Un moratoire sur les stratégies nationales fragmentées en matière de cloud afin de soutenir les technologies européennes souveraines.

Obtenir un moratoire sur les stratégies nationales de cloud qui reposent actuellement sur des définitions et des qualifications nationales fragmentées et dont l’absence d’études d’impact risque de mettre en péril la souveraineté numérique européenne qu’elles affirment défendre.

Tel est l’objectif d’EUCLIDIA (European Cloud Industrial Alliance, 26 entreprises européennes créatrices de technologie du cloud membres). L’alliance, qui soutient fermement l’objectif de renforcer la confiance et l’autonomie technologique de l’Europe dans les services de cloud utilisés par les gouvernements, souligne que cela nécessite un dialogue cohérent et constructif avec les entreprises européennes pour identifier les principaux facteurs en jeu. 

Distinguer cybersécurité et souveraineté

« Parce que la cybersécurité et la souveraineté des données sont des sujets distincts, les qualifications de haut niveau en matière de cybersécurité ne peuvent être une réponse unique là où ce dont nous avons besoin est une autonomie technologique et un véritable contrôle des données », estime l’alliance. 

Les qualifications en matière de cybersécurité ne devraient être exigées que lorsqu’elles ne créent pas d’obstacles injustifiés aux solutions souveraines innovantes fabriquées en Europe.

EUCLIDIA souligne en particulier que la confiance et l’autonomie technologique des services de cloud européens ne peuvent être gagnées en négligeant les impacts juridiques et pratiques d’octrois de licences pour des logiciels développés par des entités non européennes. 

Un accès immédiat au code source

L’évaluation des risques de retrait ou de modification d’une licence de logiciel utilisée pour la fourniture de leurs services devrait être exigée des fournisseurs de cloud, ainsi que les risques de portée extraterritoriale des législations et réglementations étrangères qui s’appliquent à ces licences.

« Malheureusement, cette évaluation des risques n’est pas actuellement exigée par toutes les stratégies nationales, même pour les logiciels hautement stratégiques de gestion des IaaS ou des PaaS sur lesquels sont déployées les applications publiques et privées. Et dans certains pays, des critères non pertinents excluent de facto des technologies européennes dignes de confiance qui pourraient apporter une autonomie stratégique. » 

De plus, EUCLIDIA propose, pour garantir la confiance et la cybersécurité lorsque la dépendance aux logiciels tiers est élevée, que les gouvernements devraient avoir un accès complet et immédiat au code source de ces logiciels pour un audit de sécurité. Ils devraient également avoir le droit irrévocable de continuer à utiliser ce code en cas de changement ou de retrait de licence.

Risques juridiques

EUCLIDIA regrette vivement que certains gouvernements nationaux n’aient pas attendu une évaluation des risques et aient même fait des déclarations publiques affirmant que l’octroi de licences pour des logiciels non européens serait compatible avec leur stratégie nationale en matière de cloud computing. Cela a déjà conduit des décideurs privés et publics mal informés à croire que le fait de s’appuyer sur des technologies non-européennes en place faciliterait leur mise en conformité avec les futures exigences en matière de cybersécurité et de non-extraterritorialité, ce qui les expose à des risques juridiques et fausse injustement la concurrence.

« Nous avons besoin que les gouvernements européens prennent le temps nécessaire pour évaluer l’impact de leurs doctrines en matière de cloud dans le cadre d’un dialogue exclusif avec l’industrie européenne du cloud, commente Philipp Reisner, coprésident par intérim, EUCLIDIA. Des changements dans ces stratégies seront nécessaires pour s’assurer qu’elles accélèrent l’adoption et le développement des nombreuses technologies du cloud déjà créées en Europe et qu’elles contribuent à la souveraineté des données, à la cybersécurité et à l’autonomie stratégique. ».