D'une manière générale, la consommation de tous les services informatiques, dont le cloud, implique que l'utilisateur s'authentifie. Or la gestion de l'identité fait partie des problématiques prises en compte dans GAIA-X. Ainsi, les banques, ou les hôpitaux, doivent se conformer aux règles de KWC. Or il est actuellement très difficile en Europe de maîtriser trois briques de base en la matière, à savoir identifier une personne physique, identifier une personne morale et identifier le mandat d'une personne physique sur une personne morale.
En France, FranceConnect, qui constitue une déclinaison de la directive européenne eIDAS, commence à être utilisée. Cependant, ce type de solution est bien moins utilisé en France que dans d'autres pays, par exemple en Estonie. Ayant travaillé cinq ans dans ce pays, je sais que la puce équipant une carte d'identité estonienne permet d'accéder à l'ensemble des services de l'État estonien, à l'ensemble des services sociaux estoniens (assurance maladie, retraite...), mais aussi que de nombreux acteurs privés (banques, fournisseurs d'accès Internet...) peuvent s'y connecter. Ce schéma permet d'éviter de recourir à une multitude d'identifiants compliqués à fédérer.
Outre FranceConnect, il est possible de citer l'identité numérique obtenue en enregistrant une entreprise auprès d'un greffe de tribunal.
Le problème est qu'une telle gestion d'identités très parcellaires ne permet pas de passer à une plus vaste échelle. Les travaux menés dans GAIA-X devront prendre en compte cette difficulté.
La gestion des identités numériques des personnes physiques et morales constitue donc une autre problématique susceptible d'être traitée dans un cadre comparable à celui de GAIA-X. Par ailleurs, GAIA-X va s'appuyer sur les travaux relatifs aux blockchains réalisés dans le projet European blockchain services infrastructures (EBSI).
Je souhaite enfin répondre à la question posée en introduction de cette audition concernant le Data Governance Act. Ce projet prévoit notamment d'imposer à certains organismes de partager leurs données. Un tel schéma a d'ailleurs déjà été mis en œuvre dans la directive sur les services de paiement bancaires (DSP2), avec un succès limité. En effet, en l'absence de base contractuelle et de rémunération, les banques acceptent uniquement de partager les données de leurs clients relatives aux comptes courants, et non aux comptes de dépôts. L'obligation réglementaire a donc conduit à partager des données parcellaires difficilement utilisables, par exemple, pour détecter du blanchiment d'argent. Le Data Governance Act constitue donc un élément positif, mais il conviendra de se doter en complément d'un cadre réglementaire plus général.