Pas grave si vous ne respectez pas les exigences juridiques, vous pouvez vous rattraper par vos investissements en Europe.

Le CISPE interprète ainsi le Cloud Sovereignty Framework.

L’association représentative des CSP européens ne mâche pas ses mots au sujet de ce document qui doit servir de référence pour la commande publique de services cloud au niveau de l’UE. Elle y voit une porte grande ouverte aux hyperscalers étrangers.

Le Cigref et Gaia-X comme références

Le Cloud Sovereignty Framework doit fournir une grille de lecture « souveraine », articulée en 8 objectifs. Sa première mise en application est censée se faire dans le cadre d’un appel d’offres à 180 M€. Lequel permettra aux institutions, organes, bureaux et agences de l’UE d’acheter ses services IaaS et PaaS pour 6 ans. Jusqu’à 4 fournisseurs obtiendront un contrat (attribution prévue entre décembre 2025 et février 2026).

La Commisison européenne dit s’être inspirée du référentiel cloud de confiance du Cigref, des règles de Gaia-X et du cadre européen de certification de cybersécurité (NIS 2 et DORA sont cités). Elle évoque aussi les stratégies nationales « comme en France et en Allemagne ». Ainsi que les pratiques internationales en matière de contrôle des exportations, de résilience des chaînes d’approvisionnement et d’audits de sécurité.

Les 8 objectifs du Cloud Sovereignty Framework

Nous reprenons ci-dessous les 8 objectifs du Cloud Sovereignty Framework et les principaux enjeux qui les sous-tendent, tels que formulés.

Souveraineté stratégique

• Les organismes ayant la décision finale sur les services sont soumis à une juridiction européenne.
• Garanties contre le changement de contrôle
• Degré de dépendance du fournisseur à des financements de sources européennes
• Niveau d’investissement, de création d’emploi et de valeur dans l’UE
• Implication dans des initiatives européennes (cohérence avec les objectifs de souveraineté numérique et industrielle définis par l’UE)
• Capacité à maintenir une exploitation sécurisée en cas d’injonction à suspendre ou cesser la fourniture du service

Souveraineté légale et juridictionnelle

• Juridiction nationale gouvernant les activités et les contrats du fournisseur
• Degré d’exposition à des lois extraterritoriales non européennes à portée transfrontalière
• Existence de canaux juridiques, contractuels ou techniques par lesquels des autorités non européennes pourraient obtenir un accès aux données ou aux systèmes
• Applicabilité de régimes internationaux qui pourraient restreindre l’usage ou le transfert
• Juridiction où la propriété intellectuelle est créée, déposée et développée

Souveraineté des données et de l’IA

• Le client seul a un contrôle effectif sur l’accès cryptographique à ses données.
• Visibilité sur les accès aux données et sur l’usage des modèles d’IA ; mécanismes garantissant une suppression irréversible, avec preuves vérifiables
• Confinement strict du stockage et du traitement dans des juridictions européennes, sans repli vers des pays tiers
• Niveau de dépendance à des stacks technologiques non européennes (mesure dans laquelle les modèles d’IA et les pipelines de données sont développés, entraînés et hébergés sous contrôle européen)

Souveraineté opérationnelle

• Facilité de migration des workloads ou d’intégration avec des solutions alternatives européennes
• Capacité de gestion, maintenance et support sans implication de fournisseurs non européens
• Disponibilité de compétences dans l’UE
• Support opérationnel depuis l’UE et soumis exclusivement à des cadres juridiques européens
• Documentation technique complète, code source et ressources pour permettre une autonomie sur le long terme
• Localisation et contrôle juridique des fournisseurs et/ou des sous-traitants critiques

Souveraineté de la chaîne d’approvisionnement

• Origine géographique des composants physiques clés, lieu de fabrication
• Provenance du code embarqué contrôlant le matériel
• Origine du logiciel (où et par qui est-il programmé ? quelle(s) juridiction(s) gouverne(nt) le packaging, la distribution et les mises à jour ?)
• Degré de dépendance à des fournisseurs, usines ou technologies propriétaires non européens

Souveraineté technologique

• API ou protocoles bien documentés et non propriétaires ; adhésion à des standards de gouvernance largement adoptés
• Logiciels accessibles sous des licences ouvertes, avec droits d’audit, de modification et de redistribution
• Visibilité sur la conception et le fonctionnement du service (dont documentation de l’architecture, des flux de données et des dépendances)

Souveraineté de la sécurité et de la conformité

• Certifications européennes et internationales
• Adhérence au RGPD, à la NIS 2, à DORA et à d’autres cadres européens
• SOC et équipes de réponse foncitonnant exclusivement sous juridiction européenne ; contrôle direct de la supervision et de la journalisation par des acteurs européens (clients ou autorités)
• Signalement transparent et dans des délais raisonnables pour les failles et les vulnérabilités ; capacité à développer, tester et appliquer des correctifs sans dépendance à des fournisseurs non européens
• Capacité, pour des entités européennes, d’effectuer des audits indépendants de sécurité et de conformité

Soutenabilité environnementale

• Efficacité énergétique des infras (PUE bas) et objectifs d’amélioration mesurables
• Pratiques d’économie circulaire (réutilisation, reconditionnement, recyclage)
• Divulgation transparente des émissions carbone, de l’usage d’eau et d’autres indicateurs
• Approvisionnement en énergies renouvelable ou bas carbone

5 échelons de garantie

Sur chaque objectif, on détermine un niveau d’assurance entre 5 échelons :

0 (pas de souveraineté)
Service, technologie ou activité sous le contrôle exclusif de tiers non européens entièrement soumis à des juridictions non européennes.

1 (« souveraineté juridictionnelle »)
La législation de l’UE s’applique, mais son exécution est limitée en pratique.
Service, technologie ou activité sous le contrôle exclusif de tiers non européens.

2 (« souveraineté des données »)
La législation de l’UE est applicable et exécutoire.
D’importantes dépendances demeurent (service, technologie ou activité sous contrôle indirect de tiers non européens).

3 (« résilience numérique »)
La législation de l’UE est applicable et exécutoire.
Les acteurs européens exercent une influence significative mais pas totale (service, technologie ou activité sous contrôle marginal de tiers non européens).

4 (« souveraineté numérique complète »)
Technologie et activité sous contrôle européen total, sujettes seulement à la législation de l’UE, avec aucune dépendance critique à du non européen.

« On ne peut pas être souverain à 75 %« 

En complément au niveau d’assurance, on calcul un « score de souveraineté », avec une pondération par objectif :

• Souveraineté stratégique : 15 %
• Souveraineté légale et juridictionnelle : 10 %
• Souveraineté des données et de l’IA : 10 %
• Souveraineté opérationnelle : 15 %
• Souveraineté de la supply chain : 20 %
• Souveraineté technologique : 15 %
• Sécurité/conformité : 10 %
• Environnement : 5 %

Cette pondération prend en compte le fait que la procédure de commande contient déjà des garde-fous importants dans certains domaines, comme la souveraineté juridique et la sécurité/conformité, précise Bruxelles.

Le CISPE estime qu’un tel système créant une « moyenne de moyennes » ne favorise pas la transparence. L’association regrette par ailleurs la présence d’objectifs « inatteignables » (contrôle européen complet sur tous les composants matériels) et d’idées « vagues » (garanties sur le changement de contrôle). « On ne peut pas être souverain à 75 %, ajoute-t-elle : on l’est ou on ne l’est pas, comme un aliment est bio ou pas« .

EuroStack avance son propre framework

À l’instar du CISPE, l’initiative industrielle EuroStack se demande dans quelle mesure un fournisseur mal noté sur les deux premiers critères pourait se rattraper sur les autres. Elle rappelle avoir récemment publié sa propre proposition de framework, et souligne les différences avec celui de la Commission européenne. Parmi elles :

• Contrôle et juridiction
  EuroStack a adopté une approche « séquentielle » : le contrôle juridictionnel est un prérequis non négociable, avec des critères « précis et auditables » (localisation de l’ultime entité mère, seuil de droits de vote…).
•  Technologie et ouverture
  Chez EuroStack, pour gagner des points sur la dimension technique, le service doit être basé sur du logiciel open source. Et il doit permettre, au-delà des API ouvertes, la réversibilité opérationnelle (possibilité de reprise d’exploitation par un tiers).
• Contrôle et protection des données
  EuroStack revendique des critères plus explicites et rigoureux. Son framework précise notamment que le stockage et le traitement dans l’UE doivent englober les métadonnées, les sauvegardes et les logs.
• Contrôle opérationnel
  Sur ce volet, les critères sont dits plus spécifiques et quantitatifs. En particulier, ils identifient le plan de contrôle comme un composant critique et en exigent la localisation dans l’UE. Il imposent par ailleurs que 100 % du personnel disposant d’accès à privilèges soit sous juridiction européenne.
• Contribution économique et création de valeur
  Le framework d’EuroStack précise que la majorité des dépenses et du personnel R&D sur le cœur technologique doit être localisée dans l’UE.

Deloitte, qui a un partenariat avec AWS, avance les choses différemment. Il envisage un framework à 4 couches (opérations, data, logiciel/infra, sécurité)… et affirme que l’offre AWS Sovereign Cloud y répond (isolation physique et logique, exploitation indépendante, support technique par des résidents de l’UE, etc.).

Hexadone a aussi réagi… pour mettre en avant l’intérêt de ses prestations (valorisation des données territoriales). La coentreprise Orange-Banque des territoires juge que le pilier data et IA du Cloud Sovereignty Framework reste focalisé sur les aspects techniques et juridiques. Alors que la souveraineté des territoires repose aussi – « et surtout » – sur la manière dont les données sont produites, partagées et gouvernées. « La vraie souveraineté ne consiste pas seulement à héberger des fichiers en Europe, mais à garder la main sur leur sens, leur usage, leur impact« , explique-t-elle.

Illustration générée par IA

The post Cloud Sovereignty Framework : pourquoi l’UE essuie des critiques appeared first on Silicon.fr.