À l’ère du digital, où les données sont devenues une ressource précieuse, la souveraineté numérique de l’Union Européenne s’affirme comme un sujet à l’épicentre des préoccupations.
Les entreprises, qu’elles soient grandes ou petites, se trouvent au cœur de cette dynamique, devant naviguer dans un environnement législatif en constante évolution.
Mais comment l’UE peut-elle garantir la souveraineté de ses données tout en favorisant la compétitivité de ses entreprises ? Élucidation avec Alain Staron, disrupteur opérationnel, spécialiste des dynamiques de l’innovation et de la transformation digitale, et auteur de l’ouvrage Auto-disruption : la transformation digitale des produits et services de l’entreprise.
La protection des données est un impératif face aux tensions géopolitiques
La protection des données personnelles est devenue une priorité stratégique, en particulier dans le contexte de la multiplication des cyberattaques et de la montée des exigences en matière de cybersécurité. Pour les entreprises européennes, l’une des principales préoccupations est la sécurité des données sensibles. À cet égard, le règlement général sur la protection des données (RGPD) est l’outil clé pour garantir la confidentialité des informations des citoyens européens. Ce texte impose des règles strictes concernant leur traitement, leur stockage et leur transmission, même en dehors du cadre de l’UE, sous certaines conditions.
Cette réglementation se trouve confrontée à des lois extraterritoriales, comme le Cloud Act américain, qui permet aux autorités des États-Unis d’accéder aux données stockées sur le cloud par des entreprises américaines, quelle que soit la localisation des serveurs. “Le RGPD et le Cloud Act sont contradictoires dans certains de leurs termes, du fait de l’extraterritorialité du droit américain. La conséquence en est la grande vigilance nécessaire sur les hébergeurs choisis pour stocker les données des européens.”, explique Alain Staron.
Les entreprises doivent désormais être particulièrement vigilantes quant au choix de leurs fournisseurs de services cloud. “Mais au delà de la protection des données personnelles, ce sont les données industrielles qui présentent le plus grand risque pour l’Europe.”
“À titre d’exemple, imaginons une entreprise française spécialisée dans l’optimisation de la gestion énergétique des bâtiments. Si son client est un opérateur hôtelier, ses algorithmes doivent intégrer le taux de remplissage des hôtels en temps réel, car un hôtel plein n’a pas le même optimum énergétique qu’un hôtel à moitié rempli. Or, cette donnée industrielle sensible, comme le taux de remplissage, peut être exploitée par un hébergeur ayant une activité publicitaire pour optimiser ses recettes en ciblant les hôtels moins remplis. Et cela reste totalement indécelable.”
En somme, “s’il n’y a pas de données personnelles en jeu, le minimum est de choisir un hébergeur mono business, donc de privilégier Azure sur GCP et AWS parmi les Américains, qui restent en termes de fonctionnalités plus efficaces que les autres. Malheureusement, les exemples fourmillent d’entreprises françaises ou européennes, y compris parmi les plus prestigieuses, qui, malgré les recommandations de l’ANSSI, continuent d’utiliser GCP ou AWS, avec un risque d’espionnage (indécelable) majeur.”, ajoute Alain Staron.
“S’il y a des données personnelles en jeu, le minimum est de les crypter, sans utiliser bien évidemment les solutions de cryptages fournies par les hébergeurs eux-mêmes. Une solution de cryptage européenne est indispensable.”
Ainsi, la question de la souveraineté numérique dépasse la simple conformité réglementaire et constitue un enjeu stratégique pour les entreprises européennes.
Les GAFAM : un rôle central mais ambigu dans la souveraineté numérique
Les géants du numérique, souvent regroupés sous l’acronyme GAFAM (Google, Amazon, Facebook, Apple, Microsoft), jouent un rôle central dans le domaine de l’informatique en nuage (cloud computing).
Leurs pratiques suscitent des interrogations sur la véritable souveraineté des données. Par exemple, l’annonce d’Amazon de lancer un cloud souverain européen via AWS (Amazon Web Services) répond à une demande croissante des entreprises européennes, soucieuses de protéger leurs informations. Pourtant, cette initiative soulève des interrogations quant à leur véritable maîtrise : même si AWS promet de garantir la sécurité des informations, il demeure difficile de s’assurer que l’accès à celles-ci reste strictement contrôlé.
“AWS propose en particulier le cryptage des données qu’il héberge, ce qui est parfait. Sauf pour se protéger d’AWS lui-même.”, alerte Alain Staron. “S’agissant d’AWS adossé à Amazon, les potentiels intérêts à lire des données, qu’elles soient personnelles ou industrielles, sont très élevés. Même si risque veut bien dire qu’il n’y a pas de certitude, il n’y a pas non plus de certitude que la fuite des données n’advienne jamais, avec des conséquences qui pourraient être très lourdes.”
Cette situation illustre un phénomène de “sovereignty-washing”, où des promesses de souveraineté sont avancées, mais où la réalité du contrôle demeure floue. De plus, le défi est prépondérant pour les entreprises européennes de taille modeste, qui se trouvent souvent incapables de faire face à la pression concurrentielle imposée par ces grandes entreprises mondiales. En effet, si les grands acteurs du cloud peuvent se permettre de respecter une multitude de normes de sécurité (comme ISO 27001 ou SOC 2), les petites entreprises européennes se retrouvent pénalisées par un système de régulations fragmenté et complexe, qui va au-delà des exigences mondiales, en particulier celles imposées au niveau national (exemples : SecNumCloud ou BSI-C5 en Allemagne).
Un tel déséquilibre crée une forme de “concentration” du marché, où quelques grands acteurs détiennent une part importante des données et des services cloud, ce qui nuit à la concurrence et à l’innovation. En conséquence, la souveraineté numérique européenne se retrouve menacée par des pratiques commerciales qui favorisent les grands groupes au détriment des petites entreprises locales.
La législation européenne face aux défis de la souveraineté numérique
L’Union Européenne cherche à renforcer sa position en matière de souveraineté numérique. La tâche s’avère complexe. D’un côté, l’UE défend avec ferveur la protection des données personnelles et la réglementation du numérique, notamment à travers le RGPD. De l’autre, elle doit trouver un équilibre entre cette protection et le soutien à l’innovation, essentiel pour la compétitivité des entreprises européennes.
D’après Alain Staron, “Le Digital Service Act et le Digital Market Act protègent le marché européen en identifiant les monopoles. Cependant, cela découle de la volonté de l’Europe de protéger les consommateurs en empêchant l’émergence de géants technologiques européens, laissant place aux GAFAM et BATX. Il est temps de favoriser l’émergence de géants européens, notamment par une politique économique orientée vers les startups locales.”
Les récentes initiatives de la Commission européenne, bien que louables, peinent à prendre en compte la réalité du terrain pour les entreprises. Par exemple, la mise en place de nouvelles réglementations pour encadrer le transfert de données vers les États-Unis a été rendue nécessaire après l’annulation des accords précédents (Safe Harbor, Privacy Shield) par la Cour de justice de l’UE. En 2023, la Commission a présenté le Data Privacy Framework, une nouvelle tentative d’encadrer les échanges de données transatlantiques. Il vise à permettre aux entreprises européennes de transférer leurs données vers les États-Unis sans mesures supplémentaires, mais il reste toujours exposé aux lois extraterritoriales américaines, comme le Cloud Act.
“Le débat sur la souveraineté des données vient du modèle du cloud, qui atteint ses limites. Le futur est l’“edge” : les données restent locales, comme avec les alarmes Artifeel, sans être envoyées dans le cloud. Ce modèle prometteur pourrait permettre à des startups européennes de devenir des géants, si l’Europe les soutient.”, révèle Alain Staron.
Le véritable défi pour l’UE réside dans sa capacité à soutenir les entreprises européennes tout en consolidant un environnement numérique qui protège à la fois la souveraineté des données et l’innovation. La compétitivité des entreprises européennes pourrait être mise en péril si les coûts de conformité aux réglementations se multiplient, au détriment des petites structures qui peinent à s’adapter à ce cadre législatif hétéroclite.