Pour répondre à la question, trois constats peuvent être faits.
Tout d’abord, le cloud computing n’est pas une technologie occulte.
Ce concept, apparu sous une forme moins aboutie il y a une quinzaine d’années aux Etats-unis, signifie que les logiciels que nous utilisons et les données que nous produisons au moyen de l’informatique, ne se trouvent plus stockés sur les disques durs de nos ordinateurs placés au pied de nos bureaux ou dans des serveurs de l’entreprise.
Ils se trouvent désormais quelque part dans l’Internet dans les « nuages » sur des machines surpuissantes regroupées dans des usines à données ou data centers.
Second constat, les acteurs économiques les plus en vue de cette informatique dite en nuage, sont des groupes américains. Il s’agit notamment d’Amazon, leader mondial dans l’offre d’infrastructures cloud aux côtés de son activité historique de vente en ligne, de Google et Microsoft et d’IBM. Troisième constat, très tôt, les autorités américaines ont compris l’intérêt qu’elles peuvent tirer de cette nouvelle révolution informatique.
Trois semaines après les attentats du 11 septembre 2001, le congrès américain vote à l’unanimité l’USA Patriot Act.
Cette Loi fourre-tout dispose d’un volet électronique. Fini le temps des barbouzes branchés sur la ligne téléphonique à l’écoute des conversations, place au temps de l’interception et surtout du recueil des données. Désormais, le FBI pourra s’adresser directement aux prestataires et à les enjoindre de communiquer les données qu’ils hébergent, de leurs clients.
Le génie du texte consiste à imposer par la Loi à ces prestataires, via une injonction judiciaire très minimale et non motivée, l’interdiction de révéler à leurs clients, la transmission des données aux autorités. Plus encore, la Loi pose un principe de non responsabilité du prestataire pour n’avoir pas respecté la confidentialité des données confiées.
La justice américaine a déjà eu l’occasion de dire qu’elle considérait extensivement ces règles, en ordonnant à Microsoft de rapatrier aux Etats-Unis des données stockées en Irlande.
Dit d’une autre manière, ne sommes-nous pas tous devenus, redevables, si ce n’est justiciables des autorités américaines ?
Quant aux entreprises, on sait que les officines de renseignement des Etats remplissent des missions d’espionnage industriel au bénéfice de leurs industries nationales.
Quelle garantie a-t-on que tel constructeur d’avions, ne verra pas ses plans transmis à son meilleur concurrent, justement américain, dans ce cadre ? Qui a accès aux données récupérées et pour quelle durée ?
Face à ces enjeux, l’Europe a surtout brillé par son absence de réaction. Pire encore, on peut même parler à propos de l’ancienne commission européenne, d’incurie.
La réglementation européenne connaît un principe selon lequel les données personnelles ne peuvent être exportées hors de l’Union européenne dans un pays ne disposant pas d’une législation adéquate de protection desdites données.
En France, un traitement de paie ou un fichier clients exporté en Chine sans autres précautions, est ainsi puni de 5 ans de prison et de 300.000 euros d’amende.
Or, les Etats-Unis ne disposent justement pas d’une réglementation fédérale en la matière, ce qui ne devait pas permettre aux groupes américains de recueillir les données personnelles européennes.
La Commission européenne et le département du commerce américain ont palié la difficulté. Ils vont négocier un programme d’auto-régulation appelé Safe Harbor (Port de Sécurité).
Les entreprises américaines qui se considèrent conformes à un minimum requis en matière de données personnelles, n’ont qu’à se déclarer Safe Harbor auprès du département du commerce du gouvernement des Etats-Unis et le tour est joué. Elles peuvent alors légalement recevoir des données européennes.
Or, la Commission n’a négocié ni procédures de contrôle du Safe Harbor, ni sanctions en cas de fausses déclarations. Le caractère illusoire du Safe Harbor a été démontré par Edward Snowden et ses révélations sur le programme Prism de l’été 2013, car les entreprises désignées dans Prism pour avoir donné à la NSA un accès direct à toutes données qu’ils hébergent de leurs clients, étaient également déclarées Safe Harbor …
En dépit de cette violation manifeste, la commission européenne, les Cnil européennes, continuent aujourd’hui à faire comme si de rien n’était. Elles ont donné par le Safe Harbor, une apparence de confiance qui a probablement amené bon nombre d’entreprises européennes à faire le choix de prestataires américains déclarés dans ce programme.
Les Etats européens démontrent aussi dans cette affaire, une absence de volonté politique.
L’Europe pourrait pourtant s’inspirer du congrès américain. Celui-ci n’a pas craint d’interdire à deux équipementiers télécoms chinois, Huawey et Zte, l’accès au marché américain. La mesure était justifiée par d’obscurs motifs de sécurité nationale. Au pays du libéralisme, on aurait pu penser que la mesure déclencherait des protestations. Il n’en fut rien.
Jamais en Europe, aucun Parlement national ou le Parlement européen ne serait prêt à prendre une telle mesure. Lorsqu’on interroge un élu sur d’éventuelles mesures protectrices, celui-ci se retranche derrière un discours lénifiant d’ouverture ou de non fermeture au monde, qui cache souvent une méconnaissance des problèmes ou, pire, un désintérêt coupable.
Nous ne croyons évidemment pas qu’il existe un dessein de quelques-uns qui, réunis dans les ténèbres d’un cabinet, ont envisagé la domination du monde via le cloud computing.
Nous croyons en revanche que le monopole qui se construit patiemment en Europe de groupes américains dans ce domaine, créerait à termes si on y prend garde un vrai problème de dépendance technologique et de souveraineté européenne.
Il est temps que l’Europe fasse preuve d’une véritable volonté politique pour protéger son industrie informatique ou, au minimum, lui donner des armes égales à ses concurrents américains.
Il est temps également qu’une véritable volonté politique se dégage, exigeant des entreprises qui destinent leurs offres au marché européen, le respect de ses lois et réglementations et, par-delà, de ses valeurs.
Dans l’intervalle, il appartient aux entreprises européennes de construire une offre compétitive alternative, de se regrouper et de faire savoir que leurs offres respectent la réglementation européenne et leurs clients européens. A défaut, oui, le cloud computing sera un problème pour l’Europe.