Intervention de Jean-Renaud Roy

Il existe la souveraineté numérique et la souveraineté numérique par les actes. Orange et Capgemini ont annoncé ce matin la création d'une nouvelle entreprise, Bleu, qui concourra pour obtenir la certification de cloud de confiance du gouvernement. Ce cloud de confiance sera basé sur les technologies hyperscale et cloud de Microsoft. Cela est nouveau et unique, pour Microsoft, de livrer ses technologies dans la confiance à deux partenaires de rangs mondiaux afin de répondre à des besoins très spécifiques en France.

La société créée par Orange et Capgemini ne réunira que des investisseurs et des capitaux français. Elle sera de droit français et ne fournira de services qu'en France. Microsoft licenciera sa technologie à travers un accord commercial. Ce cadre juridique est conforme aux annonces faites le 17 mai par le gouvernement et l'agence nationale de la sécurité des systèmes d'information (ANSSI). Ce cadre fonde l'immunité de cette société à l'exposition aux lois extraterritoriales, américaines mais pas seulement. De fait, en licenciant la technologie employée au sein de cette nouvelle entreprise créée très prochainement, Microsoft n'aura pas accès à l'infrastructure de ce cloud de confiance français. L'ensemble des technologies hyperscale seront les mêmes que celles que Microsoft distribue dans son cloud hyperscale à l'échelle mondiale, avec le même niveau de service, mais seront totalement détachées de notre propre infrastructure.

Revenant à la notion de souveraineté elle-même, je ne pense pas qu'une entreprise privée soit légitime pour définir la souveraineté – c'est le rôle du législateur et l'expression d'une volonté collective. En revanche, notre rôle, en tant qu'entreprise fournissant des solutions technologiques – aujourd'hui majoritairement centrées sur le cloud et les technologies intelligentes – est de mettre au service d'une puissance publique adossée à un État de droit une forme de savoir-faire qui permet de garantir des conditions de souveraineté, de résilience et de cybersécurité telles que cet État (ou cet ensemble d'États dans le cas de l'Union européenne) les aura définies. Il s'agit donc pour nous de nous adapter à un État qui édicte ses règles de protection des données et ses usages. Grâce à son réseau de plus de 10 000 partenaires en France (qui regroupe aussi bien des intégrateurs que des revendeurs), Microsoft permet à la souveraineté du droit de s'exercer, comme dans le cas de l'application du Règlement général sur la protection des données (RGPD).

Le premier aspect de la souveraineté pour un État, surtout dans le cyberespace, est de conserver sa capacité à contrôler et à appliquer les règles dans le temps et dans l'espace. Le numérique s'affranchit des frontières géographiques : même dans le cyberespace, les États ont besoin d'assurer leur souveraineté. Le RGPD par exemple est une réglementation qui permet d'assurer la protection des données personnelles des Européens au-delà des frontières européennes. La souveraineté s'exerce ainsi bien au-delà des frontières des États. L'application du droit dans le cyberespace me semble donc être le premier critère de souveraineté pour un État. Nous y participons en tant qu'acteur numérique du cyberespace. L'État n'a pas seul la capacité de gérer le cyberespace. Il doit le faire avec nous. Quand un État subit une cyberattaque, Microsoft est en première ligne. Microsoft est présent dans le tissu industriel et institutionnel et équipe beaucoup d'acteurs. Nous avons toujours souhaité nous engager aux côtés des États pour réguler et maintenir la sécurité dans le cyberespace, car la première souveraineté est de garantir la sécurité des personnes et de leurs biens, la résilience des États et des institutions démocratiques. Microsoft a soutenu l'Appel de Paris pour la sécurité dans le cyberespace en novembre 2020. Nous sommes l'une des premières entreprises à l'avoir fait et à avoir milité auprès de nombre d'écosystèmes numériques pour revendiquer l'importance de cet appel.

Par ailleurs, la notion de souveraineté peut varier d'un espace géographique à l'autre. L'Europe se questionne ainsi sur l'émergence d'une troisième voie qui lui serait propre en matière de protection des données personnelles. Avec le RGPD, l'Europe a édité le standard mondial de référence en matière de protection des données. Cela est une très bonne chose. Nous appliquons les règles du RGPD aux personnes et à nos personnels dans le monde entier. Cela montre notre engagement. Cela montre également que le RGPD constitue une opportunité pour nous de gagner la confiance de nos clients, partenaires et utilisateurs.

Compte tenu de la jurisprudence européenne récente, comme l'arrêt Schrems II qui a mis fin au privacy shield, nous avons annoncé, il y a quinze jours, mettre en œuvre une frontière européenne des données. Cela permettra à nos clients européens, conformément aux annonces faites par le commissaire européen, M. Thierry Breton, de traiter et de stocker leurs données en Europe, mais aussi d'en assurer le support à partir des territoires européens – cela est tout à fait nouveau – et donc, si ces clients le souhaitent, d'empêcher tout transfert de données en dehors du territoire européen. Je précise que ce projet ne traite pas de la question de l'extraterritorialité du droit, et notamment du droit américain en Europe. À ce sujet en revanche, nous avons aujourd'hui franchi un nouveau cap sous la forme du partenariat proposé par Orange et Capgemini, qui consiste en la création d'un cloud de confiance qui permettra l'immunité aux lois extraterritoriales, d'où qu'elles proviennent.