La fusée Gaia-X décolle véritablement ce mois-ci. C'est en effet début février que cette ambitieuse initiative européenne associant l'Allemagne et la France a été officiellement constituée suivie en mars par une toute première assemblée générale. Une étape cruciale qui débouchera sur la nomination du premier conseil d'administration de l'association. La particularité de ce conseil est d'être élu par les 22 membres fondateurs de Gaia-X, jusqu'à un prochain élu par une bien plus large assemblée générale intégrant près de 200 membres. « Ceux qui se sont vantés de faire partie de Gaia-X l'ont fait trop tôt, car tant que l'association n'est pas formée, nous n'avons pas le pouvoir d'accepter ou de ne pas accepter certains membres », nous a expliqué d'emblée Hubert Tardieu, CEO par interim de Gaia-X. « Tout ce qui ressemble à des critiques d'avoir tardé n'est pas justifié, et tous ceux qui qui ont indiqué en faire partie l'ont fait à leurs risques et périls. Certains comme Palantir ont fait leur malin, c'est de leur responsabilité d'avoir dit qu'ils rejoignaient Gaia-X ». L'arrivée du spécialiste des technologies de renseignement dans la liste des candidats à l'initiative germano-française avait en effet eu de quoi largement surprendre. Pour certains observateurs, la messe semble toutefois déjà dite : « Je ne retiendrai pas mon souffle pour savoir si tel ou untel sera accepté, car ils le seront tous », tranche Bernard Benhamou, secrétaire général de l'institut de la souveraineté numérique. 

Pourquoi autant de temps pour lancer Gaia-X avec des statuts d'association internationale sans but lucratif (AISBL) ? Le 15 septembre 2020, l'ensemble des signatures des membres fondateurs a été remis ainsi que ses statuts, mais ce n'est que fin décembre dernier que le décret royal a été établi par l'administration belge avant notification reçue seulement fin janvier 2021. Constitué le 4 juin 2020 par 22 entreprises, fournisseurs, associations et instituts de recherche (BMW, EDF, Mines Telecom, OVHCloud, Outscale, T-Systems, Michelin, Airbus...), Gaia-X a pour ambition de créer un écosystème cloud et données interopérable, sécurisé et répondant à des enjeux de portabilité. « La façon dont Gaia-X a posé le problème est le suivant : nous voulons à la fois favoriser le partage des données dans les grands domaines que sont la santé, le manufacturing, l'énergie, la finance, car nous sommes absolument convaincus que le partage des données à l'intérieur d'un même écosystème va permettre à l'Europe de garder sa primauté sur un certain nombre de domaines, et partager les données de santé, automobile, énergie est clé pour que l'industrie européenne se développe », poursuit Hubert Tardieu. Mais alors si l'Europe a, la main sur le coeur, l'envie, la nécessité et un besoin irrépressible de créer cet « écosystème de partage de données », que viennent faire là-dedans des opérateurs, fournisseurs et hyperscalers américains et chinois ? Pourquoi l'Europe n'est-elle pas en mesure de prendre seule en main sa destinée en matière de cloud et de data ? Est-ce un aveu de faiblesse ou un révélateur de l'incapacité de l'Europe à se débrouiller seuls ?

Hubert Tardieu

« Je comprends que cela puisse heurter de voir entrer des américains et des chinois mais on refuse déjà ceux qui n'ont pas leur siège social en Europe et on a eu une session difficile pour expliquer aux hyperscalers qu'ils étaient bienvenus mais n'avaient pas le droit de participer au conseil d'administration et qu'ils ne pourraient pas participer aux décisions structurantes de l'association », nous a expliqué Hubert Tardieu, CEO par interim de Gaia-X. (crédit : Atos)

Des acteurs US et chinois acceptés dans Gaia-X sous réserve de montrer patte blanche

Dans un contexte où 75% des utilisateurs cloud en Europe recourent à des opérateurs cloud américains (AWS, Microsoft Azure, Google Cloud et IBM), il apparait compliqué en fait de lutter contre le vent. « Entendre que la seule façon de rééquilibrer les choses, c'est de faire naitre un cloud provider européen qui va renouveler l'offre et damer le pion aux hyperscalers américains est un raisonnement inaudible », souffle Hubert Tardieu. « Tous nos membres, EDF ou Airbus, sont sur le point de prendre des décisions pour basculer dans le cloud et tous les arguments pour faire oublier les hyperscalers, ceux-là ne veulent pas l'entendre car ils veulent profiter des bénéfices eu cloud, du ROI et des capacités à partager les données ».

Du côté de Gaia-X, les choses semblent donc bien claires et établies depuis le début : il n'a jamais été question de faire émerger un écosystème cloud et de données souverain et sécurisé porté par des acteurs 100% européens, mais bien d'inviter à la table des fournisseurs américains et chinois sous réserve que ces derniers montrent patte blanche. En particulier en se conformant aux fameuses policy rules et providers requirements, servant de base à la création d'offres open source et de prototypes répondant aux grands principes de Gaia-X en termes de sécurité, portabilité et réversibilité ayant vocation à être commercialisés. Cela veut-il dire dès lors qu'une fois acceptés en tant que membres de Gaia-X, ces derniers ont tué dans l'oeuf ce beau rêve de cloud souverain européen ? En tout cas, ce n'est pas la Commission européenne qui pourrait faire pression sur le conseil d'administration de Gaia-X pour l'obliger à adopter ou refuser telle ou telle candidature d'après son CEO par intérim. « La Commission européenne ne pourra pas nous indiquer ce que l'on a à faire. Gaia-X ne va pas recevoir le moindre euro de la Commission européenne, nous avons les cotisations  [de 2 500 à 75 000 € selon la taille des membres, NDLR] qui nous permettent de faire vivre nos équipes et nous ne dépendrons jamais de la Commission », assure Hubert Tardieu. Un avis que ne partage pas Bernard Benhamou : « Les allemands ont insisté pour que ce soit day one pour Google et AWS, et quoi qu'il se passe ils rentreront tous, sauf à ce que la Commission européenne tape du poing sur la table ».

Parmi les principaux intéressés, Google n'apparait cependant pas de cet avis : « En fait nous sommes déjà partenaires de GaiaX et ravis de l'être, au même titre que de nombreuses sociétés technologiques, mais n'avons pas vocation à être membres », nous a indiqué un porte-parole du groupe. « Nous contribuons aux groupes de travail techniques, notamment en apportant notre expertise des standards de sécurité et confidentialité des données dans tous types d'environnement cloud et qui permettent aux entreprises de contrôler elles-mêmes leurs données ».

Gaia-X

Principales briques de fonctionnement des interactions de Gaia-X. (crédit : Gaia-X)

Gaia-X égratignée par la Chambre de Commerce américaine

Concernant l'arrivée des opérateurs américains et chinois dans Gaia-X, les garde-fous seront-ils suffisamment solides pour éviter qu'une petite partie de leur portefeuille d'offres soit labellisée « Gaia-X friendly » et serve de tête de pont à la vente de services qui le sont beaucoup moins. « Je comprends que cela puisse heurter de voir entrer des américains et des chinois mais on refuse déjà ceux qui n'ont pas leur siège social en Europe et on a eu une session difficile pour expliquer aux hyperscalers qu'ils étaient bienvenus mais n'avaient pas le droit de participer au conseil d'administration et qu'ils ne pourraient pas participer aux décisions structurantes de l'association », fait savoir Hubert Tardieu. « Cela nous a valu des critiques acerbes de la Chambre de commerce américaine et des manifestations de mauvaise humeur terribles ».

Dans sa lettre, dont un extrait nous a été rapporté par une source proche du dossier, la Chambre a effectivement montré son inquiétude, sans pour autant adopter un ton cataclysmique : « Nous sommes troublés par les conclusions adoptées lors du Conseil européen de la semaine dernière, notamment l’opinion selon laquelle l’UE devrait veiller à ce que les données européennes puissent être stockées et traitées en Europe. De même, le projet de déclaration conjointe du Conseil sur « Construire l’approvisionnement cloud de nouvelle génération pour l’Europe » postule que les capacités du cloud ne devraient pas être soumises aux lois de juridictions étrangères ».

Stéphanie Finck

 « A ce stade, les offres labellisés ne sont pas déterminées car le label et les critères d'obtention ne le sont pas non plus », nous a expliqué Stéphanie Finck, senior director, EMEA Government Affairs chez Salesforce. (crédit : Salesforce)

Lors du dernier Summit Gaia-X, les fournisseurs américains ont indiqué souhaité participer à cette initiative tout en reconnaissant qu'ils ne feraient pas partie du conseil d'administration ». « AWS a confirmé avoir signé la lettre d'intention pour rejoindre Gaia-X, on a participé à plusieurs travaux techniques et soutenu depuis ses débuts cette initiative dans les groupes de travail software et architecture, infrastructure opérationnelle, stockage, calcul et réseau, et certification et accréditation », nous a expliqué un porte-parole d'AWS. Après avoir déposé sa candidature en novembre 2020, Salesforce a de son côté été associé à Gaia-X en tant qu'early member et la réception de sa candidature a été confirmée, sans pour autant signifier qu'elle soit validée.

Pour Gaia-X, l'intégration des acteurs du cloud américains et chinois ne poseraient donc pas de problème fondamental : ces derniers acceptant de se plier aux exigences de l'association cela suffirait à garantir qu'ils tiennent leurs promesses. Oui mais voilà, certaines injonctions dépassent clairement la bonne volonté et les efforts des fournisseurs étrangers pour assurer la confidentialité et la préservation de l'intégrité des traitements des données. Ce serait en effet un peu vite balayer d'un revers de main la puissance d'un certain Cloud Act permettant aux autorités judiciaires et administratives américaines - ainsi que les plus grandes agences de renseignement outre-Atlantique - de mettre le nez dans des données considérées comme étant une bonne fois pour toute à l'abri. « Gaia-X a été vendu initialement comme une réponse à ce qu'était l'emprise des GAFAM dans le cloud, dans un contexte dominé par les chinois et les américains en matière de stockage des data sensibles », avance Franck Decloquement, expert en intelligence économique, enseignant à l'IRIS & IHEDN, membre du CEPS, du Cercle K2 et de la CyberTaskForce. « Le souci est qu'au départ l'idée de Gaia-X était de porter un écosystème de confiance qui permettrait au niveau européen de se prémunir contre l'extraterritorialité possible des données liées au Cloud Act. Ce qui les rend naturellement accessibles aux agences de sécurité nationale américaines. Là où cela a commencé à déraper, c'est quand on a commencé à nous expliquer que Gaia-X serait également ouvert aux grandes firmes américaines à l'image de Palantir et pas uniquement aux entreprises européennes ».

Pas de moyen de garantir l'extraterritorialité américaine

« Nous n'avons pas la capacité à aller contre certains points d'extraterritorialité américains », concède Hubert Tardieu. « Mais en revanche toutes les fois où les données font l'objet d'une demande extraterritoriale, cela figure noir sur blanc dans les contrats. On va trouver des dissymétries contractuelles partout comme l'absence de réversibilité, soit pour un aspect technique ou une considération de coûts. Je veux que tout ceci soit discuté explicitement en présence des concurrents. Je ne dit pas que l'on va y arriver et que tout ceci devienne transparent mais cela contribue à la réticence énorme des grands utilisateurs à recourir au cloud ». Rien n'est cependant gagné d'avance : « Gaia-X donne accès à des opérateurs économiques en capacité de respecter un cahier des charges RGPD dont la portabilité, mais je ne comprends pas comment cela pourrait se faire sans un changement de la législation américaine car ce verrou bloque tout », analyse Jean-Luc Sauron, haut-fonctionnaire et professeur à l'université Paris-Dauphine et directeur du DU RGPD DPO, intervenu lors de la dernière Université de l'AFCDP. « Le problème aujourd'hui c'est l'émergence rapide de champions européens, cela avance mais il faut mettre le paquet sur la technologie et vraiment mettre en avant les moyens ».

« Dans notre monde il y a toujours la carotte et pas très loin le bâton. Ce que nous pensons c'est que  les policy rules qui auront fait montre de leur efficacité pourront être rendues obligatoires en étant exigées dans des appels d'offres publics. Et une fois populaires, la Commission européenne pourra décider de les rendre obligatoires », indique Hubert Tardieu. Oui mais voilà, rien ne dit justement si ces fameuses policy rules sauront trouver un écho parmi les hyperscalers et c'est là le principal noeud du problème. « Le jour où Google dira être d'accord avec ces policy rules et AWS que c'est tranché, c'est que l'on aura bien posé le problème avec les gens qui ont envie que ça réussisse », veut croire Hubert Tardieu. « Ce que Gaia-X va auditer c'est le processus mis en oeuvre par les fournisseurs de services cloud pour implémenter les policy rules, son rôle n'est pas de mettre une amende mais d'auditer si les principes de localisation et de réversibilité sont appliqués ». Dans un passé pas si lointain, la garantie de qualité logiciel de type CMMI 3 était exigée et de nombreuses SSII avaient alors crié au loup et se sont toutes adaptées. Cela sera-t-il le cas pour les acteurs du cloud ? L'histoire nous le dira mais il faudra attendre un peu pour le savoir... En attendant, les hyperscalers étrangers multiplient les implantations de datacenters sur le sol européen, en particulier français. Ceci afin de répondre aux attentes des entreprises locales (latence) et surtout se tenir prêts au maintien de leur activité commerciale sur le vieux continent si les règles se durcissent. Une tendance tenant moins d'un engagement philosophique que d'un avenir dans lequel ils n'auront tout simplement plus le choix pour respecter des contraintes juridiques et réglementaires devenues incontournables.

« Concernant les données pouvant tomber sous le coup de demandes gouvernementales étrangères, lesquelles demandes doivent faire l'objet d'une décision judiciaire dans le pays émetteur si on parle des US, nous proposons depuis assez longtemps un système de gestion des clés de chiffrement et de contrôle d'accès aux données : ce sont les entreprises qui décident de communiquer ces clés/de laisser accéder. Cela suit, toujours, la logique de donner le contrôle total de leurs données à nos clients », tente de rassurer sur ce point un porte-parole de Google.

Bernard Benhamou

Pour Bernard Benhamou, secrétaire général de l'institut de la souveraineté numérique, l'entrée de tous les hyperscalers américains dans Gaia-X ne fait aucun doute. (crédit : Bernard Benhamou)

50% du catalogue Atos Gaia-X-friendly

Qu'ils soient européens ou bien américains, les fournisseurs de services cloud et de traitement de données, ont tous à coeur de mettre en avant leur participation dans Gaia-X. Certains se montrent toutefois plus transparents sur les offres qui vont pouvoir potentiellement bénéficier du label Gaia-X. C'est le cas, sans surprise, des acteurs français et notamment d'Atos qui évalue à près de 50% la part de ses offres éligibles, comprenant en particulier son portefeuille de solutions Evidian (sécurité), Sequana (HPC)... « Nos produits sont construits pour répondre aux standards et à l'architecture ouverte de Gaia-X », nous a assuré Klaus Ottradovetz, expert cloud et IoT chez Atos. « Gaia-X doit permettre de mettre un terme à la fragmentation des standards de qualité. Cela va permettre de générer pour Atos et de contribuer très fortement à l'activité ». Pour autant, difficile d'estimer exactement en termes de chiffre d'affaires ce que les solutions estampillées Gaia-X pourront rapporter à la société de services. Même son de cloche chez OVHCloud. « Les choses se mettent en place, on n'est pas dans une logique d'offre, on établit des principes », nous a expliqué Caroline Comet-Fraigneau, directrice d’OVHCloud pour la France et le Benelux. « Tous nos grands clients ont des préoccupations en termes de souveraineté mais ils ont encore un peu de mal à appréhender ce que Gaia-X pourra leur garantir dans l'avenir une fois les standards définis ». En France, des organisations comme le Cigref, pilote du French Hub Gaia-X, sont à la manœuvre pour sensibiliser les entreprises et les convaincre des bienfaits de Gaia-X : « Notre rôle c'est de comprendre et de vérifier avec notre propre gouvernance les enjeux avant ensuite de faire de la mobilisation auprès des grandes entreprises », nous a expliqué Henri d'Agrain, délégué général du Cigref. « On fait de la pédagogie et de la mise en relation. On travaille avec la direction générale des entreprises, le pôle de compétitivité Systematic et l'Académie des technologies, un acteur important notamment pour les travaux de prospective et d'anticipation, mais aussi pour ses liens étroits avec son homologue allemand, Acatech, qui anime le german hub ».

Chez les fournisseurs américains, la question de la part des offres Gaia-X labelisables est en revanche plus vaporeuse. « Il n'y a pas d'offres labellisées à ce jour mais un ensemble de processus, codes de pratiques et règles de normes européennes de mise en conformité à suivre », indique-t-on chez AWS. Du côté de Salesforce, rien n'est également décidé : « A ce stade, les offres labellisés ne sont pas déterminées car le label et les critères d'obtention ne le sont pas non plus », nous a expliqué Stéphanie Finck, senior director, EMEA Government Affairs chez Salesforce. Concernant Microsoft, aucun porte-parole n'a répondu à nos questions, l'éditeur s'étant contenté de nous faire parvenir une déclaration enfonçant de nombreuses portes ouvertes : « Nous sommes impatients de pouvoir contribuer à la réalisation de ce projet en faveur d’une économie numérique compétitive en Europe et bénéfique à tous les citoyens [...] Nous sommes reconnaissants de l’occasion qui nous a été offerte de contribuer à aider les entreprises européennes à stimuler l’innovation numérique et à être compétitives à l’échelle mondiale ».