20 juillet 2022

Temps de lecture : 4 min

« Les entreprises qui gémissent parce qu’on leur dit qu’il faut appliquer le RGPD ont tort », Benjamin Bayart

Cloud souverain, DMA, DSA, RGPD… et si l’Europe avait enfin trouvé un moyen de défendre sa souveraineté numérique ? Oui, à condition que nos entreprises changent d’approche : c’est la conviction de Benjamin Bayart, co-fondateur de la Quadrature du Net, militant pour les libertés fondamentales dans la société de l'information, ingénieur français et vieux con de l'internet selon son profil Linkedin... qui s'est livré à INfluencia dans le cadre de son intervention à l’USI 2022.
INfluencia: le sujet du “cloud souverain” revient sur le devant de l’actualité. Pourtant, il n’a rien de si nouveau… Qu’est-ce qui a changé récemment ?

Benjamin Bayart : pour ceux qui ont un peu de mémoire de ces sujets, le cloud souverain, c’était un concept poussé par Nicolas Sarkozy en 2012. Mais là, aujourd’hui, les enjeux sont tout autres : si on parle à nouveau de cloud souverain, c’est la conséquence de décisions prises à l’échelle européenne. 

La conclusion de toutes les décisions européennes récentes, c’est que le droit américain est fondamentalement incompatible avec le droit européen. Or, ce droit est extraterritorial, il s’impose aux entreprises américaines, y compris quand celles-ci opèrent à Berlin ou à Paris. Conséquence : les activités de traitement de données personnelles de toute entreprise qui fonctionne selon les principes du droit américain sont incompatibles avec notre droit. Il est donc interdit d’héberger les données personnelles de citoyens européens chez un de ces acteurs.

Cette interprétation vient de la plus haute instance, la Cour de Justice de l’Union Européenne, et elle a un effet très protectionniste. Elle représente un moyen idéal pour pousser les Américains vers la sortie et devrait être perçue comme une bénédiction par les entreprises européennes du numérique. Mais beaucoup ne se rendent pas compte du boulevard qui leur a été ouvert.

IN. : la décision de la CJUE invalidant le “Privacy Shield” – et empêchant donc le transfert de données entre l’Union européenne et les États-Unis – remonte à juillet 2020. Elle n’est pourtant pas appliquée, dans les faits…

B.B.: évidemment, elle ne peut pas s’appliquer telle quelle, car les fournisseurs américains représentent 80% du marché. Mais les autorités nationales commencent à les transposer timidement. La construction juridique de cette décision est assez solide et, pour le moment, la CJUE n’a pas l’air de vouloir reculer. Elle tient bon sur ses principes… Néanmoins, elle risque de le faire si les entreprises ne suivent pas. 

L’exemple de Google Analytics est intéressant : il est hors-la-loi, car les données sont transférées aux outre-Atlantique. Les différentes CNIL européennes l’ont rappelé clairement récemment, mais elles n’ont pas encore commencé à distribuer des amendes. Car si elles font ça, elles pénalisent toute l’économie européenne. Donc pour l’instant, elles font des annonces et publient des guidelines pour inciter à changer. C’est la même approche que celle qui a été déployée avec le RGPD depuis 6 ans. Sur ce sujet, les sanctions ont augmenté progressivement, jusqu’à atteindre le record actuel de 746 millions d’euros pour Amazon au Luxembourg.

IN. : pour les entreprises européennes, ces décisions sont pourtant plutôt perçues comme des contraintes que comme des opportunités : qu’est-ce qui pourrait les faire changer d’avis ?

B.B. : les entreprises qui gémissent parce qu’on leur dit qu’il faut appliquer le RGPD et respecter les données personnelles ont tort, car au contraire, on les protège ! L’Europe a fait le choix de protéger les droits des personnes, et il en découle des conséquences pour le monde de l’entreprise. C’est le moyen qu’on a trouvé pour fabriquer le protectionnisme qu’on ne pouvait pas établir autrement. Les textes européens protègent le secteur du numérique !

Donc il y a deux évolutions possibles : soit le secteur s’adapte et montre qu’il est tout à fait possible de faire les choses dans le respect des données personnelles. Soit les entreprises continuent à se lamenter, et rien ne bougera : nous resterons en situation de dépendance par rapport aux Etats-Unis. C’est un choix stratégique à faire.

IN. : pourquoi défendre à tout prix la souveraineté numérique européenne ?

B.B. : si on raisonne en termes macro-économiques et qu’on s’appuie sur les principes les plus basiques, quand on exporte pour 1€, on fait baisser le chômage et quand on importe pour 1€ on fait monter le chômage. Si on considère que l’économie du numérique est un secteur fondamental pour l’avenir, décider de tout importer des Etats-Unis, c’est décider d’être tous chômeurs à moyen terme.

D’un point de vue géostratégique ou régalien, il faut raisonner en rapports de puissance. Un exemple récent : dans le cadre du Brexit, la Grande-Bretagne avait signé un accord sur la pêche, mais ne le respectait pas. Elle a été jusqu’à envoyer des bateaux de guerre. Mais la France a signé la fin de la partie en menaçant de couper l’électricité sur l’île de Jersey. C’est ça un rapport de puissance. 

Lorsque quelqu’un à Jersey a décidé de s’appuyer sur la France plutôt que sur la Grande-Bretagne pour les approvisionnements électriques, c’était sûrement à l’époque une décision économiquement rationnelle. Sauf que c’était une décision économique, alors que l’alimentation électrique d’un territoire, c’est aussi un enjeu politique. Il en est de même dans le numérique. Avec la guerre en Ukraine, c’est une notion que de plus en plus de gens comprennent.

IN. : des alternatives crédibles aux offres américaines existent-elles ?

B.B. : l’écosystème français et européen n’est pas si mauvais que ça ! D’autres solutions existent. Dans le cloud, on commence à voir des alliances comme “Bleu” de Microsoft, Orange et Capgemini, “S3NS” de Google et Thalès. Les deux reposent sur la même idée : un logiciel importé des Etats-Unis et une plateforme opérée en France. L’autre modèle est d’avoir un logiciel et une plateforme développés en France : c’est ce que proposent Scaleway, OVH Cloud ou Clevercloud. Toute la question est de définir la proportion qu’on souhaite importer, en sachant que dans tous les cas, le matériel vient de l’étranger. Mais ce sont deux modèles qui fonctionnent.

IN. : mais ces offres font-elles vraiment le poids face aux géants du numérique venus d’Outre-Atlantique ?

B.B. : trois entreprises américaines sont hyper-dominantes sur le marché du cloud. Elles sont effectivement en capacité d’investir des sommes folles dans le développement de leurs produits. Mais pour 80% des entreprises, l’offre européenne dans le cloud est amplement suffisante. On n’a pas besoin de faire de l’intelligence artificielle pour calculer des stocks ou éditer des fiches de paie… et si on en a besoin, on est tout à fait capable de le développer en Europe.

Les économistes nous disent aussi qu’il vaut mieux utiliser un mauvais produit, très cher, mais fabriqué localement qu’un produit moins cher fabriqué à l’étranger. À titre individuel, c’est faux comme raisonnement, mais collectivement, si on raisonne en termes d’espace économique, c’est la meilleure stratégie.

Un des problèmes tient à la commande publique, qui ne va pas vers les acteurs européens, à l’inverse de ce qu’il se passe aux Etats-Unis. Le fait que les gouvernements et les entreprises partent du présupposé que l’informatique produite en Europe est mauvaise empêche de développer des services chez nous, c’est un cercle vicieux. Aux Etats-Unis, les lois obligent les administrations à acheter américain, ce qui donne aux acteurs locaux des moyens pour investir massivement. En Europe, on s’interdit malheureusement ce type de textes.

 

Allez plus loin avec Influencia

the good newsletter

LES FORMATIONS INFLUENCIA

les abonnements Influencia