Pour héberger nos données stratégiques comme les secrets d’Etat, la recherche et développement et nos données de santé, faut-il utiliser les services d’Amazon ou de Microsoft ou faut-il favoriser un fournisseur de cloud européen ? Ces dernières semaines, la question de la souveraineté numérique et de ses possibles modalités est revenue sur la table des analystes, des entrepreneurs et des politiques. Un article du projet de loi pour sécuriser le numérique (SREN), qui a vocation à booster les entreprises du cloud européen en peine face à Amazon, Microsoft et Google, a été âprement débattu à l’Assemblée nationale.
L’occasion pour 01net d’aller prendre la température auprès de OVH Cloud, le leader européen du cloud (informatique à distance, en français). Solange Viegas Dos Reis, directrice juridique du groupe depuis septembre 2022, est revenue, vendredi 13 octobre, sur l’état actuel du cloud européen, sur les difficultés et les défis du secteur face aux trois mastodontes qui dominent le marché.
En 2022, on estime que les trois quarts du marché du cloud, en France, sont entre les mains d’Amazon Web Services (AWS), de Microsoft Azur et de Google Cloud. Comment expliquez-vous la toute puissance des géants américains, alors qu’il existe de nombreux acteurs du cloud européen, dont vous faites partie ?
Il y a un certain nombre de choses qui sont à la manœuvre. Aujourd’hui, pour que les entreprises et les administrations utilisent les clouders européens, il faudrait déjà que dès l’école d’ingénieurs, tous nos futurs professionnels du cloud, qu’ils travaillent dans les administrations ou dans les grandes entreprises, soient formés aux technologies du cloud européen.
Et ce que l’on observe avec les « hyperscalers » (AWS, Azure et Google Cloud, ndlr), c’est qu’ils investissent énormément dans la formation, dans le fait de faire connaître leurs services. Ils vont aller proposer des services gratuitement à des administrations, des écoles, des entreprises. Ils ont vraiment une approche extrêmement offensive pour rentrer dans les habitudes. Aujourd’hui, on a toute une batterie de gens qui sortent des écoles d’ingénieurs et qui ont travaillé sur du Amazon par exemple. Et cela va peser sur leurs réflexes de professionnels du cloud et sur leurs choix de cloud. Chez les DSI (les directeurs des systèmes d’information, ndlr), les ingénieurs, il y a vraiment un excès de connaissances de ces offres-là.
Mais ce sont surtout les pratiques anticoncurrentielles des hyperscalers qui posent problème. On le voit au quotidien avec nos clients. Et on les dénonce de longue date. Elles visent à évincer tous les (plus petits, ndlr) acteurs pour pouvoir prendre une position de marché forte, ce qui leur permettra ensuite d’être en oligopole. Résultat, 72 % du cloud européen est entre les mains de trois acteurs. Au plan mondial, quatre acteurs se partagent 90 % du marché du cloud (les trois sociétés américaines et la géante chinoise Alibaba, ndlr).
Il y a en effet un certain nombre de rapports et d’enquêtes – du Parlement américain, de l’autorité de la concurrence européenne – qui ont été ouvertes sur les pratiques de ces sociétés, et vous avez notamment déposé une plainte pour abus de position dominante contre Microsoft en mars 2022. Pourriez-vous nous en dire plus sur ces pratiques des Gafams ?
Il s’agit de stratégies d’occupation de l’espace et d’exclusion des autres, de pratiques de verrouillages juridiques, commerciaux, ou techniques qui peuvent prendre différentes formes : des frais de transfert très élevés (les « egress fees » demandés pour transférer les données vers un autre hébergeur, ndlr), des captations de start-up à un stade assez précoce de leur développement, des pratiques d’auto-préférence, de vente liée.
Des acteurs du cloud qui sont puissants sur un marché vont dire à leurs clients, je vous fais des tarifs imbattables sur ces marchés-là, si vous prenez aussi mon cloud, on a le cas sur Google qui va coupler ses offres sur la pub avec ses offres de cloud. Ce sont des comportements prédateurs qui sont constatés sur le marché, et qui, couplés aux moyens financiers et à la force de frappe des hyperscalers, font que les acteurs du cloud européens vont en pâtir.
Et même si nous, OVH Cloud, nous sommes une des plus grosses entreprises du cloud européen, avec une présence sur les trois couches du Cloud – IaaS (pour « Infrastructure as a Service »), PaaS (« Platform as a Service »), et Saas (Software as a service), via des partenariats – même si nous sommes présents dans de nombreux pays, nous souffrons aussi des pratiques anticoncurrentielles des hyperscalers. Nous souffrons beaucoup moins que d’autres, c’est fort probable. Mais nous souffrons aussi.
Dans le projet de loi visant à sécuriser le numérique (SREN), un article a été âprement débattu – le 10 Bis A. S’il est adopté, il obligerait les entités publiques à passer par des fournisseurs de cloud européens pour tout ce qui est données sensibles, en vue de faire émerger un cloud européen plus important qu’il ne l’est aujourd’hui. Est-ce-que ça ne pourrait pas vous donner un peu d’air, à vous et aux autres clouders européens ?
Nous accueillons avec énormément d’enthousiasme et d’espoir ce projet de loi sur l’espace numérique, et nous suivons de près ce nouveau texte. Il vient anticiper le cadre européen pour de très bonnes raisons. La dégradation du marché du cloud en Europe n’est pas un fantasme, c’est une réalité. En l’espace de cinq ans, le marché du cloud européen a été multiplié par cinq et la part de marché des acteurs européens du cloud a été divisée par deux, passant de 26 à 13 %. Et dans le même temps, on a une part des hyperscalers qui a augmenté.
Ce projet de loi est donc nécessaire sur plusieurs points. Sur la partie anticipation des règlements européens, sur la levée de certains verrous (du marché) qui sont mis en place et qui sont des pratiques anticoncurrentielles importantes, sur la transparence et la sécurité des données. Ce texte porte une ambition forte, qui aurait pu, peut-être, aller encore un petit peu au-delà. Mais quoi qu’il en soit, c’est déjà un premier pas qui est très important pour nous.
A lire aussi : Quel est cet article 10 Bis A qui met le bazar dans le projet de loi pour sécuriser l’espace numérique (SREN) ?
Cette potentielle nouvelle obligation du recours aux clouders européens n’a pas été accueillie partout avec enthousiasme. Certaines entreprises comme des start-up d’e-santé, qui ont recours aux services des Gafams pour l’hébergement de leurs données, s’en sont inquiétées, en disant : attention, vous allez nous obliger à passer par des clouders européens, mais le cloud européen n’est pas à la hauteur de l’offre d’Amazon, de Microsoft ou de Google. Il n’est pas aussi complet, il n’est pas aussi sûr.
Si, le cloud européen est au niveau. Ce discours, très étrangement, c’est aussi un discours qu’entendent nos clients quand ils rencontrent des Google, des Amazon, des Microsoft. En fait, c’est le message de lobbying des clouders hyperscalers, de dire, oui, mais vous comprenez, nous, on a 20 ans d’avance, l’Europe a 15 ans de retard.
Mais premier point, on a tous les services (proposés par les Gafam, ndlr) qui peuvent être proposés. Je pense néanmoins qu’il y a une confusion qui est opérée, qui est gênante, entre les services standards et les services SNC (SecNunCloud, un référentiel de l’Anssi qui répond à des normes de sécurité très exigeantes, ndlr). Chez OVHcloud, seule une partie de nos services a la certification SNC. C’est la même chose pour les clouders européens, voire même moins, puisque certains d’entre eux n’ont pas cette certification. Il y a donc peut-être une confusion entre ce qu’on se trouve sur le catalogue standard et sur le catalogue SNC. Mais pour résumer : le catalogue standard, on est comme les hyperscalers. Le catalogue SNC, on est mieux que les hyperscalers (ce référentiel n’a été accordé qu’à des sociétés françaises, pour l’instant, ndlr).
Ensuite, aujourd’hui, on a vu des acteurs de la French Tech – et ça a été un choc pour moi en tout cas – s’insurger en disant : “on va nous obliger à prendre des clouders européens”. Je pense qu’il ne faut pas exclure que ces prises de position-là sont peut-être aussi liées aux pratiques anticoncurrentielles des hyperscalers américains. Ces derniers vont proposer ce qu’on appelle des « crédits cloud » – donc, une gratuité d’utilisation de leurs services pendant un certain temps. Et cette gratuité, elle est extrêmement large et importante. Effectivement, on a toute une partie de l’écosystème qui bénéficie de crédits cloud, qui est un peu prisonnier de cet hyperscaler américain. Leur message n’est pas objectif, car il y a un enjeu financier évident.
A lire aussi : Une révolution vieille de 20 ans sera-t-elle la clé d’un Net plus vert ?
Mercredi 11 octobre, l’article 10 bis A a été reformulé. Dans sa nouvelle version, tous les projets déjà engagés et les données de santé seraient exclus de l’obligation du recours à un clouder européen – ce qui pourrait comprendre le Health Data Hub, cette plateforme censée centraliser toutes nos données de santé. Confiée à Microsoft, elle pourrait donc continuer à être gérée par cette société américaine. Est-ce une occasion manquée, et seriez-vous prêts à prendre la relève ?
J’aurais tendance à vous dire intuitivement, oui, nous sommes prêts, même si je ne suis pas une spécialiste, une technicienne du sujet. Une des demandes d’OVH Cloud a été de faire partie de l’appel d’offres (censé désigner le clouder de la plateforme, ndlr), qui n’a pas eu lieu d’ailleurs, pour qu’on puisse se battre à armes égales, qu’on puisse présenter ce que nous, OVH Cloud, pouvons faire et apporter. Avec la nouvelle formulation de l’article 10 Bis A, nous avons une inquiétude sur le fait qu’effectivement, ce Health Data Hub soit exclu de cette obligation-là (de recours à un clouder européen, ndlr), ce qui pour nous est une erreur. J’hésite à employer le mot faute.
On voudrait, en tout cas, pouvoir avoir la faculté d’y répondre. Cela fait trois ans qu’on attend cet appel d’offres. Et on a été disqualifié, sans même avoir la possibilité de présenter nos offres. Sans pouvoir dire et prouver qu’on était tout à fait capable d’accueillir le Health Data Hub, pas tout seul, mais en consortium avec d’autres acteurs européens de l’écosystème. Pour nous, c’est une énorme frustration.
Qu’attendez-vous du projet de loi et des pouvoirs publics pour faire émerger un cloud européen ?
Nous, ce qu’on demande, c’est de pouvoir nourrir l’écosystème du cloud européen, avec plusieurs choses, notamment la commande publique, et le Health Data Hub en fait partie. Aux États-Unis, la commande publique a permis aux Gafams de se financer dès le début. Elle a permis de nourrir des champions locaux, nationaux, de les faire grandir. Il y a toute une partie de l’innovation d’Amazon qui s’est nourrie de cette commande publique-là. En Europe, on ne fait pas ça, en France non plus. C’est un peu surprenant.
Et aujourd’hui, entendre dire qu’on a un écosystème européen qui n’est pas à la hauteur d’un hyperscaler américain, c’est assez perturbant. Parce que, un, c’est faux. Deux, si c’est un constat qui est fait à certains endroits, alors essayons de le développer, cet écosystème européen. Avec, justement, on ne parle même pas de subventions, on parle de commandes publiques. À tous les niveaux.
Ensuite, on demande que les pratiques anti-concurrentielles, qu’on constate sur le marché, s’arrêtent vraiment. C’est ça qui est en train de tuer le cloud européen. J’ai été auditionnée par le Sénat il y a quelques mois, et j’avais déjà dit que le cloud européen est malade de sa concurrence. Il y a eu des rapports, il y a le cadre européen. Le Data Act, le règlement européen sur les données, prévoit par exemple de supprimer les egress fees (ces frais facturés pour transférer des données vers un autre hébergeur, qui peuvent dissuader une société de changer de clouder, ndlr), mais seulement d’ici trois ans. Pourquoi attendre trois ans ? On est trop lent à réagir.
Enfin, on souhaite stimuler l’innovation, avec la recherche et le développement. Car lorsqu’on a des oligopoles ou des monopoles, à un moment donné, l’innovation s’essouffle. Pourquoi ? Personne ne vient nous taquiner les mollets. Ce qu’on constate sur les hyperscalers, c’est qu’ils ont tendance à tout réunir entre leurs mains. Pour nous, c’est un risque pour l’innovation, pour la concurrence, avec des tarifs qui viendront à augmenter.
Un des objectifs de l’article 10 BIS A était aussi de protéger les données sensibles, de ne plus les mettre sous la coupe des lois extraterritoriales (américaines). Ce type de règlementation oblige par exemple toute entreprise américaine à communiquer des données des Européens au Pentagone, s’il le demande. Chez OVHCloud, vous avez des partenariats pour certains services avec des Gafams, qui sont des sociétés américaines. Mais les données de vos clients ne traversent pas l’Atlantique pour être traitées, elles ne finissent pas potentiellement dans les oreilles de la CIA, n’est-ce-pas ?
On n’a pas de partenariat au sens fort avec les GAFAM. On distribue des services Microsoft, c’est vrai, des services qui sont connectés au cloud Microsoft ou pas – dans ce cas, ces services sont installés sur nos infrastructures, sans connexion au cloud Microsoft, donc de manière sécurisée. Mais nous n’avons plus de partenariat. Nous avons essayé d’en construire un avec deux Gafams, et ça n’a jamais été lancé. Pourquoi ? Parce que nous nous sommes rendus compte que notre demande de déconnexion, pour pouvoir justement assurer la protection de nos données, ne pouvait pas être satisfaite. C’est-à-dire qu’il y avait toujours, en toile de fond, des connexions quasi permanentes qui étaient demandées par ces deux partenaires potentiels.
OVH Cloud, de par son histoire, sa structure, est naturellement immunisée contre les lois extraterritoriales, notamment américaines. Avec nos centres de données en France et en Europe, notre gouvernance qui est très claire, il n’y a absolument aucune ingérence possible des États-Unis. Nous avons pour autant une filiale américaine, la plus autonome de toutes nos filiales, avec laquelle nous avons mis en place un certain nombre de murailles, de « firewalls », qui font qu’il n’y a aucun risque d’ingérence.
A lire aussi : Comment OVH conçoit ses serveurs made in France pour stocker vos données
Cela étant dit, nous défendons énormément l’introduction de critères de protection contre les lois extraterritoriales, dans un certain nombre de référentiels. Car il ne faut pas être naïf sur l’accès aux données stratégiques que des pays peuvent avoir, y compris nos alliés, que cela soit les données de nos gouvernements, de nos entreprises et de notre recherche. On l’a vu, Angela Merkel a été mise sous écoute par le gouvernement américain. Notre président, Octave Klaba, a été mis sur écoute par les services secrets britanniques. A fortiori, l’espionnage industriel est aussi une réalité. Je pense qu’il y a un pas qu’on a franchi, c’est qu’on a arrêté d’être naïf.
Maintenant, il faut mettre en place les mesures nécessaires pour protéger notre industrie, notre patrimoine intellectuel, notre patrimoine de recherche et derrière tout ça, effectivement, nos emplois. Donc pour moi, parler de souveraineté aujourd’hui, ce n’est pas un gros mot. Il ne s’agit pas de protectionnisme, mais de la protection de notre industrie, de notre capital, et de nos valeurs.