En amont de la réglementation européenne concernant le développement du cloud et de l’IA au sein de l’UE, les fournisseurs demandent, dans une lettre ouverte, d’éviter que la souveraineté ne soit définie comme un concept creux dont pourraient profiter les hyperscalers américains.
Plusieurs fournisseurs de cloud européens, réunis au sein de l’association professionnelle CISPE, demandent dans une lettre ouverte à l’Europe d’ancrer une véritable souveraineté dans la future législation, et non l’illusion de celle-ci.
La définition correcte
La lettre est adressée à la vice-présidente exécutive pour la souveraineté technologique, Henna Virkkunen, et concerne le Cloud and AI Development Act (CADA) actuellement en cours d’élaboration par la Commission européenne. Ils appellent à définir la souveraineté de manière décente et à prévenir ce qu’ils nomment le sovereignty washing. Ce terme fait référence au greenwashing : un concept désignant les organisations qui mettent en avant des initiatives écologiques séduisantes mais qui, en pratique, ne représentent rien.
Une précédente définition vague de la souveraineté numérique, émanant de l’UE, a en effet déjà ouvert la porte à une définition vide de sens. Les fournisseurs de cloud européens craignent qu’une mauvaise description de la souveraineté ne permette aux hyperscalers (américains) de renforcer davantage leur position dominante sur le marché.
Une crainte fondée
Cette crainte n’est pas infondée. Microsoft a dû admettre précédemment devant les tribunaux qu’il n’était pas en mesure de garantir une véritable souveraineté. Nos questions concrètes sur le niveau de souveraineté de la nouvelle solution « souveraine » d’AWS sont restées sans réponse.
lire aussi
Microsoft l’admet : la souveraineté est une promesse vide
Au lieu de cela, on nous a répondu que les fournisseurs de cloud européens sont parfois aussi soumis à la législation américaine, ce qui est hors de propos. Pourtant, les fournisseurs américains continuent de commercialiser leur solution comme étant souveraine.
Lettre ouverte
Les fournisseurs européens demandent donc dans leur lettre d’ancrer cinq principes dans la réglementation CADA. Ceux-ci doivent garantir que la future directive soutienne une véritable souveraineté européenne. Ils proposent les points suivants :
- La souveraineté doit être définie par le contrôle, et non par la présence dans l’UE ou la cybersécurité. Les critères de souveraineté doivent refléter un contrôle effectif, la propriété de la technologie et la protection contre les juridictions étrangères, conformément aux principes appliqués dans le Fonds européen de la défense (FED) et les règlements EDIRPA. La certification de cybersécurité seule ne garantit pas la souveraineté, car elle ne tient pas compte de l’exposition aux législations étrangères telles que le Cloud Act américain.
- Là où les services souverains ne sont pas disponibles, la résilience – ou l’autonomie opérationnelle – doit être assurée. Les services doivent garantir l’autonomie opérationnelle en assurant un contrôle effectif et un accès aux données cloud, à l’infrastructure et aux charges de travail – en particulier en cas d’ingérence de gouvernements étrangers ou de tierces parties.
- Pour les données et les charges de travail sensibles, l’Europe doit instaurer des quotas de marchés publics réservés aux fournisseurs de cloud européens. Au minimum, les marchés publics doivent suivre un principe clair : « Achetez européen – ou assurez la résilience – ou expliquez-vous. » Les cadres de passation de marchés à grande échelle qui excluent de fait les fournisseurs européens doivent être évités.
- La politique européenne du cloud doit renforcer la concurrence, l’interopérabilité et les initiatives de cloud européen fédéré, tout en empêchant le groupement anticoncurrentiel de services d’IA et de cloud et en reconnaissant l’importance des logiciels libres.
- Les investissements dans les infrastructures de cloud et d’IA financés par l’argent public doivent donner la priorité à l’écosystème européen, soutenir le développement d’approvisionnements locaux alternatifs, y compris pour des composants clés tels que la mémoire et les puces, et inclure des exigences strictes en matière de durabilité environnementale.
Prêcher pour sa paroisse
Il va sans dire que le CISPE et les fournisseurs de cloud européens prêchent pour leur propre paroisse. Une définition stricte de la souveraineté profitera aux organisations ayant leur siège social en Europe.
Cela ne rend pas les préoccupations moins pertinentes. Si la souveraineté est un sujet, il semble logique qu’il soit traité d’une manière qui réponde réellement aux inquiétudes qui l’entourent.
Gaia-X Niveau 3
La souveraineté prônée par les fournisseurs s’inscrit dans la lignée de la définition de Gaia-X. Cette organisation à but non lucratif attribue des labels pour les services réellement souverains, et le fait également sur la base du contrôle. Seules les organisations ayant leur siège en Europe, et qui ne sont donc pas soumises à des réglementations telles que le Cloud Act, peuvent obtenir le label le plus élevé.
lire aussi
Un label pour la souveraineté : premières entreprises cloud Gaia-X Level 3 rassemblées dans un catalogue
En pratique, les hyperscalers américains sont dominants sur le marché européen. L’offre des fournisseurs locaux est fragmentée et ne propose généralement pas d’alternative fonctionnellement équivalente. Les fournisseurs semblent craindre que la dominance du marché et le lobbying des grands acteurs internationaux ne les mettent une fois de plus hors-jeu.
Pour le CISPE, le Cloud and AI Development Act est une occasion idéale d’utiliser la souveraineté pour rééquilibrer quelque peu le terrain de jeu.