à un consortium d’entreprises un projet d’étude de faisabilité d’une constellation satellitaire européenne indépendante. Le consortium est composé des entreprises Arianespace, Airbus, Hispasat, OHB, Eutelsat, SES, Telespazio, Thales Alenia Space et Orange[74]. Si les acteurs des télécoms sont présents dans ce projet, c’est que cette question satellitaire, comme nous l’avons vu, touche le développement des technologies de réseaux : la 5G bénéficiera grandement de ces balises satellites à orbite basse. Mais le spatial est aujourd’hui également lié au cyber : des logiciels intégrés aux satellites aux traitements automatiques des images qu’ils produisent, les acteurs du numérique ont une place essentielle dans l’économie du spatial[75].
Figure 12. « L’architecture et l’application de l’informatique de périphérie par satellite. ». Source : Satellite Edge Computing for the Internet of Things in Aerospace, par Yuxuan Wang, Jun Yang, Xiye Guo, and Zhi Qu.
Si un projet européen de maillage satellitaire à orbite basse garantirait une indépendance infrastructurelle et une position stratégique à l’avenir, ce projet part néanmoins avec un handicap conséquent dont il s’agirait de se prémunir.
En effet, il ne repose pas sur une industrie du cloud et du traitement de données aussi développée que celle de la concurrence. Or, l’industrie du spatial demande des financements importants sur des chantiers longs, avec un retour sur investissement de plus en plus lié à l’usage massif des données et leur traitement automatique par la couche logicielle. Sans acteurs européens du cloud en capacité de répondre aux exigences du secteur, il est possible que le maillage satellitaire européen devienne à son tour dépendant des géants du cloud, qu’ils soient américains ou chinois, participant au cercle vicieux d’un développement exponentiel de ces acteurs. Ce projet, pour permettre une certaine indépendance et laisser une chance à l’autonomie stratégique de l’Europe dans ce domaine, devrait s’accompagner d’un chantier dense de renforcement de l’industrie du cloud européen. Cela nécessite un investissement au long cours, sans objectif restrictif de rentabilité à moyen terme.
Le développement d’une infrastructure cloud européenne est justement au cœur du projet Gaia-X, porté depuis 2019 par vingt-deux entreprises franco-allemandes. Mais le projet Gaia-X n’est pas un projet de cloud européen dont l’ambition serait de créer un géant européen à même de concurrencer les acteurs dominants du cloud. Les récentes décisions prises au sein du collectif d’entreprises joueraient même un rôle contraire à cette ambition.
L’annonce est de créer les conditions d’une infrastructure fédérée visant à promouvoir des standards européens. Un label Gaia-X, accordé aux fournisseurs de services qui respecteront les normes établies au sein de Gaia-X et la régulation européenne, a été présenté au départ comme une occasion de mettre en avant des acteurs européens du cloud aujourd’hui peu connus. L’objectif annoncé à moyen et long terme est de combiner l’exigence de la norme à une infrastructure conçue en open source qui permettrait de connecter les différents hubs nationaux de données. Une approche sectorielle, au travers des « data spaces »[76] inspirés de la stratégie européenne sur les données, annonce une approche différenciée selon la typologie de données : une donnée appartenant à un espace de données « santé » devrait a priori dépendre de standards différents de ceux dédiés à un espace de données « économie circulaire ». Cette approche semble miser sur la maîtrise de l’allocation, du transfert et du traitement des données dans des secteurs clés, afin d’éviter que des données stratégiques européennes ne se retrouvent sous juridiction extraterritoriale.
Le projet a été critiqué, notamment suite à son intégration des géants américains et chinois en tant que membres du projet. Huawei, Microsoft, Alibaba, Google, Haier, Salesforce et Amazon Web Services peuvent ainsi participer aux discussions et observer la marche du projet européen. Dans les faits, il peut être utile d’avoir autour de la table tous les acteurs du cloud pour évoquer les spécificités européennes. Mais ces acteurs ont, dans les faits et par le biais des dépendances à leurs standards, une influence trop importante sur le projet.
En effet, l’exigence d’interopérabilité se confronte à la réalité des écosystèmes techniques existants. À l’heure actuelle, une interopérabilité effective repose sur les acteurs dominants, et notamment sur l’infrastructure d’AWS et d’Azure, puisque les acteurs du cloud européens sont majoritairement tributaires de leurs standards.
Figure 13. Extrait du tableau des standards utilisés par les acteurs du projets Gaia-X. Source : post twitter de Jean-Paul Smets “Voici le qui utilise quoi” du 7 juin 2021.
Le label Gaia-X est présenté comme un facteur clé de succès du projet, mais celui-ci fonctionnera finalement de la même manière que le récent label français Cloud de confiance, qui autorise à un acteur labellisé de sous-traiter une partie de son infrastructure logicielle, donc de créer des passerelles, à des géants américains du cloud (II.c).
Une interopérabilité entre les acteurs cloud européens, qui ne dépendrait pas des acteurs dominants, nécessiterait au préalable la création de standards techniques européens et une véritable politique d’encouragement et de financement dédiée à l’adoption de ces standards. Or, ces standards ne sont pas encore clairement définis, et encore moins massivement adoptés. Cela constitue un frein considérable à la bonne marche d’un tel projet, qui devient de fait un nouvel accélérateur pour les Big techs.
Ces deux chantiers sont représentatifs des difficultés que rencontrent les entreprises européennes, qui reposent sur des financements bien inférieurs à ceux des acteurs dominants. Dans une approche stratégique, l’Europe pourrait pourtant lancer une politique industrielle beaucoup plus ambitieuse, comprenant des volets techniques – le développement et une transition vers des standards européens – mais aussi juridiques et normatifs afin d’encourager, voire de favoriser, ses acteurs économiques.
Le droit du numérique pourrait jouer un rôle moteur dans ce sens, en œuvrant en faveur des acteurs européens.
IV. Droit du numérique européen : l’individu face aux Big techs
Le droit du numérique européen est souvent considéré comme exemplaire. Pourtant, il se révèle aujourd’hui bien faible face aux enjeux de dépendances. Dans certains cas, il est même conciliant et participe au développement des produits numériques vendus en Europe par les Big techs.
1. Les faiblesses du droit du numérique européen : individualisation du droit et seconde vie des données
Le Règlement général de protection des données (RGPD) est un texte qui a eu beaucoup de difficulté à voir le jour. Il a été au cœur des débats sur la protection des données personnelles depuis 2012, et n’a été mis en application que six ans plus tard, en mai 2018. Il pose un cadre de protection des données numériques personnelles et impose des critères de transparence aux entreprises qui commercialisent un produit numérique en Europe. Ainsi, le recueil des données personnelles est conditionné à un impératif informationnel auquel s’ajoute le consentement explicite de l’utilisateur. À partir du moment où l’utilisateur européen est informé des finalités du recueil de données, et qu’il donne son autorisation, l’entreprise est conforme au RGPD. Ce qui est évalué par le RGPD est alors l’interface des produits numériques, c’est-à-dire ce qui est visible à l’écran, et ce que l’entreprise communique sur cet écran à l’utilisateur de ses produits. À aucun moment le législateur n’a accès au code informatique du produit, ni n’a connaissance des transferts d’informations une fois les données collectées. Bien que le RGPD soit souvent cité comme une évolution en droit du numérique, il est important de comprendre ses faiblesses.
La première faiblesse, structurante, est le fait de faire reposer la responsabilité sur l’utilisateur des services numériques. La règle de consentement, telle qu’elle est appliquée, pourrait être considérée comme une individualisation du droit puisque l’autorisation de transfert de données est le résultat d’une contractualisation individuelle entre l’utilisateur et l’entreprise. La responsabilité se déplace ainsi du régulateur à l’individu. On considère ainsi que l’utilisateur peut porter la charge de lire les conditions d’utilisation d’un service numérique, qu’il en comprend tous les aspects, et qu’il peut ainsi faire un choix éclairé. Or, selon une étude réalisée par deux universitaires américains en 2016 auprès de 543 sondés[77], 74 % des utilisateurs ne lisent pas les conditions générales d’utilisations avant de les accepter, et la majorité de ceux qui ouvrent les contrats survolent le contenu.
Par ailleurs, les informations transmises aux utilisateurs ne précisent pas toujours les usages qui sont faits des données une fois celles-ci collectées. En effet, lorsque la société de service numérique, comme Google ou Amazon, énonce que les données collectées peuvent être utilisées afin d’améliorer leur produit, les applications réelles peuvent être très variées. Cette « seconde vie des données » est permise par la législation européenne, qui stipule que si l’entreprise ou l’organisation a collecté des données « sur la base d’un intérêt légitime, d’un contrat ou d’intérêts vitaux » , celles-ci peuvent être utilisées à une autre fin si la « nouvelle finalité » est compatible avec celle définie initialement[78]. Pour illustrer ce cas, la Commission européenne évoque l’exemple d’une banque qui aurait collecté des données personnelles sur son client au moment de la souscription à une offre. La banque n’est pas autorisée à partager ces données personnelles avec un tiers, comme une assurance, afin de proposer une offre commerciale impliquant une autre entreprise. En revanche, elle est autorisée à réutiliser les données personnelles de ses clients pour vérifier s’ils sont éligibles à un meilleur type de prêt ou de plan d’épargne, puis leur faire une offre commerciale adaptée. Le régulateur européen considère dans ce cas que les nouvelles finalités sont compatibles avec les finalités initiales[79].
Les notions d’« intérêt légitime » et de « finalité » sont ici extrêmement larges, et laissent une place considérable à l’interprétation. En effet, dans le cas des plateformes où les comptes clients sont associés à plusieurs fonctionnalités, l’amélioration des services peut être considérée, selon les critères de la Commission, comme une finalité compatible. La réutilisation des données peut alors recouvrir des analyses statistiques, du profilage algorithmique, qui vont générer des données d’analyse utiles pour le positionnement de l’entreprise et son développement. Cette seconde vie des données est renforcée par une consigne permissive : la Commission européenne précise que dans le cadre de la recherche scientifique ou statistique, la réutilisation des données n’est même pas soumise à cette compatibilité de finalités.
Figure 14. Extrait de la Déclaration de confidentialité de Google Cloud au 12 mai 2021.
2. Pas d’accès au code, pas de contrôle
Enfin, il n’est pas possible de savoir si les règles sont vraiment respectées en coulisse : le RGPD ne s’intéresse pas au code informatique des produits qu’il régule, puisqu’il n’a accès qu’à l’interface du client. Le droit européen en matière de numérique évolue dans un contexte où le législateur n’a aucune possibilité de contrôle sur le code informatique, soit sur la couche logicielle (ou couche logique). Il peut éventuellement demander à ce que l’entreprise stocke les données (couche des données) sur le territoire européen, mais cela ne garantit aucunement que celles-ci ne seront pas transmises hors des frontières.
Il y a récemment une prise de conscience, ou un aveu à demi-mot, de l’absence des capacités de contrôle en matière de droit du numérique européen. C’est même l’un des sujets traités dans le Digital Services Act en cours de discussion à la Commission européenne. Les articles 54 et 57 stipulent ainsi que la Commission pourrait se rendre dans les locaux des géants du numérique pour effectuer des contrôles sur le code informatique, et qu’ils pourraient être assistés d’auditeurs ou d’experts[80]. Le texte, qui entre tout juste dans le processus parlementaire, pose déjà de nombreuses questions, au premier rang desquelles celle de savoir si le législateur européen aura les leviers d’influence suffisants face au gouvernement américain pour amener les acteurs du numérique à rendre visible leur « boîte noire ». Le droit du numérique européen ne dispose pas, pour le moment, de levier fort pour contraindre les géants du numérique à se plier à ce genre de demandes.
Le législateur va également se heurter à un conflits de droits : les articles 54 et 57 supposent des dispositions contraires à certains principes portés par les droits des propriétés industrielle et intellectuelle. Le code est le produit de ces entreprises, le rendre visible reviendrait à prendre le risque de dévoiler des secrets de fabrication. Pour répondre aux régulateurs européens, elles proposeront donc probablement de créer des logs[81] visibles dans les espaces administrateurs des interfaces utilisateurs. C’est déjà le cas dans la plateforme Google Anthos. Mais ces logs peuvent tout à fait être partiels et donner une apparence de transparence, qui n’ajoutera en réalité qu’une petite fenêtre d’observation sur les processus en cours au cœur du produit.
Enfin, la porte du laboratoire reste close : même si nous avions accès au code des produits en ligne, il resterait encore de nombreuses zones d’ombre sur l’usage des données en phase de recherche et développement. Cette problématique de la boîte noire constitue un défi permanent pour le législateur, dont les beaux projets de régulation sont réduits à peau de chagrin face aux réalités techniques.
3. La puissance des lobbies du numérique : plus fort que la filière des énergies fossiles
Sur les dix dernières années, les lobbies des géants du numérique ont accentué leur présence auprès de la Commission européenne (CE). De 2014 à 2018, le nombre de contacts avec la CE a presque doublé, dépassant les acteurs influents traditionnels issus de la filière des énergies fossiles. Google et Microsoft sont les entreprises qui investissent le plus dans le lobbying, avec une nette distinction de Google qui atteint aujourd’hui 8 millions d’euros et 240 rendez-vous officiels de « haut niveau » depuis 2014[82].
Figure 15. Les huit entreprises qui investissent le plus en lobbying à la Commission européenne.
Ces chiffres ne prennent pas en compte l’ensemble des activités de lobbying, distribuées au sein d’une multitude de cabinets de conseil présents à l’Union européenne, mais uniquement ce que les entreprises déclarent dans le cadre du Registre de transparence de l’Union européenne.
Mais ils nous permettent d’observer que les lobbies des géants du numérique ont été de plus en plus actifs ces dernières années, avec Google en tête, suivi de près par Microsoft et Facebook. Huawei Technologies est également très présent, avec un budget moins important de 2,835 millions d’euros. Ces lobbies européens sont doublés de lobbies nationaux, enregistrés en France par la Haute autorité pour la transparence de la vie publique.
Les actions de lobbyisme suivent des stratégies offensives. En octobre 2020, un rapport interne à l’entreprise Google, intitulé « DSA 60-Days Plan Update », a notamment été dévoilé par la presse française[83]. Celui-ci montre les volontés stratégiques de l’entreprise de contrer les tentatives de régulations européennes autour du Digital Services Act (DSA) et du Digital Market Act (DMA). Dans ce but, le rapport décrit une stratégie d’influence et de communication de deux mois, visant à « réinitialiser le discours politique » pour réduire des « contraintes déraisonnables » qui pourraient être imposées en Europe. Le document interne met à nu les tactiques que les grandes entreprises technologiques emploient en coulisse pour manipuler le discours public et influencer les législateurs, par le recours aux services de l’État américain comme les bureaux de représentation du commerce ou les ambassades, ou en assurant un climat de discorde entre les différents services de la Commission européenne. Les think tanks ne sont pas épargnés par ces stratégies, et ils sont régulièrement conviés à des séries de webinaires où des commerciaux issus des entreprises numériques présentent leurs produits sous des aspects vertueux. Par exemple, courant octobre 2020 des cabinets de lobbying tels que Commstrat ont réalisé un travail de communication auprès des think tanks les plus influents en les invitant à des séries de webinaires sur des thématiques telles que la souveraineté numérique, la régulation ex ante, avec pour invités prioritaires les agents commerciaux de Google.
V. Bâtir une stratégie cohérente autour des choix technologiques pour minimiser les dépendances
La concentration des dépendances technologiques s’accélère, et nous sommes entrés dans une phase critique avec le développement de nouveaux réseaux de communication où l’informatique tient un rôle majeur. Les États-Unis eux-mêmes, nous le verrons dans le second volet de cette série de notes, peinent à trouver une réponse aux pouvoirs acquis par les Big techs. En Europe, et à l’échelle nationale, nous avons un véritable défi à relever pour réduire nos dépendances actuelles et prévenir les dépendances futures. Or, nous l’avons vu, la politique actuelle et les récentes décisions prises en France, notamment le label « Cloud de confiance », et en Europe, au travers du Cadre financier pluriannuel 2021-2027, ne sont pas à la hauteur des enjeux.
Ces enjeux ne sont pas uniquement d’ordre technologique ou économique. Ils requièrent une analyse qui va au-delà du champ des disciplines numériques, dans une approche géopolitique des pouvoirs qui se développent autour des infrastructures socles, qu’elles soient logicielles ou matérielles. Au regard des impératifs stratégiques, l’activité numérique doit être clairement définie sur une échelle précise des risques encourus (1). La compréhension, la mesure et l’affaiblissement des dépendances peuvent participer au développement des alternatives (2). Cela doit participer à une meilleure formation des décideurs, ainsi qu’à la possibilité, pour le citoyen, de s’emparer de ces sujets en apparence complexes (3).
1. Définir l’objet géopolitique dans le domaine du numérique
Tous les outils numériques ont-ils une valeur stratégique ? Toutes les données se valent-elles ? Afin d’aiguiller les choix technologiques et définir une stratégie de développement cohérente, il est important de rendre disponible une grille de lecture claire sur ce qui peut être considéré comme outil ou donnée ayant une valeur stratégique pour une société, une entreprise ou encore un État. Cette grille de lecture ne doit pas s’appliquer qu’aux opérateurs d’importance vitale (OIV), aux opérateurs de services essentiels (OSE), ni aux seules données personnelles qualifiées de « sensibles »[84]. L’activité numérique concerne aujourd’hui tous les moments de la vie personnelle et professionnelle, et doit donc être définie de manière transversale. Ces grilles de lecture pourront ainsi servir de base à un dispositif de priorisation des chantiers à engager dans la conception d’outils numériques nationaux et européens. Les notions même de souveraineté ou d’autonomie stratégique en matière de numérique pourront ainsi être mieux définies.
Proposition 1 : Rendre disponibles les définitions précises de ce qui constitue une donnée numérique sensible et une donnée à valeur stratégique par secteur d’activité et d’usage. Cela doit s’accompagner d’un examen approfondi des usages numériques d’une part, et d’une analyse de l’utilisation des données numériques d’autre part.
Proposition 2 : Rendre disponible une classification des outils numériques en fonction de leur importance dans l’activité numérique quotidienne, personnelle et professionnelle, et leur impact stratégique potentiel. Cette classification doit prendre en compte les principes d’une gestion des risques sur le court, le moyen et le long terme.
La définition de ces grilles de lecture ne devrait pas rester le seul souci des entreprises du numérique ou de l’État, mais bien être l’occasion d’une consultation ouverte à l’ensemble de la société civile.
2. Diagnostiquer les dépendances pour mieux s’en prémunir
Bien que nous percevions, en surface, l’omniprésence de certains acteurs techniques comme les Big techs, les dépendances numériques sont aujourd’hui mal identifiées. Afin de mieux comprendre les enjeux de la mise en dépendance dans les technologies numériques, il apparaît essentiel de les analyser et de les cartographier. De ce point de vue, le ministère allemand de l’Intérieur avait fait en 2019 une tentative intéressante de liste des dépendances à Microsoft au sein de la fonction publique (Figure 3). Rendre ainsi visible les dépendances apporterait des outils de compréhension et d’analyse des risques associés. Ces cartographies permettraient également de créer des outils d’aide à la décision pour les responsables de projet numérique n’étant pas familiers avec les impacts géopolitiques des choix technologiques. Enfin, elles seraient des supports pédagogiques très utiles à la formation aux enjeux techniques, sociaux, économiques et politiques inhérents aux choix technologiques.
Proposition 3 : Mettre en place une procédure de cartographie des dépendances numériques des entreprises et administrations.
3. Ouvrir les choix technologiques aux citoyens
En parallèle, il apparaît nécessaire de former le citoyen aux enjeux géopolitiques du numérique. Cela commence par les formations des métiers numériques et des décideurs, en intégrant dans les programmes des séminaires abordant les dimensions politiques et sociales du choix technologique. Le technicien, tout comme le décideur, doit pouvoir être formé à évaluer les outils qu’il utilise et qu’il conçoit. La proposition d’un TOEIC du cloud, présentée par la Mission Numérique des Grands Groupes le 25 mai 2021[85], peut être intéressante si elle inclut un volet dédiée à la gestion des risques liés aux dépendances. Mais cela n’exclut pas, bien au contraire, une nécessaire insertion de ces prérequis au sein des programmes de formation.
Proposition 4 : Inclure dans le programme de toutes les formations de développement informatique et des métiers du numérique en général les dimensions politiques, géopolitiques et sociales du choix technologique.
Proposition 5 : Rendre obligatoire en entreprise une mise à niveau des connaissances techniques et des enjeux géopolitiques liés aux choix technologiques pour tous les postes liés à la gestion des services numériques, et notamment les postes à responsabilité amenés à faire des choix de technologies numériques. Cela pourrait prendre la forme, comme le propose la Mission numérique des grands groupes, d’un TOEIC du cloud qui inclurait un volet dédié à la gestion des risques liés aux dépendances.
Enfin, il apparaît nécessaire de répondre à un état d’esprit particulier de certains décideurs, qui considèrent que les citoyens ne peuvent « remettre en cause les choix technologiques »[86]. Il est évident, au regard des conséquences réelles que ces choix entraînent sur les sociétés, que le citoyen doit s’approprier ces questions. Il n’appartient pas à un gouvernement, et parmi celui-ci à une petite minorité de décideurs, de faire des choix isolés qui peuvent impacter l’ensemble de la société.
Le référendum, quelle que soit sa forme, doit être l’occasion d’informer, de mettre en lumière les différents courants de pensées, et entraîner dans cet esprit des débats au sein de la société civile. Cela est particulièrement pertinent pour des sujets comme la plateforme des données de santé des Français (Health Data Hub) et la 5G.
Proposition 6 : Pour tous les choix technologiques qui peuvent avoir un impact sociétal, parmi lesquels la santé ou la sécurité, il apparaît nécessaire d’ouvrir les questions accompagnant ces choix au référendum. Chacun de ces référendums doit être l’occasion d’un débat national d’une durée variable, accompagné d’une information riche et diversifiée sur le sujet traité qui donne sa valeur à la consultation du citoyen. Cela est particulièrement pertinent pour des sujets comme la plateforme des données de santé des français (Health Data Hub) et la 5G.
Cela pourrait se faire, aussi, sur le modèle de démocratie délibérative que propose Benjamin Morel dans la proposition 38 d’une nouvelle République des citoyens[87]. En revanche, cette démarche implique de pouvoir convoquer un référendum d’initiative populaire pour des sujets essentiels qui ne font pas uniquement l’objet d’un projet de loi, puisque les sujets technologiques sont rarement inscrits dans la loi, mais font plutôt l’objet de missions et d’annonces du gouvernement sur lesquelles il est possible d’agir avant la mise en place de choix technologiques majeurs.
Enfin, un élargissement du principe de précaution sur les questions relatives au numérique, tel que défendu par les auteurs Yaël Benayoun et Irénée Regnauld, pourrait également participer à l’enrichissement des débats sur le choix technologique.
VI. Engager une transition technologique dans le secteur du numérique
Nous l’avons vu, renforcer la maîtrise des technologies numériques est aujourd’hui nécessaire pour protéger les sociétés, les États et les individus. Pour cela, nous proposons d’abord un renforcement des budgets nationaux et européens (1), partant du constat que seul un soutien fort des institutions permettra, à l’instar de nos puissants voisins, de soutenir les acteurs économiques et sociaux face aux enjeux des dépendances. Ce soutien des États doit d’abord participer au développement des outils les plus utilisés au quotidien dans la vie professionnelle et personnelle (2), et permettre aux acteurs de la recherche comme des entreprises de supporter le risque lié à la mise en oeuvre de nouvelles technologies utiles. Une transition technologique, dans le sens d’une migration des socles et des standards de la couche logique, nécessitera également un accompagnement des organisations (3).
Enfin, les normes actuelles tendant à l’accélération de la mise en dépendance aux acteurs dominants, il apparait nécessaire de revenir sur l’effet d’accélérateur de certains choix politiques récents (4) et d’améliorer, après quelques années de recul sur le RGPD, certains aspects majeurs du droit du numérique européen (5).
1. Renforcer la politique industrielle en matière de numérique pour protéger les sociétés européennes
Un tel projet ne peut aboutir sans le soutien financier des États à l’écosystème technologique, composé aujourd’hui des acteurs des télécommunications, d’entreprises européennes spécialisées dans les technologies de cloud et du secteur de l’informatique de réseau. De ce point de vue, l’Europe s’est imposé un cadre limité, laissant perdurer une timidité budgétaire que n’ont pas les États-Unis ou la Chine en matière de financement des technologies : l’article 107 du Traité sur le fonctionnement de l’Union européenne (TFUE) interdit les aides d’État qui auraient vocation à « fausser la concurrence ». Au contraire de l’Europe, les États-Unis et la Chine financent massivement leurs acteurs technologiques. C’est le cas de l’industrie du spatial, qui aux États-Unis bénéficie des subventions de l’armée, de la National Aeronautics and Space Administration (NASA, l’agence fédérale en charge du programme spatial civil) et de la Federal Communications Commission (FCC, commission fédérale des communications) avec son programme de réduction de la fracture numérique aux États-Unis.
Pourtant, le TFUE prévoit des dérogations aux limites budgétaires imposées aux États, qui leur permettraient d’activer des programmes de financement indépendants de la Commission européenne. Dans ce même article 107, le point 3.b dispose en effet que les aides d’États peuvent être activées si celles-ci sont « destinées à promouvoir la réalisation d’un projet important d’intérêt européen commun ou à remédier à une perturbation grave de l’économie d’un État membre»[88]. Il n’est pas difficile, au regard de l’analyse des dépendances, de l’importance des technologies numériques et de la capacité déjà éprouvée de collaboration entre les acteurs européens, de considérer les projets numériques comme étant d’« intérêt européen commun ». Il ne tient donc qu’aux États d’utiliser ce cadre directement applicable car déjà défini dans les textes mêmes du TFUE.
Les projets nationaux et les projets européens peuvent se renforcer mutuellement, et l’Union européenne peut être utilisée comme un moteur plutôt qu’un frein. Cela suppose que les États utilisent les cadres définis à leur avantage.
Proposition 7 : Utiliser les dérogations prévues dans les articles 107 et 108 du Traité sur le fonctionnement de l’Union européenne (TFUE), autorisant les aides d’État dans le cadre d’un « projet important d’intérêt européen commun ».
Ces financements nationaux devraient se formuler en cohérence avec l’effort européen prévu dans les différents programmes portés par la Commission européenne dans le cadre financier pluriannuel 2021-2027. Le budget étant néanmoins insuffisant, celui-ci devrait être renforcé pour répondre aux attentes du secteur.
Proposition 8 : Renforcer le cadre financier pluriannuel 2021-2027 de la Commission européenne, en prenant en considération le chiffrage de 19 milliards d’euros énoncé dans le rapport « European industrial technology roadmap for the next generation cloud-edge offering »[89] pour la seule période 2021-2025. Les trois quarts du budget étant dédiés aux infrastructures socles, celles-ci devraient alors servir de base à des services logiciels européens et indépendants.
2. Améliorer les alternatives aux outils les plus utilisés au quotidien
Les propositions 1, 2 et 3 permettront d’avoir une vision plus claire des outils et infrastructures sur lesquels il est important de concentrer les efforts. Un tableau de priorisation pourra ainsi être établi, avec des enjeux à court, moyen et long terme.
Suivant ce cadre, il est possible que les chantiers prioritaires ne concernent pas la concurrence avec les Big techs dans certains domaines comme l’« intelligence artificielle ». Il s’agirait bien plutôt de se concentrer sur les outils les plus utilisés au quotidien : les interfaces mail, les outils de communication dédiés aux entreprises, aux administrations ou aux écoles, ou encore les espaces de stockage partagés sans logique de cloud hyperscale.
Les capacités de financement, libérées en première partie au travers des propositions 7 et 8, devraient ainsi pouvoir cibler les socles numériques d’usage massif.
Nous savons faire, nous avons les compétences, les ressources humaines et matérielles pour réaliser ce projet. Finalement, ce qu’il nous manque d’ergonomie peut être aisément corrigé, sans chercher à innover mais bien plutôt en s’inspirant de ce qui fonctionne déjà ailleurs. Car la recherche d’une meilleure expérience utilisateur n’est finalement qu’un travail collectif : les interfaces que nous qualifions d’ergonomiques sont celles qui ont bénéficiés d’éléments de R&D venant de notre adoption massive à ces outils.
Proposition 9 : Lancer les chantiers prioritaires d’amélioration et/ou création d’outils numériques indépendants, en ciblant les usages numériques les plus courants en entreprise, en administration et dans la recherche (cf. tableau de priorisation issu des propositions 1, 2 et 3).
Enfin, des politiques incitatives au rapprochement d’acteurs souverains nationaux ou européens pourraient être utiles afin de répondre aux besoins immédiats des entreprises vis-à-vis des outils dédiés au travail collaboratif, notamment. En France, cela pourrait s’adresser aux entreprises comme 3DS Outscale, OVH ou Orange, qui ont déjà une présence importante et pourraient porter en collectif une offre réellement souveraine dédiée aux entreprises.
Proposition 10 : Mettre en place des politiques incitatives au rapprochement d’acteurs souverains nationaux ou européens pour des services dédiés aux entreprises.
3. Accompagner la transition technologique pour soutenir l’autonomie stratégique et les acteurs européens
Une « aide à la transition technologique » devrait permettre d’accompagner les entreprises dans la migration vers des alternatives européennes dans les domaines suivants : les outils numériques dédiés à l’entreprise, à l’école et à l’administration ; l’hébergement des données et les services cloud associés.
En parallèle, cette migration vers des acteurs européens devrait être facilitée par le renforcement des équipes internes des entreprises proposant ces solutions alternatives. Par exemple, une entreprise de cloud français devrait être en capacité de prendre en charge ses nouveaux clients lors de leur période de migration d’un géant du numérique vers leurs services. La proposition 7 portant sur les aides d’État peut être utilisée dans ce sens.
Proposition 11 : Accompagner les entreprises et administrations dans leur projet de transition technologique par une subvention dédiée au changement d’outils numériques, de solutions d’hébergement et de services cloud, afin d’engager des migrations vers des acteurs nationaux ou européens.
Proposition 12 : Créer les conditions favorables d’une prise en charge des migrations technologiques par les acteurs européens, en finançant les infrastructures et les ressources humaines nécessaires à la prise en charge de leurs nouveaux clients.
Cet accompagnement doit se faire en parallèle d’une campagne de promotion des solutions européennes, portant à la connaissance du public l’existence d’offres peu connues aujourd’hui. Par ailleurs, l’adoption ou la migration d’un service numérique doit être facilitée pour le client. Des fonctionnalités de souscription ou d’aide à la migration s’inspirant des meilleures pratiques en termes d’expérience utilisateur pourraient être développées collectivement par les entreprises du secteur pour faciliter la transition.
Proposition 13 : Améliorer l’accès à l’offre européenne en portant à la connaissance du public les solutions alternatives.
Proposition 14 : Inciter les entreprises du secteur à créer un outil collectif d’aide à la migration s’inspirant des meilleures pratiques en termes d’expérience utilisateur.
4. Annuler l’effet d’accélérateur engagé par des politiques conciliantes vis-à-vis des Big techs
Nous revenons ici sur des dispositifs actuels qui peuvent être considérés comme des « accélérateurs » de l’adoption aux services numériques proposés par les Big techs : le catalogue de l’UGAP et le récent label « Cloud de confiance ».
L’UGAP fait sur son site internet la promotion des offres de Microsoft et d’Oracle comme logiciels dédiés aux administrations. Pourtant, cet organisme a la capacité de participer à un effort de transition technologique plutôt que d’encourager le développement des Big techs dans le secteur administratif. Il pourrait ainsi retirer de son catalogue les produits des géants du numérique afin de freiner leur développement. En parallèle, il pourrait également profiter de sa position pour faire la promotion de solutions alternatives françaises et européennes, voire participer à leur amélioration continue en recueillant les retours des utilisateurs.
Proposition 15 : L’Union des groupements d’achats publics (UGAP) peut participer à un ré-équilibrage des choix technologiques en retirant de son catalogue les propositions des Big techs, et en cessant d’en faire la promotion sur son site internet. L’UGAP peut également participer à la mise en avant, sur son site internet et via les réseaux internes aux administrations, des propositions nationales et européennes.
Le label « Cloud de confiance » ne devrait pas être concédé aux offres commerciales incluant des partenariats avec les offres cloud des Big techs, qu’il s’agisse des infrastructures physiques ou logicielles. Le critère d’autonomie stratégique devrait ainsi être renforcé, afin d’encourager des initiatives qui rassemblent un plus haut niveau d’exigence.
Par ailleurs, la certification SecNumCloud ne devrait pas permettre l’intégration d’acteurs techniques liés à des systèmes informatiques géants. Le processus de certification, et notamment le cadre précis des « Relations avec les tiers »[90], devrait pouvoir être vérifié par les clients d’un service numérique certifié, ou en cours de certification.
Proposition 16 : Modifier le cadre du label « Cloud de confiance », et dans le même temps améliorer le SecNumCloud, en renforçant l’exigence d’autonomie stratégique : le cadre de la certification ne devrait pas laisser de passerelles ouvertes aux systèmes informatiques géants des plateformes de cloud.
Proposition 17 : Accompagner la présente certification SecNumCloud d’une obligation de publication des éléments relatifs au point 15 du référentiel portant sur les « Relations avec les tiers ».
Enfin, les entreprises ayant souscrit à un partenariat stratégique auprès d’une Big tech devraient permettre à leurs clients de choisir auprès de plusieurs acteurs partenaires, plutôt que d’imposer une seule solution technique. Dans ce but, une directive devrait être établie, qui imposerait à ces entreprises de laisser à leurs clients la possibilité de choisir. Cette proposition est issue d’une observation de Laurent Tréluyer aux Assises de la souveraineté numérique, sur l’impossibilité actuelle du choix des partenaires[91].
Proposition 18 : Assurer au client final la possibilité du choix des partenaires, plutôt que d’imposer un choix unique de partenariat auprès des Big techs.
5. Améliorer la réglementation pour mieux protéger les intérêts européens
Nous l’avons vu (IV,a), le RGPD autorise l’usage de données ayant pour but une amélioration des services. Cela laisse une grande marge d’interprétation, et rend possible une seconde vie des données en recherche et développement.
Proposition 19 : Préciser l’article 6 de la Réglementation générale de protection des données (RGPD)[92] afin de ne plus rendre possible le traitement compatible avec les finalités initiales, qui laisse une marge trop grande d’interprétation dans l’application concrète du droit par les plateformes.
Proposition 20 : Enrichir la réglementation française et européenne d’une obligation de publication de listes plus précises des usages de toutes les données collectées, en incluant le traitement des données en phase de recherche et développement. Cette liste doit servir, avant tout, un objectif pédagogique.
Proposition 21 : Rendre obligatoire, via une page dédiée sur les sites internet, la publication des risques collectifs et individuels liés aux dépendances à des acteurs techniques tiers.
Conclusion : Des fondations solides pour bâtir sur le long terme
Les décideurs européens ont longtemps ignoré l’importance des acteurs du numérique. Aujourd’hui, nous payons l’inconséquence des choix technologiques, qui sont également le résultat d’une économie de « bouts de ficelle » qui ne permettait pas aux pays européens d’investir dans leur propre technologie. Le numérique de marché, permettant une transformation numérique à coûts réduits, était en cohérence avec les réductions budgétaires et les cadres de financement imposés par l’Union européenne.
Une fois leur développement assuré, les Big techs ont acquis une place et une capacité de financement supérieures aux États. En conséquence, le choix de certaines entreprises européennes de s’associer aux Big techs est simplement une affaire de survie : comment poursuivre une activité commerciale sans s’associer aux acteurs qui maîtrisent une majorité de l’écosystème numérique aujourd’hui ? Face aux grandes puissances que représentent ces géants, et dans un contexte où les États européens et l’Europe ne financent pas massivement leurs propres solutions, que reste-t-il aux entreprises européennes qui n’ont pas les financements nécessaires pour participer à l’indépendance numérique de leur territoire sur des technologies clés ? En signant ces partenariats dits « stratégiques », ces entreprises françaises ou européennes externalisent une industrie qu’elles ne peuvent pas développer ou financer elles-mêmes à court et moyen terme. Leurs choix sont les conséquences d’une quasi absence de politique industrielle, où les entreprises se retrouvent à négocier leur place sur le marché face à des mastodontes.
À cette absence d’engagement politique à la hauteur des enjeux d’aujourd’hui et de demain, nous répondons par des propositions qui imposent une remise en question d’un cadre de pensée délétère pour accompagner la naissance d’un écosystème numérique européen fort et protecteur de nos intérêts.
[1] « L’Union européenne, colonie du monde numérique ? », Rapport d’information fait au nom de la commission des affaires européennes par Mme Catherine Morin-Desailly, Sénatrice.
[2] Ibid, p.6.
[3] Le terme « big tech » tend à remplacer dans le langage courant celui de GAFAM, trop restreint à la seule activité numérique. Il permet de qualifier le développement rhizomique de ces entreprises, qui créé par capilarité des familles de technologies interconnectées.
[4] COELHO, O. « Câbles sous-marins : les nouveaux pouvoirs des géants du numérique », Institut Rousseau, 26 août 2020.
[5] LE GOFF, M., « Techniques d’analyse de contenu appliquées à l’imagerie spatiale », Institut de Recherche en Informatique de Toulouse (I.R.I.T.), 20 octobre 2017.
[6] Valeur boursière de Microsoft sur le site boursier.com au 27 avril 2021.
[7] Valeur boursière du CAC40 sur le site boursier.com
[8] BÔMONT, C. et CATTARUZZA, A., « Le cloud computing : de l’objet technique à l’enjeu géopolitique. Le cas de la France », Hérodote, vol. 177-178, n° 2-3, 2020, p.149-163.
[9] Edge computing: cloud à la périphérie, composante de la technologie cloud utilisée dans le cadre de la 5G.
[10] Cela ne concerne pas que la couche logicielle, mais l’émergence même d’un réseau internet unique nécessite dès l’origine l’interconnexion des acteurs techniques. Sur ces sujets, on peut lire l’ouvrage de Stéphane Bortzmeyer Cyberstructure, L’Internet, un espace politique (sous parties « L’enjeu technique » et « Interconnexion des opérateurs »).
[11] Sur ces sujets, lire la note rédigée par Ilian Moundib, Adrien Jahier et Romain Bouilloud, « Face au poids croissant du numérique : l’impératif de sobriété », Institut Rousseau, 20 mai 2021.
[12] BALENIERI, R. « Orange lance avec Google le smartphone le moins cher d’Afrique », Les Échos, 6 octobre 2020.
[13] BENHAMOU, P. « Avec son projet Kuiper, Amazon se lance à son tour dans l’internet satellitaire », ZDNet, 31 juillet 2020.
[14] FOLEY, M. J. « Microsoft : 120 000 casques HoloLens pour l’armée américaine », ZDnet, 2 avril 2021.
[15] Mission d’information « Bâtir et promouvoir une souveraineté numérique nationale et européenne », Assemblée Nationale , 2020-2021
[16] LONGUET, G., « Le devoir de souveraineté numérique », Rapport fait au nom de la commission d’enquête, n° 7 tome I (2019-2020), 1 octobre 2019
[17] Compte rendu – Audition commune, ouverte à la presse, de MM. Rodolphe Belmer, directeur général d’Eutelsat, et Hervé Derrey, président-directeur général de Thales Alenia Space. Mission d’information de la Conférence des Présidents « Bâtir et promouvoir une souveraineté numérique nationale et européenne », 6 avril 2021.
[18] Compte rendu – Audition, ouverte à la presse, de Mme Stéphanie Combes, directrice du groupement d’intérêt public Plateforme nationale d’accès aux données de santé (Health Data Hub). Mission d’information de la Conférence des Présidents « Bâtir et promouvoir une souveraineté numérique nationale et européenne », 18 février 2021.
[19] « Strategische Marktanalyse zur Reduzierung von Abhängigkeiten von einzelnen Software-Anbietern », ministère allemand de l’Intérieur, août 2019 (trad. Analyse stratégique du marché pour réduire les dépendances vis-à-vis des fournisseurs de logiciels individuels)
[20] Digital Economy and Society Index (DESI) 2020, Use of internet services.
[21] Le terme digital labor désigne les activités numériques des utilisateurs de produits numériques, du navigateur aux plateformes de vente en ligne et médias sociaux, dont les données numériques générées produisent de la valeur. Voir à ce sujet : Dominique Cardon, Antonio Casilli, Qu’est-ce que le Digital Labor ?, Bry-sur-Marne, INA, coll. « Etudes et controverses », 2015.
[22] VITARD, A. « L’État choisit à nouveau Microsoft pour équiper l’Éducation nationale et l’Enseignement supérieur », Usine digitale, 14 septembre 2020.
[23] Site de l’Union des groupements d’achat public (UGAP), la page dédiée aux logiciels au 10 mai 2021 met en avant Microsoft et Oracle.
[24] Voir à ce sujet les archives mails de 1999 [ISN] Everywhere your MAC address shows up et le processus d’identification détecté par Richard Smith de PharLap.
[25] GREENWALD, G. and MACASKILL E. « NSA Prism program taps in to user data of Apple, Google and others », The Guardian, 7 juin 2013.
[26] Local signifie « installé sur le poste de l’utilisateur ».
[27] Microsoft Azure est à la fois un hébergeur de données et un outil de traitement de ces données. Azure AI est une composante de la plateforme qui propose des technologies d’intelligence artificielle notamment dans les secteurs de la santé ou de l’industrie.
[28] COELHO, O. « L’urgence d’une indépendance numérique révélée par l’urgence sanitaire », Institut Rousseau, 20 mai 2020.
[29] Investigation of competition in digital markets, Majority staff report and recommendations, Subcommittee on antitrust, commercial and administrative law of the committee on the judiciary, 6 octobre 2020.
[30] LECLERC, J.-M. « Comment les États-Unis espionnent nos entreprises – Dans une note à l’exécutif, la DGSI dénonce des manœuvres destinées à piller les fleurons de secteurs stratégiques », Le Figaro, 13 novembre 2018.
[31] IMBERT-VIER, F. « Perte de souveraineté : BPI France livre les données des prêts à Amazon », Global Security Mag, juin 2020.
[32] ESCANDE, P. « La société américaine Palantir, proche de la CIA, est toujours indispensable aux espions français », Le Monde, 29 novembre 2019.
[33] « Services d’informatique en nuage » , UGAP, et site du cloud public UGAP.
[34] « Prestataires de services d’informatique en nuage (SecNumCloud) – Référentiel d’exigences – Version 3.1 du 11 juin 2018 » , ANSSI. Nous faisons l’analyse du label Cloud de confiance, qui repose sur ce référentiel, dans la partie II.3.
[35] « Strategische Marktanalyse zur Reduzierung von Abhängigkeiten von einzelnen Software-Anbietern », ministère allemand de l’Intérieur, août 2019 (trad. Analyse stratégique du marché pour réduire les dépendances vis-à-vis des fournisseurs de logiciels individuels).
[36] Idem, p.15.
[37] Cette expression est utilisée par Stéphanie Combes lorsqu’elle évoque la préférence pour les produits américains. Le terme est un anglicisme qui lui-même vient de l’expression anglaise « off-the-shelf ».
[38] Site web de Microsoft, page détaillant les produits disponibles pour la fonction publique. Voir aussi la proposition faite au ministère de la Défense ou de la Justice.
[39] « Azure for Secure Worldwide Public Sector Cloud Adoption », site de Microsoft Azure, janvier 2020.
[40] Azure for secure worldwide public sector cloud adoption, 3 février 2021.
[41] LOUKIL, R. « Que pèse OVH dans le cloud en France, en Europe et dans le monde ? », Usine Nouvelle, 13 mai 2020.
[42] « Partenariats & Alliances | Un écosystème étendu », page des partenariats de l’ESN Atos.
[43] BEMBARON, E. « Atos noue une alliance avec Google Cloud », Le Figaro, 25 avril 2018.
[44] Voir le rapport sur le site AI for Humanity, lancé le 28 mars 2018.
[45] « Atos étend sa collaboration avec Amazon Web Services, un partenaire Atos OneCloud », Communiqué de presse, 16 novembre 2020.
[46] Lire à ce sujet le communiqué d’OVH #Reprenezlecontrole, et FAGOT, V. « Protection des données : les hébergeurs européens à l’offensive », Le Monde Economie, 27 septembre 2016.
[47] Interhop, « Le gouvernement contraint les hôpitaux à abandonner vos données chez Microsoft », 30 avril 2020.
[48] « OVHcloud et Google Cloud annoncent un partenariat stratégique pour co-construire une solution de confiance en Europe », Communiqué de presse OVH du 9 novembre 2020.
[49] « Le partenariat signé aujourd’hui entre @OVHcloud_FR et @Google est une excellente nouvelle qui allie souveraineté des données françaises et développement économique de nos entreprises. Elle montre la pertinence des orientations du @gouvernementFR sur le cloud. ». Compte Twitter de Cédric O, 10 novembre 2020.
[50] Pour comprendre une part de la problématique du slicing : PUJOLLE, G., Faut-il avoir peur de la 5G ?, éditions Larousse, 2020, p. 162-163.
[51] Les Américains ne sont évidemment pas les seuls sur ce terrain, la Chine et l’entreprise Huawei ont également une stratégie de développement dans ce domaine. Nous en parlerons dans la dernière note de cette série.
[52] « Orange et Google Cloud annoncent un partenariat stratégique autour des services de données, de l’intelligence artificielle et de l’edge computing », Communiqué de presse Orange du 28 juillet 2020.
[53] COROT, L. « Nokia migre l’ensemble de son infrastructure informatique vers Google Cloud », L’Usine digitale, 14 octobre 2020.
[54] Disponibilité des fournisseurs de services via Equinix Fabric™.
[55] GRANDMONTAGNE, Y. « BX1 : le datacenter du futur selon Equinix… Notre analyse », Data Center Magazine, 9 mars 2021.
[56] « Washington prêt à prendre le contrôle de Nokia/Ericsson pour stopper la Chine dans la 5G », Challenges, 6 février 2020.
[57] Edge computing: cloud à la périphérie, composante de la technologie cloud utilisée dans le cadre de la 5G.
[58] COELHO, O. « Câbles sous-marins : les nouveaux pouvoirs des géants du numérique », Institut Rousseau, 26 août 2020.
[59] VELLUET, Q. « 2Africa : Orange mobilisé sur les stations d’atterrissage en RD Congo, en Côte d’Ivoire, et au Sénégal », Jeune Afrique, 8 juin 2020.
[60] CIMINO, V. « Microsoft et SpaceX s’associent pour connecter le réseau de satellites Starlink à travers le cloud », Siècle Digital, 22 octobre 2020.
[61] Agence nationale de sécurité des systèmes d’information (ANSSI), « Prestataires de services d’informatique en nuage (SecNumCloud) – référentiel d’exigences », dernière version 3.1, 11 juin 2018.
[62] SMART TECH – Emission du vendredi 28 mai, Débrief : Privacy, Bleu, IQVIA, Amazon
[63] Azure for secure worldwide public sector cloud adoption, 3 février 2021.
[64] Le périmètre d’action d’Horizon Europe comprend cinq « clusters »: « Santé », « Société inclusive et sûre », « Numérique et industrie », « Climat, énergie et mobilité », « Nourriture et ressources naturelles ».
[65] « Cadre financier pluriannuel 2021-2027 et Next Generation EU » et « Multiannual financial Framework 2021-2027 and Next Generation Eu ».
[66] « Next Generation Internet initiative » et « Horizon 2020 – Information and Communication Technologies », site de la Commission européenne.
[67] Liste de familles de projets portés par Next Generation Internet (NGI projects).
[68] « Proposal for a Regulation of the European Parliament and of the Council establishing the Digital Europe program for the period 2021-2027 – Analysis of the final compromise text with a view to agreement », Conseil de l’Union européenne, 16 décembre 2020. Annex 3, Synergies with other Union programmes, 1-e, p.55.
[69] « Programme pour une Europe numérique – accord informel avec le Parlement européen », 18 décembre 2020.
[70] « National quantum initiative supplement to the president’s fy 2021 budget », Executive office of the president of the United states, National science and technology council, mars 2021.
[71] Idem, on compte dans ce texte 23 occurrences du terme « digital transformation » pour seulement 5 occurrences du terme « strategic autonomy » (prise en compte des équivalences éventuelles).
[72] Idem, Specific Objective 5. Deployment, best use of digital capacities and Interoperability, 2. Health, p.50-51.
[73] « European industrial technology roadmap for the next generation cloud-edge offering », issu de la table ronde « Shaping the Next Generation Cloud Supply for Europe », mai 2021.
[74] « Les acteurs européens des industries spatiale et numérique vont étudier la création d’un système européen de connectivité par satellite ». Communiqué de presse Orange, 23 décembre 2020.
[75] JALUZOT M., CHOUDAT F., PERONO P-S., TOURAINE P., « Les nouvelles dynamiques de puissance dans le domaine spatial », Ecole de guerre économique, décembre 2019, page 110-112.
[76] Les espaces de données de Gaia-X sont aujourd’hui : Agriculture, Énergie, Finance, Geoinformation, Santé, Industrie 4.0/SME, Mobilité, Secteur public, « Smart living ». Source : GAIA-X : A Pitch Towards Europe, Status Report on User Ecosystems and Requirements, 4 juin 2020.
[77] OBAR, J. A., OELDORF-HIRSCH A., « The Biggest Lie on the Internet: Ignoring the Privacy Policies and Terms of Service Policies of Social Networking Services », The 44th Research Conference on Communication, Information and Internet Policy, 2016.
[78] Can we use data for another purpose ?, Commission européenne, au 12/05/2021. « If your company/organisation has collected data on the basis of legitimate interest, a contract or vital interests it can be used for another purpose but only after checking that the new purpose is compatible with the original purpose. […] If your company/organisation wants to use the data for statistics or for scientific research it is not necessary to run the compatibility test. If your company/organisation has collected the data on the basis of consent or following a legal requirement, no further processing beyond what is covered by the original consent or the provisions of the law is possible. Further processing would require obtaining new consent or a new legal basis. »
[79] Ibid.
[80] « Article 54 – Pouvoir d’effectuer des inspections sur place » et « Article 57 – Mesures de contrôle », Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL relatif à un marché intérieur des services numériques (Législation sur les services numériques) et modifiant la directive 2000/31/CE, COM/2020/825 final.
[81] Log : Le log s’apparente à un journal de bord horodaté, qui permet de consulter les différents événements qui se sont produits sur une machine ou un produit numérique.
[82] Données juin 2020 issues du Registre de transparence de l’Union européenne. Les rendez-vous moins officiels ou à plus basse échelle ne sont pas déclarés par les lobbies et administrateurs.
[83] BERRETTA, E. et GRALLET, G. Comment Google veut faire plier Bruxelles, Le Point, 28 octobre 2020.
[84] Les termes « données sensibles » renvoient juridiquement à une sous catégorie de données personnelles.
[85] « Cloud de confiance, un enjeu d’autonomie stratégique pour l’Europe », Mission Numérique des Grands Groupes, 25 mai 2021.
[86] « Nous avons, en France, un problème avec le numérique. Par faute de compréhension de ses enjeux très techniques et de manque d’ingénieurs dans les administrations, tout le monde donne son avis sur des sujets d’une complexité très importante. Nous ne pouvons pas remettre en cause des choix technologiques : nous avons travaillé à l’infrastructure technologique sécurisée avec le haut fonctionnaire de défense et de sécurité du ministère de la santé et avec l’ANSSI, qui est la plus haute autorité en la matière en France. Mais il y a des gens sur Twitter qui ont un avis…Nous avons collectivement besoin d’éduquer les Français sur cette composante numérique qui va être de plus en plus présente dans nos vies, afin de conduire des débats moins passionnels et plus objectifs. » Audition à l’Assemblée Nationale du 18 février 2021, ouverte à la presse, de Mme Stéphanie Combes, directrice du groupement d’intérêt public Plateforme nationale d’accès aux données de santé (Health Data Hub)
[87] MOREL B., « Une nouvelle République des citoyens – 50 propositions pour renouveler nos institutions », Institut Rousseau, 9 novembre 2020. « Proposition n° 38 : Modifier l’article 11 de la Constitution. À la place du référendum d’initiative partagée, prévoir qu’un référendum d’initiative populaire peut être convoqué à la demande de 500 000 citoyens. Ce dernier peut avoir pour objet de proposer un texte ou de soumettre à référendum l’abrogation d’un projet de loi voté dans les 90 jours. Dans le second cas, l’application du texte est suspendue si 100 000 signatures sont collectées avant promulgation de la loi. »
[88] Version consolidée du traité sur le fonctionnement de l’Union européenne – TROISIÈME PARTIE : LES POLITIQUES ET ACTIONS INTERNES DE L’UNION – TITRE VII : LES RÈGLES COMMUNES SUR LA CONCURRENCE, LA FISCALITÉ ET LE RAPPROCHEMENT DES LÉGISLATIONS – Chapitre 1 : Les règles de concurrence – Section 2 : Les aides accordées par les États – Article 107 (ex-article 87 TCE).
[89] « European industrial technology roadmap for the next generation cloud-edge offering », issu de la table ronde « Shaping the Next Generation Cloud Supply for Europe », mai 2021, p.73.
[90] SecNumCloud, point 15, p.38.
[91] 5e Assises de la Souveraineté Numérique, Table ronde 1: « Fonctions régaliennes de l’État : quelles technologies et quels services numériques ? »
[92] Point 50 du « Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 / CE (règlement général sur la protection des données) »