Cloud : la souveraineté, seule variable du marché européen ?

Quelles forces façonneront le paysage concurrentiel du cloud en Europe ?  Une telle réflexion suppose qu’il n’y aura pas de statu quo selon KPMG, qui aborde la question dans le cadre de projections à l’horizon 2030.

Le groupe de conseil considère effectivement que la situation – marquée par la domination de trois hyperscalers américains – n’est pas pérenne. Il y voit principalement quatre facteurs :

• Des incohérences manifestes entre les réglementations européenne et américaine
• L’existence de pratiques anticoncurrentielles et de fortes barrières à l’entrée
• Des exigences croissantes en matière de protection des données personnelles et des données industrielles
• Les enjeux économiques massifs liés à la croissance de la demande, en particulier sur le SaaS

De quel ordre sont ces enjeux économiques ? À l’horizon 2027, KPMG anticipe la création de 550 000 à 600 000 emplois. Ainsi que la captation de 200 milliards d’euros d’investissements, avec Arm, l’IA et l’efficacité énergétique comme postes majeurs. Tout cela, néanmoins, à condition que les fournisseurs cloud localisent davantage leurs opérations en Europe.

Pour le moment, les leaders sont encore loin de suivre cette logique. Si on prend le cas de Google Cloud, on constate que sur les quelque 13 milliards de dollars qu’il a investis en 2019, plus des trois quarts (77 %) l’ont été aux États-Unis. Le reste l’a été essentiellement dans des datacenters.

Régulation…

KPMG estime qu’une véritable « européanisation » des activités (personnel, R&D, chaîne d’approvisionnement…) nécessitera une impulsion des régulateurs et des gouvernements.

Que ce soit par des incitations ou des obligations. Parmi elles, le placement des filiales sous le contrôle d’entreprises européennes locales.

AWS et Microsoft ont suivi ce modèle en Chine, en respect de la loi cybersécurité de 2017. Le premier, en vendant certaines de ses infrastructures physiques à Sinnet. Le second, en cédant sous licence ses technologies à 21Vianet, devenu fournisseur officiel des services Azure, Office 365 et Dynamics 365.

Ce scénario s’envisagerait à moyen ou long terme. Même chose pour celui – également réglementaire – qui aboutirait à la séparation fonctionnelle des activités des grands fournisseurs. Voire à une séparation structurelle, avec isolement de la branche cloud au sein d’une entité légale distincte. Ce qui aurait notamment pour effet d’améliorer la conformité des pratiques commerciales.

Les témoignages qu’a recueillis KPMG reflètent l’étendue de ces pratiques. Les gestes commerciaux en font partie. Cas emblématique : le DG d’une fintech allemande qui dit s’être vu offrir un bon d’achat de 100 millions d’euros contre un contrat d’exclusivité de cinq ans. Ou le DSI d’une entreprise publique française qui explique avoir bénéficié, pour une migration cloud, d’un accompagnement gratuit pendant 6 mois par 5 consultants à temps plein.

… ou loi du marché ?

Il y a aussi les ventes liées, groupées ou les échanges de services. On aura noté les propos du DSI d’un cabinet de conseil, qui déplore avoir été contraint de prendre et de payer des services additionnels dont il n’avait pas besoin. Ou cette PME française éditrice de logiciels qui s’est aperçue que l’utilisation d’Office 365 était beaucoup plus onéreuse hors de l’infrastructure Microsoft.

Le contrôle de ces pratiques pourrait aussi faire l’objet de mesures moins strictes que dicterait un « régulateur européen du cloud ». Lequel s’assurerait aussi de mieux protéger les compétences européennes. Et d’instaurer une interopérabilité « forcée » limitant les obstacles aux changements de fournisseurs.

KPMG n’exclut pas le scénario de l’interopérabilité « volontariste ». Voire la constitution d’écosystèmes sectoriels et leur développement à l’échelle européenne sous la bannière du multicloud. Cette approche d’autorégulation pourrait se concrétiser par l’intermédiaire de l’initiative GAIA-X.

Les fournisseurs cloud européens ont aussi une carte à jouer sur des marchés qu’on peut qualifier d’émergents. En tête de liste, l’edge – avec les opérateurs télécoms en renfort – et l’IA pour les données industrielles. Mais aussi le segment des offres « souveraines ».

Cloud souverain : entre Washington et Pékin

La souveraineté apparaît, auprès des DSI français et allemands, comme plus important que les coûts et que le portefeuille de services. Dans leur esprit, il revêt essentiellement deux dimensions. D’une part, la conformité au RGPD. De l’autre, la localisation des datacenters.

Dans la pratique, ils sont nombreux à renoncer au moins partiellement à cette souveraineté.

KPMG y voit une réalité de marché que corroborent plusieurs propos de DSI. Il perçoit cependant aussi une méconnaissance de l’écosystème. Et l’illustre par l’exemple du socle OVHcloud, auquel on peut greffer des briques européennes (PaaS blockchain, ERP SaaS, plate-forme IoT…).

Concernant les incompatibilités de réglementations, les entreprises sont potentiellement prises en étau.

D’un côté, sans Privacy Shield, elles n’ont plus de fondement juridique pour transférer des données personnelles de citoyens européens vers des serveurs d’entreprises non européennes.
Et s’exposent ainsi à des sanctions pour violation du RGPD.
De l’autre, le CLOUD Act fait planer la menace d’accès indésirables, même si leur prestataire américain a une filiale dans l’UE.

Sur ce volet, il faudra aussi regarder vers la Chine si ses représentants continuent à gagner des parts de marché en Europe. En l’état, il n’existe pas, avec l’empire du Milieu, de décision d’adéquation de type Privacy Shield. Il appartient donc aux entreprises de mettre en œuvre des outils adéquats. Généralement, des clauses contractuelles types ou des règles d’entreprise contraignantes. Pékin a par ailleurs son équivalent du CLOUD Act. Il permet au gouvernement de mener des actions extraterritoriales au nom de la sécurité nationale.

Photo d’illustration © Pavel Ignatov – Fotolia