Souveraineté numérique : l’Europe veut-elle se protéger ou gagner ?

L'Europe a fini par dire tout haut ce qu'elle taisait depuis dix ans. Le cloud n'est pas qu'une affaire de technologie, c'est une affaire de souveraineté. Son paquet souveraineté technologique du 3 juin pose enfin une définition du cloud souverain et l'impose à la commande publique. La décision est bonne. Mais sa valeur ne tiendra pas à ses principes. Elle tiendra à quelques lignes d'actes d'exécution que personne ne lit encore, et à une question que le texte évite soigneusement. L'Europe veut-elle se protéger, ou veut-elle gagner ?

Toute la question est là. Pas «qu'est-ce qu'un cloud souverain», mais «l'Europe veut-elle se protéger ou conquérir».

Ce qui est acquis

Le diagnostic, c'est la Commission elle-même qui le signe. L'Europe dépend de fournisseurs non européens pour plus de 80 % de ses produits et infrastructures numériques. Sa réponse, le Cloud and AI Development Act, classe les services cloud sur quatre niveaux de souveraineté pour les achats publics, du plus banal au plus sensible. Deux progrès méritent d'être salués sans réserve. La charge de la preuve a changé de camp. Hier, c'était au fournisseur européen de justifier sa légitimité. Demain, ce sera au fournisseur non-européen de prouver qu'il échappe aux lois extraterritoriales. Le texte tranche également une question restée en suspens lors des discussions sur le Cybersecurity Act : souveraineté et cybersécurité sont deux objets juridiques distincts et complémentaires, non substituables. On peut être parfaitement sécurisé et totalement dépendant. Se dire souverain ne suffira plus. Il faudra le prouver, audit à l'appui.

Le vrai combat est dans les détails

Reste qu'un cadre ne vaut que par son application. Le point chaud, c'est la dérogation de l'article 18 : un fournisseur contrôlé depuis un pays tiers peut accéder au niveau 3 si la Commission reconnaît ce pays comme équivalent par acte d'exécution. La confiance accordée à un « pays tiers associé » ne peut pas être seulement commerciale ou diplomatique. Elle doit être juridique et opérationnelle. L'extraterritorialité, l'accès possible d'autorités étrangères, la capacité de couper un service du jour au lendemain, rien de tout cela ne devrait être tenu pour acquis. Ajoutez les dérogations de l'article 30 et les actes d'exécution qui fixeront le contenu réel des niveaux, et vous tenez le vrai terrain de la bataille des prochains mois. Un cadre solide sur le papier mais facile à contourner dans la pratique serait pire que pas de cadre. Il endormirait.

Un cadre solide sur le papier mais facile à contourner dans la pratique serait pire que pas de cadre. Il endormirait.

Le risque est tangible. Qu'une décision d'adéquation finisse par ouvrir, au titre de l'article 18, les niveaux les plus élevés à des acteurs pourtant soumis à une loi extraterritoriale. Et que les versions « souveraines » montées localement par les hyperscalers s'y installent. Pendant ce temps, Paris avance avec SecNumCloud et Berlin vient de publier son propre référentiel, le C3A, cinq semaines avant le paquet. Un axe franco-allemand de la souveraineté prend forme. Il pèsera dans la négociation. C'est là que se décidera la portée réelle du texte, pas dans le communiqué du 3 juin.

L'article 18 peut devenir la porte de service par laquelle reviennent ceux que le texte prétend laisser dehors.

"Le fond de la proposition ne cache pas son inspiration française. On y retrouve la logique de la loi SREN, l'architecture du SecNumCloud, la doctrine sur la souveraineté numérique que la France porte depuis plusieurs années. Ce n'est plus aux fournisseurs européens de justifier leur place dans les appels d'offres, c'est aux fournisseurs non européens de démontrer leur compatibilité avec les exigences de souveraineté. Pour les usages les plus sensibles, la messe est dite. Reste à surveiller les actes d'exécution et les dérogations des articles 18 et 30. C'est là que se jouera la portée réelle du texte." Julie Latawiec, directrice des affaires publiques de Cloud Temple

Et dans l'ambition

L'autre angle mort, c'est l'ambition. La préférence européenne du texte (le terme retenu par le CADA étant « la valeur ajoutée de l'Union ») est plafonnée, et le règlement lui-même la qualifie de « non décisive ». Le cœur vraiment réservé aux acteurs souverains, les niveaux 3 et 4, ne représente qu'un dixième environ des usages publics. On comprend la prudence commerciale qui l'explique. Mais voyons l'échelle. L'Europe dépense chaque année près de 264 milliards d'euros en informatique, pour l'essentiel auprès d'acteurs américains. Sécuriser un dixième des seuls usages publics, c'est gagner une escarmouche et laisser filer la guerre. Une souveraineté qui se borne à protéger un petit périmètre n'est pas une victoire, c'est une rente, et une rente finit toujours par décrocher. Le texte fixe bien aux États un objectif, qu'ils doivent poursuivre sans obligation de l'atteindre, d'orienter au moins 25 % de leurs achats innovants vers des PME innovantes. L'intention est juste. Encore faut-il que ces commandes les propulsent vers l'échelle au lieu de les entretenir au guichet. La souveraineté qui compte ne se joue pas en défense. Elle se gagne à l'attaque, en Europe d'abord, dans le monde ensuite.

L'Europe dépense 264 milliards par an en informatique, surtout américaine, et négocie pour en protéger un dixième côté public. On gagne l'escarmouche, on perd la guerre.

L'open source, test de vérité

Le volet open source le montrera vite. Un logiciel ouvert n'est pas souverain par magie. S'il est gouverné et maintenu depuis la Silicon Valley ou Shenzhen, il déplace la dépendance plus qu'il ne la supprime, et la Commission le reconnaît elle-même. La bonne question n'est pas de savoir si le code est ouvert, mais de savoir qui le pilote, et si un acteur européen saurait en reprendre la main. L'Europe ne deviendra pas souveraine en consommant le code des autres. Elle le deviendra en gouvernant le sien et en l'imposant comme standard.

Ce qu'il faut maintenant

Le plus dur n'est pas derrière nous, il commence. Trois exigences décideront de tout. Que les niveaux les plus élevés restent fermés à tout fournisseur soumis à une loi étrangère à effet extraterritorial, et que la dérogation de l'article 18 ne devienne pas un passe-droit négocié au cas par cas. Que la préférence européenne cesse d'être cosmétique. Et que l'Europe arrête de penser sa souveraineté comme un bouclier pour la penser comme une conquête. Le continent a les talents, la recherche, l'industrie et les valeurs pour y arriver. Le texte lui en donne le droit. Reste à en avoir l'ambition.

L'Europe a les talents, la recherche et l'industrie. Le texte lui donne le droit d'être souveraine. Il lui reste à en avoir l'ambition.