Régulation du Cloud : l’autre faillite européenne ?

Faute d’une régulation adaptée, le Cloud n’a pas, sur le Vieux Continent, l’empreinte qu’il pourrait et devrait avoir. Freinant les intentions des entreprises utilisatrices et le développement des industriels locaux.

Mise à jour le 14/08 à 18h10

Une vision franco-allemande d’un Cloud de confiance ? C’est en tout cas ce que sont venus défendre Guillaume Poupard, le directeur général de l’Anssi (Agence nationale de la sécurité des systèmes d’information), et son homologue allemand du BSI (l’Office fédéral de la sécurité des technologies de l’information), Michael Hange, lors d’une journée organisée par l’association Cloud Confidence dans le cadre de la Cloud Week, une semaine d’événements organisés toute cette semaine à Paris. Si les deux services affirment travailler de concert à des critères communs définissant ce que pourrait être un Cloud réunissant toutes les garanties qu’imaginent les deux agences, aucun calendrier n’a été précisé sur la matinée. Rappelons que l’Anssi française a déjà créé un référentiel d’exigences en la matière, baptisé Secure Cloud. Sa version 2.0, sortie en mars dernier, sert de base à la phase d’expérimentation. Considérée comme un « document de travail » par l’Anssi, elle a vocation à être amendée. L’Agence dirigée par Guillaume Poupard prévoit de se lancer ensuite dans un processus de certification des prestataires, comme elle l’a fait ou est en train de le faire dans d’autres domaines.

Si l’axe franco-allemand se voit en poisson pilote de l’Europe sur ces sujets, la lenteur des discussions a de quoi exaspérer les utilisateurs, en quête de « simplicité et de lisibilité », comme l’explique Cyril Bartolo, responsable des applications de Lagardère et président du conseil de l’association EuroCIO sur le Cloud. Faute d’un cadre législatif européen et d’offres de confiance dûment identifiées, les entreprises doivent en effet jongler avec les réglementations nationales et se plonger dans les méandres des contrats des fournisseurs. « A chaque fois, il faut compter 18 mois pour négocier un contrat », soupire Cyril Bartolo. Un délai évidemment peu compatible avec les promesses de flexibilité associées au Cloud… Le représentant de l’association fédérant des DSI de grandes entreprises en Europe pointe notamment l’incohérence des législations sur les données personnelles : « au minimum, il faudrait introduire une responsabilité conjointe du prestataire et de son client en cas de fuite de données ». Et non, comme aujourd’hui, la responsabilité unique de l’entreprise utilisatrice.

« Dans chaque pays, on repart de zéro »

Si cet échec européen pénalise les utilisateurs, elle freine également les industriels du continent, selon Stanislas de Rémur, le Pdg d’Oodrive. « Une régulation amènera un développement du marché du Cloud en Europe. Car, pour l’instant, il existe peu de règles, les prestataires sont obligés de les éditer eux-mêmes. La prédominance de législations nationales bloque le développement du marché. Dans chaque pays où on s’implante, on repart commercialement et juridiquement à zéro ».

Pour le directeur général du moteur de recherche européen Qwant, Eric Léandri, ces tergiversations de l’Union se traduisent par une atrophie du marché de ce côté-ci de l’Atlantique. « Le Patriot Act a fait perdre 48 milliards de chiffre d’affaires aux industriels américains. Nous devrions déjà avoir récupéré des milliards de dollars d’activité. Si ce n’est pas le cas, cela signifie que nous n’avons pas su créer la confiance ». Cyril Bartolo confirme ainsi être en relation sur ces sujets avec la Commission Européenne depuis… 2011. « Quatre ans après, on attend toujours des résultats concrets », résume le responsable des applicatifs de Lagardère, qui dit poursuivre les travaux sur une certification européenne des Cloud d’une part et sur les contrats d’autre part. « Pour ce faire, il faut participer à la vie démocratique européenne avec des actions de lobbying. Et prendre l’habitude d’y dédier des ressources. Sinon nous continuerons à être influencés par des non-européens ».

Des compétences… pour contrôler les prestataires

Faute de cadre stable, les doutes qui entourent le Cloud persistent. Si l’intérêt des entreprises pour cette forme d’externalisation se développe rapidement, les volumes des contrats restent limités, note Philippe Tavernier, le patron de Numergy, un des projets de Cloud souverain hexagonaux. Dans l’étude de NetMediaEurope (la société éditrice de Silicon.fr), dévoilée en exclusivité sur la Cloud Week, les doutes sur la capacité des fournisseurs à garantir la sécurité reste le frein n°1 cité par les entreprises européennes (à 57 % parmi les 428 sociétés sondées dans 5 pays). Une interrogation qui ne se dément pas au fil des ans et des études. L’enquête de NetMediaEurope montre encore que, si presque tous les voyants (souplesse, qualité de service…) sont au vert pour le Cloud, un utilisateur sur deux se dit encore insatisfait du niveau de sécurité proposé. Et les entreprises européennes, particulièrement les grandes, s’inquiètent de leur manque de compétences pour contrôler les règles de sécurité annoncées par les fournisseurs (cité dans 65 % des cas). Preuve là encore des conséquences très opérationnelles de l’absence de cadre européen.

Si la réglementation visant à renforcer la confiance des utilisateurs dans le Cloud avance plus que lentement, les lois légalisant les pratiques en matière de surveillance par les états font florès. Dans la veine du Patriot Act américain, renouvelé jusqu’en 2019 par le Freedom Act, voté récemment. « Ces textes dégagent les prestataires de toute responsabilité et les obligent à ne pas informer leurs clients des demandes légales », remarque l’avocat Olivier Iteanu, vice-président de Cloud Confidence, une association qui s’est créée fin 2014 pour lancer une certification des prestataires de confiance, faute d’une réglementation en la matière. Si ces textes – dont la Loi de programmation militaire ou la Loi sur le renseignement en France – rendent publiques des pratiques qui préexistaient, elles visent aussi à imposer une collaboration légale des prestataires, « sans engager leur responsabilité », note cet avocat spécialiste du droit des nouvelles technologies.