Souveraineté des données, nouvelle géopolitique et notre avenir avec les logiciels d’entreprise en Europe…
Dans un contexte de tensions géopolitiques croissantes, même avec des alliés de longue date, une question cruciale figure désormais en tête des priorités informatiques des organisations publiques et privées européennes : peut-on continuer à faire confiance aux fournisseurs de cloud américains pour nos données les plus sensibles ? Le point de vue de Patrick Ittah, Associé, Up Consulting
Pendant des décennies, des géants technologiques américains comme Salesforce, Microsoft, Google et Oracle ont propulsé la transformation numérique de l’Europe. « Même lorsque les données sont hébergées localement au sein de l’UE, le contrôle juridique sur celles-ci peut toujours s’étendre de l’autre côté de l’Atlantique, rappelle Patrick Ittah. En tant que cofondateur d’un cabinet de conseil Salesforce, je suis le témoin direct de ce dilemme, non seulement pour nos propres opérations, mais surtout pour nos clients qui comptent sur nous pour les aider à naviguer dans un environnement de plus en plus complexe. »
Aujourd’hui, près de 75 % des applications d’entreprise en Europe reposent encore sur des services cloud américains. Non sans dangers. « Du Safe Harbor au Privacy Shield, le cadre reste fragile. En 2000, l’accord Safe Harbor a été établi pour permettre aux entreprises américaines de traiter des données européennes tout en respectant les normes européennes de confidentialité. Mais en 2015, la Cour de justice de l’Union européenne l’a invalidé, invoquant une protection insuffisante contre les lois américaines sur la surveillance… »
Son successeur, le Privacy Shield, a connu le même sort en 2020 avec l’arrêt historique Schrems II. Au cœur de ces deux décisions : des lois américaines comme le Patriot Act, le FISA et le CLOUD Act, qui accordent aux autorités fédérales un accès étendu aux données, quel que soit leur lieu de stockage physique. « Ce déséquilibre juridique continue de mettre à mal la confiance, notamment dans les secteurs de la santé, de la finance ou des services publics », reconnait Patrick Ittah.
Chiffrement et BYOK : solutions miracles ou illusions sophistiquées ?
En réponse, les fournisseurs de cloud ont déployé des outils de chiffrement et des fonctionnalités de contrôle. Salesforce, par exemple, propose des solutions comme Salesforce Shield, Bring Your Own Key (BYOK) et Hold Your Own Key (HYOK), permettant aux clients de gérer le chiffrement de manière autonome.
« Cependant, le chiffrement, bien que rassurant, n’est pas une protection parfaite, nuance Patrick Ittah. Il peut limiter l’utilisation de fonctionnalités puissantes comme l’IA, l’automatisation et l’analyse avancée. Les experts juridiques affirment que, sous la juridiction américaine, les fournisseurs pourraient toujours être contraints de transmettre des données déchiffrées. Si ces outils renforcent certes la confiance, ils garantissent rarement une souveraineté totale ! »
Hyperforce : la réponse régionale de Salesforce
Salesforce a commencé par proposer un hébergement régional en Europe, avec des centres de données dédiés en France et en Allemagne. « Cela était particulièrement important pour les clients basés au Luxembourg qui devaient se conformer à des exigences locales strictes en matière de données », note Patrick Ittah.
Hyperforce, l’architecture nouvelle génération de Salesforce, lancée en 2020, permet aux clients de stocker leurs données localement et de les déployer à l’échelle mondiale, avec une plus grande flexibilité et un respect accru des normes régionales. Hyperforce prend également en charge l’hébergement via des partenaires d’infrastructure comme AWS et permet des stratégies multicloud, offrant ainsi aux clients une plus grande autonomie.
« Chez Up Consulting, nous considérons Hyperforce comme une option révolutionnaire pour les entreprises qui souhaitent conserver le contrôle et l’innovation. »
Confiance, l’essor des initiatives de cloud souverain
Parallèlement, les gouvernements et les entreprises technologiques européens investissent dans des solutions de cloud souverain, comme Clarence/Proximus Luxembourg et Deep/OVHcloud au Luxembourg.
Ces solutions visent à assurer l’autonomie des données et une supervision nationale, mais des défis d’intégration subsistent. La plupart ne sont pas encore compatibles avec des systèmes multinationaux complexes, et de nombreux écosystèmes logiciels sont encore étroitement liés à des fournisseurs américains.
« C’est pourquoi de nombreuses entreprises adoptent des approches hybrides, continue Patrick Ittah. Celles-ci maintiennent des plateformes mondiales tout en évaluant les options souveraines pour les systèmes hautement sensibles. »
CIO et directeurs des données : les nouveaux diplomates de la souveraineté numérique
L’architecture cloud n’est plus seulement une question technique, c’est une décision stratégique, voire diplomatique. « Les responsables informatiques d’aujourd’hui doivent prendre en compte non seulement les coûts, les performances et l’expérience utilisateur, mais aussi les risques juridiques, les évolutions réglementaires et les tensions politiques. »
Le dilemme est clair : comment les organisations européennes peuvent-elles bénéficier de l’innovation mondiale sans compromettre leur souveraineté ? Il n’existe pas de réponse unique. Chaque organisation doit définir ses propres lignes rouges, prioriser ses valeurs et concevoir ses solutions en conséquence.
Vers une souveraineté pragmatique
Lorsqu’on parle de souveraineté, on parle souvent d’infrastructure. Mais les véritables enjeux résident dans la couche applicative : quels logiciels manipulent vos données et qui les contrôle ?
Il est temps de changer de mentalité ! Passer de la recherche de performances optimales à la construction de la robustesse. Passer de la résilience (reprise après une perturbation) à une conception robuste (résistance aux chocs avant qu’ils ne surviennent). Egalement du recours à des solutions mono-fournisseur à l’adoption de la diversité, de la redondance et de l’agilité.
« Soyons clairs : cela s’applique à toutes les infrastructures, qu’elles soient souveraines, hybrides ou privées, insiste Patrick Ittah. Aucun fournisseur n’est à l’abri des perturbations, de la réglementation ou des changements stratégiques. »
La COVID-19 a révélé les vulnérabilités des chaînes d’approvisionnement technologiques mondiales. Ensuite, l’acquisition de VMware par Broadcom a contraint les entreprises à réévaluer leurs outils de virtualisation. Actuellement, la guerre en Ukraine suscite des stratégies d’indépendance énergétique en Europe. « Le prochain choc est imminent, estime Patrick Ittah. Il est temps de se préparer !
Avec confiance et clarté…
Au niveau des entreprises, les organisations doivent intégrer la souveraineté à leur stratégie numérique et concevoir des architectures robustes dès leur conception. Au niveau européen, les institutions doivent renforcer activement les cadres juridiques et techniques régissant l’adoption du cloud, afin que les organisations puissent continuer à bénéficier de plateformes de classe mondiale sans compromettre leur contrôle. Sur le plan stratégique, enfin, nous devons créer les conditions propices à l’émergence de nouveaux leaders technologiques européens, comme les États-Unis l’ont déjà fait il y a plusieurs décennies.
« En tant que partenaire conseil de confiance, intégré à l’écosystème européen, nous gérons chaque jour cette complexité. Aucune plateforme n’est parfaite ! Mais soyons honnêtes : aujourd’hui, aucun autre fournisseur n’égale Salesforce en termes d’innovation continue, de fiabilité de la plateforme et de maturité de l’écosystème. C’est pourquoi nous pensons que la priorité ne doit pas être de s’opposer aux plateformes mondiales, mais de gérer leur utilisation avec confiance et clarté et de concentrer notre énergie là où elle compte : la création de systèmes durables. »
La véritable souveraineté ne consiste pas à réagir au monde. Il s’agit de concevoir des systèmes -et des stratégies- qui perdurent.
