Comment acheter du « cloud » compatible avec la souveraineté numérique ? La réponse à cette question est loin d’être simple. Elle soulève beaucoup d’enjeux juridiques, politiques et financiers.
 

Le cloud computing ou "informatique dans les nuages" en français, ne fait pas l’objet d’une définition explicite. On pourrait néanmoins, à partir de ses usages, l’appréhender comme une technologie assurant le stockage, l’utilisation, le traitement et la gestion des données par le biais de machine de calcul. Celles-ci sont basées sur des serveurs distants centralisés dans des centres de données, tout le contraire des systèmes on-premise encore répandus dans l’Administration.
 

Le cloud est longtemps demeuré persona non grata pour le service public. Entre la multiplicité des documents traités et stockés par les services publics, la recherche de machines de calcul plus performantes, la prolifération des cyberattaques à l’encontre des services publics, l’augmentation des coûts de personnels et de maintenance des systèmes informatiques, le cloud se présente comme une panacée viable et sécurisée. Mais la question de sa sûreté demeurait jusqu’ici une interrogation persistante.

Le cloud répond parfaitement aux textes réglementaires du service public en termes de disponibilité des ressources (continuité) en offrant des solutions d’adaptabilité, de fonctionnalité et de mutabilité importantes

Le cloud a également l’avantage de répondre parfaitement aux textes réglementaires du service public en termes de disponibilité des ressources (continuité) en offrant des solutions d’adaptabilité, de fonctionnalité et de mutabilité importantes.
Justement, le contrôle sur nos données gérées stockées dans le cloud interroge aussi notre capacité à faire évoluer le droit en assurant notre indépendance vis-à-vis des fournisseurs cloud essentiellement étrangers.

Ce cloud pose la question de la souveraineté a minima nationale et éminemment européenne

Les géants américains et chinois (Google, Amazone, Microsoft et Alibaba) détiennent plus de 75% des parts de marché cloud contre moins de 2% pour les opérateurs français. Les financements importants réalisés par l’Europe et notamment par la France pour soutenir le développement et déploiement d’un cloud européen auront surtout permis aux entreprises concernées d’accroître leur chiffre d’affaires ! L’écart avec les acteurs américains ayant progressé sur la période avec une chute de 50% des parts de marché des acteurs européens en 2022.
La France l’a bien compris, Bruxelles n’est pas encore prête pour le cloud paneuropéen. Le cloud souverain français de cloud national est donc sur les rails.

Et pourquoi a-t-il besoin d’être souverain ?

La question de sûreté justement, le cloud souverain, c’est le cloud sûr. Il est sûr car il est hébergé en France, le traitement et le stockage des données sont localisés en France. Le cloud souverain est également celui qui requiert le visa "made in France"SecNumcloud. Il est opéré par une société française ; il est territorial de droit et de juridiction compétente. Il est conforme au RGPD et à la loi Informatique et liberté en tout point. Le cloud souverain est le cloud qui a pris pleinement conscience de la jurisprudence Schrems II de la CJUE. Il renonce et dénonce le privacy shield ; régime de transferts de données entre l’Union européenne et les États-Unis.
Le cloud souverain est gage de sûreté et de souveraineté.

Une commande publique en retard vis-à-vis des enjeux liés au cloud souverain ?

La transition vers le cloud souverain est engagée et pourtant, la commande publique ne suit pas le mouvement. Pour l’illustrer, le CCAG TIC est inadapté au marché du cloud, 40% de ces articles nécessitent d’être modifié et/ou adapté pour les marchés publics du cloud.

le CCAG TIC est inadapté au marché du cloud, 40% de ces articles nécessitent d’être modifié et/ou adapté pour les marchés publics du cloud

Au-delà des risques (environnement, pollution électrique), les contrats de cloud sont presque des contrats d’adhésion, l’éloignement de l’acheteur vis-à-vis de ce type de marché, la facturation difficilement maîtrisable et imputable sur le budget de fonctionnement des administrations, le cloud dessine un portrait d’inégalité au sein de la sphère publique. D’une part, l’Etat, les ministères et les opérateurs avec un accès au cloud sûr par l’interdiction des clouds non-souverains ; d’autre part, les collectivités et les établissements de santé…

Une chose est certaine : la France fait cavalier seule pour un cloud national et souverain. Il est d’ailleurs temps que les textes soient mis en cohérence avec les investissements importants opérés. Peut-être faut-il approcher le sujet du cloud souverain comme un domaine régalien au même titre que les marchés de défense et de sécurité dans le code de la commande publique. En excluant les clouds non souverains des marchés publics gouvernementaux, la France a amorcé à demi-mesure un pas vers la souveraineté numérique.

En excluant les clouds non souverains des marchés publics gouvernementaux, la France a amorcé à demi-mesure un pas vers la souveraineté numérique.

En attendant les textes et obligations/possibilités associées, l’acquisition d’un cloud « souverain » par une collectivité pose encore de nombreuses questions en termes d’expertise achat, de budget et de déploiement. La possibilité de recourir aux centrales d’achat est à étudier, mais pose la question de l’adéquation aux besoins et de la mobilisation des parties dans le déploiement opérationnel en dehors de toute phase de sourcing et d’évaluation des fournisseurs. Il s’agit en effet souvent d’un projet hautement stratégique à l’échelle d’un territoire administratif ou de santé.