Intervention de Michel Paulin

OVHcloud est un opérateur de clouds. Nous sommes classés, par les analystes, comme faisant partie des dix plus grands mondiaux, même si, bien entendu, nous sommes plus petits à l'échelle des hyperscalers. Nous nous adressons aujourd'hui à tout type de clients. Historiquement, nos clients étaient plutôt des sociétés Tech, ce que nous appelons dans le jargon les digital natives. Depuis quelques années, nous avons l'ambition de nous tourner aussi vers le marché des grandes entreprises, des grandes administrations, des collectivités publiques ou privées.

Quels sont les grands principes d'OVHcloud aujourd'hui ? Le premier est que nous défendons un cloud de confiance, par définition technique et par définition légale, dans le sens où techniquement, nous sommes un grand supporter de l' open source. Nous travaillons sur des solutions interopérables, ouvertes, réversibles. L'interopérabilité est clé. Pour cela, il faut garantir que les API soient documentées, ouvertes, qu'il s'agisse des API au-dessus ou en dessous. Il faut faire en sorte que l'ensemble des solutions logicielles soient réversibles. Nous avons aussi une longue tradition d'intégration avec un modèle. Nous construisons nous même nos serveurs. Cela donne une totale traçabilité en France, à partir de composants qui sont achetés à travers le monde. Nous avons aussi la volonté de travailler avec un écosystème. Cet écosystème sera un moyen pour dynamiser la filière européenne et la filière française. Nous investissons massivement. Nous sommes 2 300 aujourd'hui à travers le monde. Nous investissons dans nos 32 data centers. Nous venons d'ouvrir un data center en Asie, à Singapour, et un autre, à Sydney. Nous investissons dans la Recherche et Développement. Nous avons, comme l'a mentionné Servane Augier, reçu de nombreuses certifications dont tout récemment SecNumCloud, mais également les certifications HDS, Iso 27 001. Nous sommes convaincus qu'OVHcloud a les moyens de proposer des solutions alternatives autour du cloud de confiance.

Qu'est que la souveraineté ? Pour nous, la souveraineté n'est pas le nationalisme, le patriotisme, le protectionnisme, mais la capacité pour des États, pour des entreprises, pour des individus, de pouvoir choisir. À la fois en termes légaux, techniques, et de pratiques concurrentielles, certains acteurs ont tendance à créer des monopoles fermés, qui bloquent les clients dans des systèmes. C'est l'inverse de ce que nous pensons être la souveraineté.

Ensuite, nous distinguons la souveraineté des données et la souveraineté des technologies. Cette dernière consiste à se demander si, aujourd'hui, les technologies sont sur des R&D européennes ou françaises. Nous essayons toujours de les défendre, puisque nous sommes une société française et européenne et que nous pensons que les valeurs européennes sont exemplaires, à travers nos choix pour nos partenaires. Mais cela n'est pas exclusif. L'Europe n'a pas la totalité des technologies disponibles dans le domaine du hardware, par exemple. Nous pensons qu'il faut que des acteurs comme nous, nous associions à des acteurs pour proposer des solutions. Même si nous essayons de favoriser et de privilégier les technologies européennes, force est de constater que la souveraineté européenne ne peut pas être exclusive.

En revanche, sur la partie relative à la donnée, l'Europe est en avance, à travers le RGPD, à travers Schrems II. Nous pensons qu'à ce niveau, il n'y a pas de compromis à faire. Ces sujets sont, pour les domaines européens, des prérequis absolus sur la notion de souveraineté et de confiance. Nous militons depuis de nombreuses années, à travers le comité stratégique de filière (CSF). Nous sommes convaincus qu'il est important de les mettre en avant pour deux raisons. La première est que les entreprises le demandent. Nous le constatons. Comme Servane Augier l'a mentionné, le Cigref a réalisé un sondage auprès des grandes entreprises, lequel a démontré que la notion de souveraineté était une demande de leur part. Il y a des enjeux technologiques, géopolitiques, financiers, un manque de liberté de choix en raison d'un certain nombre de pratiques techniques ou commerciales qui enferment les personnes. Le cloud ne doit pas devenir une prison. Il existe une vraie demande des grandes entreprises de garantir la souveraineté. La deuxième raison est la prise de conscience par les citoyens. Nous avons mené un sondage représentatif de citoyens avec l'IFOP pour leur demander ce qu'ils pensaient de la souveraineté des données. 69 % des Français estiment que c'est important. 2 % font confiance aux fournisseurs de clouds étrangers. Ils sont extrêmement attentifs sur les domaines de la santé, des données financières, des données publiques. Ils estiment que les données doivent être en France ou en Europe et qu'il doit y avoir une garantie que les acteurs ne puissent pas faire circuler ces données ou métadonnées. Ce sujet ne concerne pas uniquement les acteurs. Nous voyons bien que les clients et les citoyens sont également concernés par ces sujets de confiance. D'une certaine façon, tous les débats passés sur la localisation des données, leur traitement, leurs flux, et l'impact de Schrems II démontrent que ces sujets sont d'actualité et impactent les vies des entreprises et des citoyens.

Quels sont les modèles sur lesquels nous nous basons ? Le premier est qu'il est nécessaire de clarifier l'ambition d'un cloud de confiance. Nous sommes très fiers d'avoir la qualification SecNumCloud. C'est un gage technique. En revanche, il est très important que nous soyons capables de créer, pour les entreprises et pour les citoyens, des certifications qui garantissent, au-delà des sujets techniques de sécurité, la souveraineté. Où sont les données ? Comment sont-elles transférées ? Quelle est la juridiction ?

Il convient d'être extrêmement précis sur quatre éléments :

– Les données et les métadonnées sont-elles situées dans les data centers en Europe ?

– Sont-elles accessibles par des législations de pays hors de l'Union européenne (ce qui est interdit par Schrems II) ?

– Le fournisseur cloud est-il soumis à la juridiction de l'Europe et exempté des droits extraterritoriaux (en particulier le fameux Cloud Act ) ?

– La politique du fournisseur Cloud Act répond-elle aux demandes d'autorisation des pays tiers conformes au RGPD ?

Ces quatre critères sont extrêmement importants et doivent être ajoutés à toutes les notions de certifications, de labels, pour apporter de la confiance et de la crédibilité à la souveraineté. Par exemple, nous recommandons que le référentiel HDS inclue ces critères. Ce ne sont pas uniquement des critères techniques, mais des critères qui permettront de rétablir la confiance auprès des citoyens et des entreprises. Avec Servane Augier, nous militons pour créer un label Open Trusted Cloud. L'État, la Commission européenne devront définir les critères, qui sont très importants pour aider les entreprises à obtenir une clarification et que cela soit labélisé.

Un autre élément important concerne la nécessité d'avoir une clarification à travers l'ensemble de l'écosystème, en particulier avec les éditeurs de logiciels, les fournisseurs de SaaS. Il est utile d'avoir une totale transparence. Celle-ci est un des engagements forts de Gaia-X. Lorsqu'un éditeur de logiciel est en mode SaaS, il doit indiquer quel est aujourd'hui l'hébergeur de cloud dans lequel il met sa solution, où sont les données et les métadonnées, quelles sont les conditions juridiques qui protègent ou non. Il est important que l'ensemble de la filière digitale soit transparente et fournisse les garanties à l'ensemble des utilisateurs finaux, les citoyens ou les entreprises. La sensibilisation sur ces sujets nous semble très importante.

Les prises de parole de la CNIL et des différentes CNIL européennes prouvent qu'il n'y a pas cette transparence, aujourd'hui, dans un certain nombre de cas. Dans le cadre de la filière, dans le cadre de Gaia-X, mais également dans le cadre du développement de nos propres solutions, nous serons très vigilants pour proposer à nos clients, à l'ensemble des administrations, une transparence totale sur les conditions d'accès et de protection des données. Tel est notre positionnement.

Avec d'autres acteurs de la filière, OVHcloud continuera à demander à l'État d'être exemplaire. L'État n'est pas exemplaire aujourd'hui. Les collectivités locales ne le sont pas, parfois par ignorance. Il y a besoin d'ouverture. Sur l'UGAP, un certain nombre de critères (où sont les données ? comment sont traitées les données ?) n'apparaissent pas comme des critères de choix pour les collectivités locales, pour les administrations, pour les entités publiques. Nous pensons qu'il est indispensable, de la même façon qu'il existe une traçabilité sur l'alimentation, l'environnement, de donner la visibilité complète, à travers un portail. Il est nécessaire de clarifier dans quelles conditions les logiciels sont hébergés. Après, les clients choisiront en toute connaissance de cause. Aujourd'hui, l'État n'est pas exemplaire. Les conditions d'attribution par les collectivités locales ne sont pas totalement transparentes et ne suffisent pas. Il est important que l'État clarifie sa stratégie et définisse sa doctrine, qu'il clarifie les conditions d'accès des citoyens aux données et fasse évoluer la réglementation. Nous appelons de nos vœux, à travers le CSF, une loi permettant de clarifier les conditions d'accès aux données sensibles pour les entreprises et les citoyens, une modification des notions de certification pour y ajouter les sujets autour du droit et de la conformité au RGPD.

En dernier lieu, il est très important que l'État soutienne ceux qui, aujourd'hui, respectent les règles. Nous ne cherchons pas des subventions, mais nous cherchons des commandes, comme le font tous les autres. Comme l'a dit Karine Picard, la souveraineté est un sujet qui apparaît partout dans le monde, au Japon, en Inde, en Russie, en Chine bien entendu, aux États-Unis. Tous les acteurs continentaux aident leur filière à respecter les législations locales à travers des commandes. Aujourd'hui, 70 %, voire plus, du total des investissements de technologie de l'information (IT) passent par des acteurs qui ne sont pas européens. C'est 90 % dans certains domaines.

Il est regrettable que l'Europe ne se dote pas d'une filière tout autant aidée que les autres régions, qui aident par la commande publique. C'est d'autant plus important dans le cadre de la crise Covid. Nous avons fait face. Nous avons été capables de répondre à l'enjeu de la digitalisation des entreprises. Le cloud que nous représentons, avec Servane Augier, en Europe, a tenu, a été capable de répondre à la demande. Nous avons participé à l'effort de solidarité demandé par le Gouvernement, avec notre initiative Open Solidarity. Nous avons embauché en France pour pouvoir construire plus de serveurs, développer notre activité. L'État doit être exemplaire dans sa politique, comme les collectivités locales. Il doit montrer l'exemple. Dans de nombreux cas, il ne l'a pas fait. Je ne vais pas entrer dans les polémiques. Tel n'est pas le sujet. Les collectivités locales doivent obtenir la visibilité complète de la localisation des données, de leur traitement. OVHcloud investit massivement, notamment à travers l'ouverture de deux data centers en France qui répondent à la demande de l'État de créer un cloud certifié SecNumCloud 100 % français, pour des usines françaises. L'offre est là. Passons maintenant des paroles aux actes.