En septembre 2020 dans son premier discours sur l'état de l'Union, Ursula Van der Leyen, Présidente de la Commission européenne mentionne GAIA-X comme le projet sur lequel la stratégie des données de l'Union européenne doit être construit. L’ambition de GAIA-X n’est pas de créer un « Airbus du Cloud » mais de développer un écosystème de la donnée basé sur des valeurs d’ouverture, de transparence et de sécurité favorisant la coopération entre acteurs.
LE CLOUD SOUS DOMINATION ETRANGERE ?
Le marché du cloud a presque quadruplé depuis 2017 ; ce qui était une technologie émergente s’est imposée aux entreprises comme un incontournable, tendance renforcée avec les opportunités qu’offrent l’intelligence artificielle ou l’IoT (Internet of Things ou internet des objets). In fine, cela crée toujours plus de données qu’il faut traiter et stocker de manière sécurisée. Le cloud, de par l’infrastructure et les services qu’il propose, est un levier essentiel pour le développement de ces technologies.
Mais le marché du cloud est largement dominé par les grands acteurs américains Amazon avec AWS, Microsoft avec Azure, ou Google avec GCP - les hyperscalers - qui se partagent plus des deux tiers du gâteau.
Les entreprises privées, les institutions publiques et les consommateurs européens utilisent toujours plus de services et d’applications cloud basés directement ou indirectement sur ces acteurs étrangers, créant ainsi une dépendance technologique considérable envers ces fournisseurs.
LA REGLEMENTATION EUROPEENNE EST-ELLE SUFFISAMMENT PROTECTRICE ?
Le problème est qu’en matière de protection des données, l’Europe et les Etats-Unis ont adopté des positions difficilement conciliables !
L’Union Européenne a levé son bouclier en 2016 avec l’adoption de son règlement général sur la protection des données (RGPD), avec un objectif simple : protéger les données personnelles des Européens.
Outre Atlantique, l’approche est beaucoup plus agressive. L’adoption du CLOUD Act en 2018 qui s’ajoute à la loi FISA de 1978, ont doté l’administration américaine d’un arsenal juridique pour mettre la main sur les données stockées dans les datacenters de sociétés américaines, et ce n’importe où dans le monde. Face à cette menace, la protection octroyée par le RGPD n’est plus suffisante, et le risque d’espionnage de masse ou économique de nos données est réel.
COMMENT RETROUVER UNE SOUVERAINETE NUMERIQUE EN EUROPE ?
L’Union Européenne a bien compris les enjeux inhérents à ce risque. L’invalidation du « Privacy Shield[1]» par la cour de justice de l’Union Européenne en 2020 finit de tracer la frontière juridique séparant les deux zones d’influences.
A l’échelle nationale, l’interdiction de l’utilisation des technologies américaines Microsoft pour l’hébergement du Health Data Hub[2] et la mise en demeure par la CNIL de trois sociétés françaises pour avoir utilisé Google Analytics reflètent parfaitement la préoccupation de l’Europe vis-à-vis de la domination américaine sur le marché.
Il y a une décennie, la France et d’autres pays Européens s’était déjà essayés à l’exercice du cloud « souverain » avec notamment le projet Andromède qui a lancé plusieurs initiatives nationales comme Numergy et CloudWatt, mais celles-ci n’ont pas duré.
Une nouvelle réponse tente d’être apportée depuis juin 2020 avec le projet européen GAIA-X, lancé en commun par la France et l’Allemagne, et auquel de nombreux états européens participent désormais.
QU’EST-CE QUE GAIA-X ?
En septembre 2020 dans son premier discours sur l'état de l'Union, Ursula Van der Leyen, Présidente de la Commission européenne mentionne GAIA-X comme le projet sur lequel la stratégie des données de l'Union européenne doit être construit.
L’ambition de GAIA-X n’est pas de créer un « Airbus du Cloud » mais de développer un écosystème de la donnée basé sur des valeurs d’ouverture, de transparence et de sécurité favorisant la coopération entre acteurs.
L'objectif est donc de bâtir un Cloud de confiance pour les entreprises et institutions afin de rétablir la souveraineté numérique de nos données et, par conséquent, de nos pays.
QUELS SONT SES PRINCIPES FONDATEURS ?
Deux grands principes sous-tendent l’architecture GAIA-X : le catalogue de services et les data space.
Le catalogue de services définira précisément les offres cloud qui seront conformes aux principes de transparence et de conformité de GAIA-X : chaque fournisseur de services décrira ses offres dans ce catalogue selon un format numérique (framework) validé par la fédération GAIA-X.
Les consommateurs pourront ainsi choisir en toute transparence le service le mieux adapté à leurs besoins et à leur niveau d’exigence en matière de contrôle sur les données traitées.
Les Data Space offriront la possibilité aux parties-prenantes de partager leurs données tout en restant pleinement propriétaires de celles-ci. Ici aussi, un portait sera établi permettant au fournisseur de la donnée de garder un contrôle total sur son utilisation (prix, durée de validité, etc.).
A l’instar d’une mosaïque, chaque bloc de données partagé favorisera l’émergence de projets ayant une forte valeur ajoutée qui bénéficieront à l’ensemble des contributeurs.
OU EN EST-ON AUJOURD’HUI ?
Le catalogue de services et les principes d’architecture de GAIA-X sont publiés, de premiers data-spaces sont en chantier, et de nombreuses entreprises européennes et non européennes adhèrent à GAIA-X et participent à leur construction.
Le projet tel qu’il est proposé actuellement semble néanmoins s’être éloigné de l’intention initiale visant à favoriser les offres cloud européennes : les leaders des marchés américain et chinois (Alibaba, Amazon, Google, Microsoft) ont rejoint le projet et participent activement aux groupes de travail avec une force de frappe importante. Il est difficile de ne pas inclure ces acteurs tant la place qu’ils occupent dans les entreprises est importante, mais cela soulève des questions sur la réelle souveraineté européenne du projet. Notons toutefois que seuls des Européens sont membres décideurs de l’association qui pilote ce projet, l’association GAIA-X AISBL.
ET CREDIT AGRICOLE DANS TOUT CELA ?
Avec d’autres banques françaises, Crédit Agricole est « first day member » de GAIA-X et participe à certains groupes de travail de la verticale « finance » pour porter la voix de nos métiers dans ce projet. Le secteur bancaire est un espace propice au développement de solutions cloud de confiance, et les questions d’authentification des clients, de coffre-fort de données numériques, ou de gestion des risques de crédit par exemple, peuvent trouver des réponses nouvelles et innovantes dans la création de services cloud validés à un niveau européen, ou dans un data-space de données partagées.
GAIA-X peut également être un booster pour le partage de données entre entreprises de secteurs complémentaires comme par exemple les assureurs et les constructeurs automobiles, avec demain un accès facilité aux données issues des voitures connectées, partage sécurisé pour les entreprises comme pour les clients finaux.
Dans le secteur agricole, une initiative réunissant plusieurs acteurs vise à opérer une infrastructure mutualisée et souveraine de consentement et d’échange de données, dédiée aux filières agricoles, avec à la clé la capacité de développer de nouveaux algorithmes d’IA par exemple.
Conclusion
Bien que critiqué par certains, GAIA-X apparait comme un projet fondateur de l’émergence d’une nouvelle souveraineté européenne sur le Cloud computing. Il faut bien le reconnaitre, il sera très difficile aux entreprises européennes de se hisser au niveau des hyperscalers américains ou chinois en ce qui concerne les infrastructures et les services de plateforme au niveau mondial. Mais en se positionnant sur le champ des données et des infrastructures cloud de proximité, en spécifiant les conditions de leur sécurité, de la traçabilité et donc de la souveraineté des données à un niveau européen, GAIA-X peut nous permettre de reprendre le contrôle sur ce qui est déjà considéré comme l’or noir des prochaines décennies : la data.
Dans ce contexte, le catalogue de services et les data-spaces seront probablement un vecteur de croissance pour l’industrie et la recherche. Les premiers services devraient voir le jour courant 2022. Ils permettront de jauger la viabilité du projet pour répondre à la problématique d’une Europe libre et indépendante de ce point de vue.
[1] Privacy Shield (2016) : Accord pour la protection des données des citoyens européens qui sont stockées et traitées par les sociétés basées aux Etats-Unis après y avoir été transférées.
[2] https://www.cnil.fr/fr/le-conseil-detat-demande-au-health-data-hub-des-garanties-supplementaires