Haro sur la souveraineté de façade

La dépendance numérique croissante de l'Europe vis-à-vis des fournisseurs technologiques étrangers - cloud en particulier - n'a cessé de s'accroitre au fil des ans. Au point de devenir une vulnérabilité à la fois économique (comme l'a montré le Cigref dans un livre blanc qui évalue cette dépendance à 260 Md€) que de sécurité (exposition de la chaine d'approvisionnement aux cybermenaces, extraction de données via l'application de lois d'extraterritorialité). "La situation difficile de l'Europe est perpétuée par le propre paradigme des marchés publics de l'UE, un modèle par défaut consistant à acheter n'importe où, qui contraste par exemple avec le modèle par défaut Buy American qui renforce activement les capacités industrielles aux États-Unis, et l'obligation claire de ne faire appel qu'à des fournisseurs locaux en Chine et ailleurs", explique Eurostack.

Pour faire prendre conscience de la nécessité de changer la donne en matière d'achats stratégiques de services numériques en Europe, ce groupement industriel a travaillé sur un cadre de réglement européen contraignant afin de distinguer clairement les fournisseurs mettant en avant une souveraineté de façade, de ceux pouvant légitimememnt et sans équivoque se revendiquer d'être fournisseur européen souverain. "Il ne s'agit pas d'une étiquette vague ou d'un jugement moral sur la fiabilité, mais d'un test technique rigoureux portant sur le contrôle substantiel et l'autonomie opérationnelle", explique Eurostack. "Ce cadre fournit le plan directeur pour retrouver notre autonomie numérique, favoriser un écosystème européen compétitif et garantir que notre secteur public repose sur une technologie souveraine. L'analyse juridique nécessaire a été effectuée, les critères techniques ont été définis et la volonté politique est présente. Le moment est venu de passer à l'action."

Que recouvre le framework Buy European ? Il s'articule en 5 axes : compétence et gouvernance (à quel système juridique et politique le fournisseur est-il finalement responsable), souveraineté technique (la technologie donne-t-elle plus de pouvoir au client ou l'enferme-t-elle dans une cage), souveraineté opérationnelle (qui contrôle l'environnement opérationnel du matériel physique à l'administrateur système), souveraineté des données (les données sont-elles protégées de manière vérifiable, tant sur le plan juridique que technique), et souveraineté économique (le fournisseur est-il un contributeur net ou un extracteur de valeur pour l'économie européenne). Pour chacun de ces domaines, des critères ont été étudiés pour poser les bases d'une analyse la plus objective possible.

Compétence et gouvernance

Domicile et gouvernance dans l'UE :  le fournisseur et l'ensemble de sa chaîne d'entités mères, jusqu'à l'entité mère ultime incluse, doivent être légalement constitués et maintenir leur siège social statutaire sur le territoire européen (UE, EEE ou AELE).

Contrôle et propriété européens : le fournisseur doit être libre de tout contrôle non européen, tant de jure (formel) que de facto (substantiel). La majorité (> 50 %) de ses droits de vote ultimes doit être détenue par des entités ou des citoyens européens, et aucune entité non européenne ne peut détenir une participation « minoritaire de blocage » ou exercer une influence déterminante par d'autres moyens (par exemple, droits spéciaux au sein du conseil d'administration, dépendances en matière de licences technologiques).  

Suprématie juridictionnelle : Le fournisseur doit être structuré juridiquement de manière à être exclusivement soumis au droit européen. Il doit démontrer que la fourniture de ses services et sa propriété intellectuelle fondamentale ne dépendent pas de contrôles à l'exportation non européens ou de licences de propriété intellectuelle restrictives qui pourraient être utilisés comme levier géopolitique pour perturber le service aux clients européens.

Souveraineté technique

Interopérabilité, portabilité et utilisation de logiciels libres : Le service doit être basé sur des normes ouvertes et utiliser principalement des logiciels libres (sous licence approuvée par l'OSI) pour ses composants essentiels. Le fournisseur doit garantir la portabilité des données et des charges de travail, en interdisant contractuellement les frais punitifs de sortie des données ou toute autre tactique visant à créer une dépendance. 

Souveraineté opérationnelle

Infrastructure et plan de contrôle de l'UE : toutes les infrastructures physiques (centres de données, réseaux) et, surtout, le plan de contrôle opérationnel utilisé pour gérer et orchestrer le service doivent être situés et exploités exclusivement depuis le territoire européen.

Personnel exclusivement européen : 100 % du personnel disposant d'un accès privilégié à l'infrastructure du service et aux données des clients doit être résident du territoire européen, employé par une entité européenne et exercer toutes ses fonctions exclusivement à partir du territoire européen.

Souveraineté des données

Résidence exclusive des données dans l'UE : toutes les données clients, y compris les données primaires, les sauvegardes, les journaux et toutes les métadonnées associées, doivent être stockées et traitées exclusivement sur le territoire physique de l'Union européenne. Aucune donnée, sous quelque forme que ce soit, ne peut être transférée ou rendue accessible en dehors de ce territoire.

Protection technique de l'accès aux données : le service doit proposer et s'engager contractuellement à utiliser des mesures techniques vérifiables, telles que le calcul confidentiel de bout en bout ou la gestion cryptographique des clés exclusivement réservée au client, afin d'empêcher.

Souveraineté économique 

Création de valeur européenne : le fournisseur doit démontrer que la majorité (> 50 %) de ses dépenses mondiales et de son personnel en recherche et développement pour la technologie de base du service sont situées sur le territoire européen.

Modèle commercial équitable et transparent :  le modèle commercial du fournisseur doit être transparent et interdire explicitement les frais punitifs de sortie des données, les ventes liées et autres tactiques commerciales de verrouillage.

Engagement envers l'écosystème européen : le fournisseur doit fournir des preuves vérifiables d'un engagement substantiel et continu envers l'écosystème européen, notamment des partenariats actifs avec des PME européennes et des contributions régulières et significatives à des projets open source pertinents.

Le CNLL raccord avec la proposition d'Eurostack

Pour le Conseil national du logiciel libre (CNLL), ce framework expose une réalité dénoncée de longue date : à savoir la dépendance numérique de l'Europe vis-à-vis de fournisseurs soumis à des lois comme le FISA et le Cloud Act américains et la pratique consistant pour un opérateur étranger à opérer via une filiale européenne qui ne change rien au contrôle exercé par la maison mère et à son assujettissement juridique. « L'heure n'est plus aux labels de confiance marketing ni aux montages juridiques qui masquent une dépendance continue. EuroStack propose une définition rigoureuse, technique et auditable de ce qu'est un véritable acteur européen du numérique. Le contrôle juridique européen est le prérequis, mais l'autonomie technologique en est l'objectif principal", explique Stéphane Fermigier, co-président du CNLL.

Reste à savoir maintenant quel sera le devenir de cette proposition de cadre réglementaire et si elle pourra bénéficier d'un écho politique afin de devenir autre chose qu'une lettre morte. Eurostack et le CNLL veulent y croire même s'il y a fort à parier que les GAFAM ne manqueront pas de monter au créneau pour torpiller cette initiative et mettre en avant leurs efforts de conversion pour répondre aux enjeux numériques européens. Le groupement industriel en appelle ainsi officiellement la Commission européenne, en particulier le vice-président exécutif Stéphane Séjourné, la vice-présidente exécutive Henna Virkkunen, la DG Connect (direction générale du numérique et des technologies) et la DG Grow (direction générale du marché intérieur, de l'industrie, de l'entrepeneuriat et des PME)  ainsi que les ministères concernés des États membres pour passer de l'analyse à l'action. Comment faire ? En adoptant ce cadre en tant que norme pour définir ce qu'est un fournisseur européen souverain et en lançant immédiatement le processus législatif pour un nouveau réglement européen basé sur les fondements juridiques et techniques. "Ce règlement doit inverser le paradigme actuel en matière de marchés publics en établissant une préférence claire et juridiquement contraignante pour les fournisseurs qui répondent à ces critères de souveraineté", assure Eurostack. Enfin, cette initiative vise à ce que ce cadre serve de base technique contraignante pour le prochain acte législatif sur les marchés publics dans le domaine du cloud et de l'IA, conformément au mandat politique explicite défini par le Parlement européen.