La note d'analyse de la CFE-CGC Orange sur le cloud souverain

Cloud souverain appel d’offre public

Contexte

La société du numérique, l’intelligence artificielle et l’explosion des volumes de données échangées et collectées exigent des capacités massives de stockage et de traitement. Ces « clouds » s’appuient sur des infrastructures critiques qui conditionnent directement la souveraineté numérique de la Nation.

Constat

Les « clouds de confiance » - même s’ils sont implantés sur le territoire national - ne constituent pas une solution satisfaisante dès lors qu’ils reposent sur des technologies américaines (Amazon AWS, Microsoft Azure ou Google Cloud Platform). Soumis à des lois extraterritoriales (Cloud Act et le Patriot Act), ces modèles restent contraires à l’esprit du RGPD et à toute politique de souveraineté numérique maîtrisée.

Au-delà de la seule confidentialité de nos données, ce sont nos systèmes et nos infrastructures eux-mêmes qui sont fragilisés : un blackout décidé par une puissance tierce n’a plus rien d’un scénario de science-fiction. Et si, demain, l’administration américaine décidait de bloquer certains logiciels, ou simplement d’en empêcher les mises à jour ?

Ce risque, bien réel dans un contexte de guerre commerciale et de multiples tensions géopolitiques, illustre la dépendance stratégique que nous devons impérativement réduire.

Seule une indépendance totale en matière de technologie et de gouvernance dans l’infrastructure du « cloud », peut éviter que des entreprises américaines collectent et exploitent les données des citoyens européens, outrepassant les exigences minimales de protection, et menacent les actifs stratégiques européens.

Proposition

En tant qu’acteur industriel majeur, Orange a un rôle à jouer dans le développement d’infrastructures souveraines et sécurisées (data centers et services) en France et en Europe, en coopération avec les grands acteurs européens du numérique.

Aujourd’hui coexistent plusieurs initiatives concurrentes

• Numspot (Docaposte, Dassault Systèmes, Bouygues Télécom et la Banque des Territoires)
• Bleu (Orange, Capgemini et Microsoft)
• S3NS (Thales et Google Cloud)

La CFE-CGC Orange appelle à une plus grande unité d’action entre les acteurs français et européens, afin qu’ils fixent ensemble des standards européens de sécurité et d’interopérabilité.

L’État doit ainsi

• Définir clairement les niveaux de souveraineté (technologique, juridique, opérationnelle) applicables aux « clouds » dits de confiance via l’ANSSI
• Conditionner tous les appels d’offres publics à l’obligation d’héberger les données via des infrastructures véritablement souveraines, non seulement localisées en Europe, mais aussi opérées sous juridiction européenne
• Soutenir davantage l’émergence d’une filière stratégique européenne.

Sortir de la grande confusion autour du « cloud souverain », c’est protéger les données des citoyens, préserver la sécurité et les capacités opérationnelles des entreprises françaises et garantir à l’État un contrôle effectif sur la sécurité des données critiques dont il délègue le traitement. C’est affirmer le choix d’une souveraineté numérique européenne.

Retrouvez la note en PDF : 

les_notes_de_la_cfe-cgc_orange_cloud_souverain_appel_doffre_public.pdf