Echec, à Helsinki, de la première tentative d’autorégulation du cloud en Europe. Les grands acteurs américains toujours à la manoeuvre.

Pas d’autorégulation du cloud en Europe. Pas encore. Les gros acteurs, principalement américains, auraient réussi à imposer leurs objectifs au SWIPO, le groupe de travail voulu par Bruxelles, le tout sur fond de CLOUD Act.

Pour les français du Cigref, il y a clairement un refus d’écouter les clients européens. A les entendre, l’échec est essentiellement la conséquence d’une asymétrie systémique de compétences, de moyens et d’objectifs entre ceux de certains grands fournisseurs mondiaux de services cloud d’une part, qui défendent le cœur de leur activité commerciale et leur capacité d’enfermement de leurs clients, et d’autre part ceux des utilisateurs dont le lobbying dans ce domaine n’est pas le métier.

Accord sur l’IaaS, pas sur le SaaS

Et le Cigref de s’en tenir à un fait : aucune de ses propositions formulées pour améliorer le code de conduite SaaS et la gouvernance ultérieure des codes de conduite par l’entité légale n’a été prise en compte, au mépris des règles de gouvernance du SWIPO Working Group. 

Le règlement 2018/1807 du Parlement européen et du Conseil européen, publié le 14 novembre 2018 est sans effet. Le principe de libre circulation des données non personnelles en Europe n’est qu’un leurre. L’objectif -favoriser les mécanismes de libre circulation des données non personnelles- n’est pas atteint. Ses principes, pourtant, font sens : ouverture du marché aux petits fournisseurs, limitation de la concentration des acteurs, amélioration de la liberté de choix des utilisateurs, suppression des dispositifs d’enfermement propriétaire…

Disproportion

C’est à cette fin, précisément que le « SWIPO Working Group » (SWItching cloud and POrting data) avait été mis en place par la Commission européenne dès le mois d’avril 2018. Ce groupe de travail était censé être représentatif des principaux acteurs du cloud européen : fournisseurs de services cloud et utilisateurs. Dans les faits, si les principaux fournisseurs de taille mondiale ont été présents tout au long de ces travaux, la façon dont ils ont été menés a rendu plus difficile l’implication des utilisateurs, lesquels ne disposent pas de ressources dédiées, et représentatives de leur diversité, à y consacrer dans la durée.

Le constat ? Si le code de conduite IaaS apparaît satisfaisant, le code de conduite SaaS et les documents de définition de l’entité légale n’ont pas recueilli de consensus du SWIPO Working Group. Aucune des propositions formulées par les membres du Cigref pour améliorer le code de conduite SaaS et la gouvernance ultérieure des codes de conduite par l’entité légale n’a été prise en compte.

Enfermement

Le Cigref prend donc acte du dysfonctionnement du SWIPO Working Group. Et constate l’échec du processus d’autorégulation. En cause, comme il l’a dit, l’asymétrie systémique de compétences, de moyens et d’objectifs. En clair, les grands fournisseurs américains défendent le cœur de leur activité commerciale et leur capacité d’enfermement de leurs clients…

Si les membres du Cigref n’ont pas fermé la porte, ils réclament -ce qu’ils ont déjà fait- que les codes de conduite IaaS et SaaS ainsi que les documents de définition de l’entité légale soient publiés, en tant que contributions publiques, sous licence Créative Common BY-SA 4.0 afin de s’affranchir de toute tentative de verrouillage. Ils réclament aussi que la Commission européenne diligente une mission -indépendante des fournisseurs- d’audit des codes de conduite et d’étude d’impact sur le marché du cloud en termes de bénéfice pour les utilisateurs, avant le 31 janvier 2020.

Ce n’est pas tout. Ils réclament que le comité de pilotage de l’entité légale soit composé de 1/3 de fournisseurs et de 2/3 d’utilisateurs afin d’établir un équilibre permettant de s’affranchir de la fameuse asymétrie. Enfin, ils réclament que la Commission européenne s’engage sur l’élaboration, par les parties prenantes de la gouvernance de l’entité légale, d’une version 2 des codes de conduite IaaS et SaaS avant le 29 mai 2020, prenant notamment en compte les principales remarques des utilisateurs…