Mission d'information sur le thème « bâtir et promouvoir une souveraineté numérique nationale et européenne »

Réunion du jeudi 18 mars 2021 à 10h30

Résumé de la réunion

Les mots clés de cette réunion

  • client
  • cloud
  • fournisseur
  • google
  • google cloud
  • partenariat
  • souveraineté
Répartition par groupes du travail de cette réunion de commission

  En Marche    MoDem    UDI & indépendants    Les Républicains  

La réunion

Source

Audition, ouverte à la presse, de MM. Olivier Esper, chargé des relations institutionnelles, et Fenitra Ravelomanantsoa, responsable des affaires publiques, de Google France

La séance est ouverte à 10 heures 40.

Présidence de M. Philippe Latombe, rapporteur.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Nous recevons les représentants de Google France : M. Olivier Esper, chargé des relations institutionnelles, et M. Fenitra Ravelomanantsoa responsable des affaires publiques.

Google est une entreprise américaine de services technologiques, fondée en 1998 par Larry Page et Sergueï Brin. Filiale de la société Alphabet depuis 2015, elle est présente sur le marché des moteurs de recherche, des applications (avec Android) et du cloud, par l'intermédiaire de Google cloud.

Son positionnement avantageux sur ces segments se situe au cœur de notre réflexion, en lien avec notre préoccupation légitime de protection de la souveraineté numérique nationale et européenne.

Pourriez-vous nous indiquer ce que recouvre pour vous la notion de souveraineté numérique ? Les pouvoirs publics y portent une attention croissante depuis la crise sanitaire. Certains l'apparentent à une forme d'autonomie stratégique ou décisionnelle. Quel regard portez-vous, en tant qu'important acteur américain des marchés des moteurs de recherche, des systèmes d'exploitation et du cloud, sur les diverses définitions qui lui ont été données ? Comment voyez-vous aujourd'hui le marché du cloud ? Comment anticipez-vous son évolution au cours des prochaines années ? Quel regard portez-vous sur les pratiques des entreprises privées et des acteurs publics clients de vos solutions ? Quels sont leurs besoins et attentes ? Ont-ils évolué avec la crise sanitaire ?

J'aimerais aussi vous entendre sur l'initiative GAIA-X, dont vous êtes membre, qui vise à garantir le multicloud, la sécurité des données et l'interopérabilité des services.

Comment, en outre, vous positionnez-vous par rapport aux initiatives européennes de régulation du numérique ?

(Digital Services Act, Digital Markets Act et Data Governance Act)

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

J'aimerais enfin vous entendre à propos des enjeux liés à la protection des données, dans un contexte où l'extraterritorialité du droit américain pourrait menacer les garanties offertes par le droit européen. Qu'impliquent selon vous le Cloud Act et l'invalidation du Privacy Shield par l'arrêt Schrems II de la Cour de justice de l'Union européenne (CJUE), notamment en cas de demande de transmission de données par les autorités américaines ?

Permalien
Olivier Esper, chargé des relations institutionnelles Google France

Je commencerai par vous présenter rapidement les activités de Google en France avant que mon collègue ne vous parle du cloud, qui vous intéresse plus particulièrement.

Google emploie en France un peu moins de 1 500 personnes basées pour la plupart à Paris. Ce chiffre a doublé depuis trois ans. L'entreprise, en phase d'investissement, a ouvert, en septembre 2018, en plus de son centre de recherche et développement employant déjà des ingénieurs, un centre de recherche en intelligence artificielle. Sa création a été annoncée par le PDG de Google au côté du Président de la République en janvier 2018 à l'occasion du premier sommet Choose France destiné aux investisseurs étrangers.

Ce nouveau centre regroupant une centaine d'ingénieurs a noué des liens avec l'écosystème de la recherche en France par le financement d'une chaire à l'école polytechnique ainsi que par un partenariat avec le PaRis Artificial Intelligence Research InstitutE (PRAIRIE) et l'Institut national de recherche en informatique et en automatique (INRIA).

L'activité de Google en France s'axe, en second lieu, autour de la numérisation des entreprises. Nous contribuons à leur présence en ligne par un programme de sensibilisation et de formation baptisé « atelier numérique de Google ». Il cible en priorité les petites entreprises, puisque c'est souvent là que le bât blesse dans la transformation numérique de l'économie. Il vise aussi les étudiants et les chercheurs d'emploi. Lancé en 2012 avec les chambres de commerce et d'industrie, les universités, Pôle emploi et les missions locales, il a déjà formé plus de 500 000 personnes. Il a notamment aidé de nombreux commerces à s'adapter aux confinements lors de la crise sanitaire en passant au « click and collect ».

Un partenariat s'est noué dans ce cadre, l'an dernier, avec la Fédération française des associations de commerçants. Exclusivement nomade jusqu'en 2019 (des équipes de Google sillonnaient alors la France), notre programme se déploie désormais aussi depuis quatre ateliers numériques physiquement implantés à Rennes, Saint-Etienne, Montpellier et Nancy.

Une formation à la cybersécurité est venue le compléter l'an dernier, là encore à destination des petites entreprises, en partenariat avec le groupement d'intérêt public cybermalveillance.gouv.fr, que nous avons rejoint, et la fédération de l'e-commerce et de la vente à distance (Fevad). Nous comptons développer dans le même esprit un massive open online course (MOOC) en ligne pour toucher encore davantage d'entrepreneurs.

Permalien
Fenitra Ravelomanantsoa, responsable des affaires publiques Google France

Après une présentation de Google cloud, j'aborderai les tendances dans l'utilisation du cloud computing sur lequel nous souhaitons mettre l'accent, avant de passer à l'approche, par Google cloud, de la souveraineté numérique.

Département de la société Google, Google cloud n'opère que sur le marché B to B, au service, donc, de la compétitivité des entreprises françaises. Nous soutenons l'innovation des petites et moyennes entreprises (PME), des très petites entreprises (TPE) et du tissu associatif. Notre modèle économique, différent de celui de Google, repose sur une souscription payante et implique des engagements spécifiques aux contrats interentreprises.

Google cloud compte plus de 300 collaborateurs à Paris. Le 28 mai 2020 a été annoncée la création de trois centres de données composant une région France pour mieux accompagner le recours croissant des entreprises françaises et européennes au cloud computing. Nous avons récemment noué plusieurs partenariats stratégiques contribuant à la transformation numérique d'entreprises comme Renault ou Orange.

La transformation numérique, dont la crise sanitaire a accéléré le besoin, correspond à un enjeu fondamental pour la compétitivité de nos entreprises. Le recours au cloud en constitue un pilier : c'est pour optimiser leur compétitivité dans les secteurs, respectivement, de la grande distribution et de l'industrie automobile, que Carrefour ou Renault ont fait appel à Google cloud.

Je soulignerai trois tendances actuelles du cloud computing :

–lLe modèle de cloud ouvert qui nous tient à cœur distingue Google cloud de ses concurrents. Nous promouvons entre autres des logiciels open source et des application programming interfaces (API) ouvertes pour que nos clients restent libres de leurs choix en se réservant la possibilité de recourir à plusieurs fournisseurs en même temps, d'opter pour un modèle hybride ou de transporter leurs données de notre infrastructure vers une autre ;

– nous facilitons et démocratisons l'accès des entreprises et des organisations à des technologies de pointe (analyse de données ou encore Intelligence artificielle) ;

– nous travaillons à réduire le plus possible notre empreinte environnementale. Nous sommes neutres en carbone depuis 2007. Depuis 2017, nous nous approvisionnons en électricité à l'aide d'énergies renouvelables à 100 %. Nous comptons ne plus recourir qu'aux seules énergies sans carbone à partir de 2030.

Notre philosophie d'entreprise envisage la souveraineté numérique comme la garantie à nos clients qu'ils contrôlent l'accès à leurs données et restent autonomes par rapport aux fournisseurs de cloud. Notre positionnement spécifique en faveur des technologies ouvertes facilite l'interopérabilité des systèmes comme des données ainsi que leur récupération à l'issue d'incidents. Le contrôle des données apparaît évidemment comme un enjeu fondamental de la souveraineté numérique. Des réunions avec des décideurs politiques, ces derniers mois, nous ont informés de ce que nos clients attendent d'un fournisseur comme nous en matière de souveraineté numérique. Trois éléments sont ressortis :

– le besoin de décider qui aura accès ou non aux données dans notre cloud ;

– la possibilité d'inspecter en toute indépendance ce que font les administrateurs Google des données qui leur sont confiées ;

– la garantie de la survie de celles-ci au cas où nous ne serions plus en mesure d'assurer la continuité de nos services.

En réponse à ces inquiétudes, nous avons défini trois niveaux de souveraineté :

– la souveraineté de la donnée : notre client demeure l'ultime arbitre de l'accès à ses données, grâce au recours à des technologies de chiffrement dont la clé est hébergée hors de notre infrastructure. Nous devons en outre justifier auprès de nos clients nos moindres demandes d'accès à leurs données, qu'ils pourront toujours refuser. Ces technologies s'ajoutent à nos précédentes innovations en matière de sécurité, comme le confidential computing permettant de chiffrer les données, non seulement en déplacement et au repos, mais aussi en cours d'utilisation, donc à chaque étape de leur traitement ;

– la souveraineté opérationnelle permet au client de définir des critères de contrôle de la gestion par Google cloud de ses données, imposant par exemple de ne confier celles-ci qu'à des agents de nationalité européenne ;

– la souveraineté logicielle garantit enfin au client la possibilité d'exécuter son environnement cloud à court ou moyen terme, même en cas de rupture de service de Google cloud, pour des raisons techniques ou de guerre économique. Cela suppose la mise à disposition de nos clients d'un outil d'orchestration comme Anthos.

Notre approche se concrétisera par le partenariat annoncé en novembre dernier avec OVH cloud, qui pourra dorénavant héberger des produits Google cloud. L'utilisation des technologies de pointe de Google dans l'environnement de confiance d'un acteur français du cloud réunira ainsi le meilleur des deux mondes.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

À quoi le Cloud Act vous oblige-t-il, selon vous, en cas de demande du gouvernement américain d'accéder à des données de sociétés ou d'administrations françaises hébergées sur votre cloud ? Quelles sont les conséquences juridiques, techniques ou commerciales entraînées, de votre point de vue, par l'invalidation du Privacy Shield par l'arrêt Schrems II ? Les demandes de vos clients ont-elles changé depuis ?

Permalien
Fenitra Ravelomanantsoa, responsable des affaires publiques Google France

La localisation d'une donnée ne constitue pas, selon nous, un critère de sa sécurité. Une donnée n'est sécurisée que par les mesures prises en ce sens lors de son hébergement et de son traitement.

Le sujet de la souveraineté numérique n'est pas propre à la France ou à l'Europe. Nous en discutons avec tous nos clients, y compris hors de l'Union européenne.

Quand des autorités adressent à Google cloud une demande d'accès aux données d'un tiers, notre politique est de la soumettre à une équipe de juristes chargés d'en vérifier la validité (sa conformité à la loi, le statut de l'émetteur et l'ampleur raisonnable des données sur lesquelles elle porte). Quand l'un au moins de ces points ne donne pas satisfaction, nous opposons un refus. Nous nous considérons comme des processeurs sous-traitant des données et non comme leur propriétaire. Nous invitons les autorités qui souhaitent y accéder à en formuler la demande directement au client à qui elles appartiennent.

Quand une demande nous semble recevable, nous notifions son exécution à l'entreprise concernée. Dans le cas contraire, nous nous tenons prêts à la contester devant la justice.

Par souci de transparence, nous publions un rapport semestriel des demandes qui nous parviennent. Celles qui visent les entreprises n'en représentent qu'une très petite part et, parmi elles, les demandes suivies d'effet forment une infime minorité. Google cloud n'a communiqué aucune donnée des entreprises de sa clientèle suite à une demande gouvernementale. Nous n'avons en outre identifié aucune demande d'un gouvernement national en vue d'obtenir des informations sur un autre gouvernement national.

Nous sensibilisons la nouvelle administration américaine aux préoccupations de nos clients européens au sujet des lois de surveillance américaines, de manière à trouver une solution constructive au problème posé par les demandes d'accès aux données stockées dans le cloud.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Je puis admettre que la localisation des données n'entre pas, selon vous, parmi les critères de sécurité. L'invalidation résultant de l'arrêt Schrems, les avis rendus par le Conseil d'État et l'affaire Doctolib n'en ont pas moins montré son importance. Pouvez-vous garantir à vos clients le stockage de leurs données dans un pays européen soumis au Réglement général sur la protection des données (RGPD) sans que, pour des raisons de maintenance, de redondance ou de vérification technique, elles soient transférées à l'étranger ?

Permalien
Fenitra Ravelomanantsoa, responsable des affaires publiques Google France

Nous souhaitons adopter sur ce point la même approche que le RGPD, qui n'a pas interdit mais encadré le transfert de données hors de l'Union européenne. Les travaux résultant de l'arrêt Schrems II ont réclamé, au Comité européen de la protection, des recommandations pour que les fournisseurs de cloud puissent continuer à transférer des données, dans le respect de normes techniques précises. Leur première version correspond à la manière dont nous sécurisons depuis longtemps le transfert de données et les flux internationaux. Nous attendons leur version définitive pour adapter, si besoin, nos pratiques et nos mesures de sécurité.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Êtes-vous en mesure de garantir à une entreprise traitant des données sensibles à caractère personnel que celles-ci seront stockées sur des serveurs européens dont elles ne migreront pas ?

Permalien
Fenitra Ravelomanantsoa, responsable des affaires publiques Google France

La majorité de nos produits permet à nos clients de choisir le lieu de stockage de leurs données. Sans compter que les mesures techniques que nous mettons à leur disposition leur assurent un niveau de sécurité supplémentaire par rapport à la transmission de leurs données à une autorité étrangère.

Concrètement, nous proposons à nos clients de chiffrer leurs données et justifions auprès d'eux nos moindres demandes d'accès, qu'ils gardent la possibilité de refuser.

Les lois extraterritoriales (notamment américaines) s'appuient sur trois critères pour contraindre un fournisseur de cloud à livrer l'accès aux données de ses clients : il faut que le fournisseur de cloud contrôle, conserve et possède la donnée. Comme, techniquement, nous n'avons pas connaissance de la clé de chiffrement utilisée par nos clients, ce critère tombe de lui-même.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Je ne dis pas cela contre vous, ou pas seulement, mais comprenez-vous que les citoyens, les entreprises et les États s'interrogent sur le traitement des données par les fournisseurs de cloud ? Avez-vous d'ailleurs conscience de leurs inquiétudes ?

Un certain nombre de procédures ont été engagées contre vous (par la CNIL, notamment, au sujet des cookies). Votre utilisation des données soulève des questions. Le licenciement par Google de spécialistes de l'Intelligence artificielle a fait grand bruit. Comment l'expliquez-vous ? Par l'incompréhension des citoyens ?

Permalien
Fenitra Ravelomanantsoa, responsable des affaires publiques Google France

En tant que société américaine opérant en France, nous comprenons évidemment les préoccupations au sujet de la souveraineté numérique et de l'utilisation des données. Nous en discutons régulièrement avec nos clients.

C'est d'ailleurs parce que nous les comprenons que nous mettons sur le marché des technologies innovantes de contrôle garantissant une meilleure protection des données. Notre philosophie d'entreprise nous pousse en outre à travailler en partenariat avec des acteurs locaux pour gagner la confiance de nos clients, libres d'utiliser des produits Google hors d'une infrastructure Google. Nous souhaitons avant tout promouvoir et faciliter la transformation numérique des entreprises françaises en couvrant le plus possible de cas d'usage et en offrant un maximum de fonctionnalités.

Permalien
Olivier Esper, chargé des relations institutionnelles Google France

Nous comprenons tout à fait que le succès de nos services implique une surveillance étroite de la part des autorités. Nous nous efforçons de répondre aux préoccupations de manière pragmatique, par des solutions concrètes techniquement innovantes. Nous assurons à nos utilisateurs (le grand public ou les entreprises pour ce qui concerne Google cloud) une parfaite transparence : ce sont eux qui contrôlent leurs données.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Le développement de la société Google dans nombre de secteurs, en plus du cloud, en amène beaucoup à la juger hégémonique. Il ne s'agit pas là d'une critique. Quel est son objectif de croissance ? Ambitionne-t-elle de multiplier ses secteurs d'intervention dans le champ du numérique ou de se focaliser sur l'un d'eux, comme le cloud ou l'Intelligence artificielle ? La question du démantèlement de Google ressurgit régulièrement. Dans quels secteurs continuerez-vous d'investir en France et en Europe ?

Permalien
Olivier Esper, chargé des relations institutionnelles Google France

Google a pour objectif de fournir les services les plus utiles et les plus innovants à ses utilisateurs. L'Intelligence artificielle n'est pas une fin en soi mais un outil de développement de fonctionnalités nouvelles. Google s'en tient à une approche responsable de ces innovations.

Google dresse des bilans réguliers de l'application de ses principes éthiques, d'ailleurs rendus publics, et qui tournent autour de la fairness (la non-discrimination) de manière à éviter tout biais. L'un de ces principes, valable dans tous les domaines d'intervention de Google, touche à la protection de la vie privée. Des équipes de recherche au sein de la société travaillent à son amélioration par des solutions fondamentales telles que la confidentialité différentielle, l'apprentissage fédéré ou l'apprentissage automatique, sans que les données utilisées quittent à aucun moment le terminal.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Vous rendez-vous compte que les citoyens n'en ont pas conscience ? La navigation incognito soulève beaucoup de questions.

Quant à votre éthique, de nombreux entrepreneurs estiment que la même fiscalité devrait s'appliquer à tous. Les Google, Apple, Facebook, Amazon et Microsoft (GAFAM) ne paient pas aujourd'hui leur juste part d'impôts. Vous atteignez un tel degré d'hégémonie que vous tuez l'innovation en l'attirant à vous au lieu de la laisser se développer indépendamment. Je ne vous dresse pas un procès d'intention. Je me contente de vous livrer un ressenti général. Votre discours n'est pas de nature à rassurer.

Comment comptez-vous faire passer votre message auprès des citoyens, des États et des entrepreneurs du numérique ? On vous a reproché vos pratiques commerciales. Le coût pour sortir des données de votre cloud s'avère exorbitant rapporté au prix de leur hébergement. Vous distribuez en outre des vouchers aux start-up afin de les capturer parmi votre clientèle. L'intense lobbying des GAFAM, en Europe comme ailleurs, vous a enfin permis de vous introduire dans des projets en principe purement européens comme GAIA-X. Comment répondez-vous à ces critiques ? Quelle preuve avancez-vous que ce que l'on vous reproche ne correspond pas à votre éthique ?

Permalien
Fenitra Ravelomanantsoa, responsable des affaires publiques Google France

Nous souhaitons mettre en place des partenariats en Europe, conformément aux objectifs de GAIA-X, pour promouvoir l'écosystème du cloud et de l'utilisation de la donnée, mais aussi transférer nos connaissances vers des acteurs locaux avec lesquels nous travaillerons. J'ai cité comme exemple notre ambitieux partenariat avec OVH cloud, permettant d'utiliser des produits Google sur un cloud français. Nous œuvrons aussi avec Thalès à la mise au point de clés de chiffrement extérieures à notre infrastructure.

Nous avons rejoint l'initiative GAIA-X car nous voulons, nous aussi, que l'Europe dispose d'un service cloud de qualité. Nous investissons dans l'Union européenne par la création de quatre nouvelles régions de centres de données, s'ajoutant aux six dont nous disposons déjà. Sur invitation du ministère allemand des affaires économiques et de l'énergie, nous contribuons activement aux groupes de travail techniques de GAIA-X, depuis plus d'un an, leur apportant notre expertise en matière de normes de sécurité et de confidentialité des données.

Notre recours aux technologies ouvertes devrait rassurer quant à notre position hégémonique. Nous nous réjouissons que GAIA-X les promeuve. Nous y voyons un moyen de libérer les clients de leur dépendance par rapport à un fournisseur de cloud donné.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Sans méchanceté, je vous signale que Google a une très mauvaise réputation en matière de protection des données. Comment pouvez-vous garantir l'absence de fuite ou de perte des données stockées sur votre cloud et votre opposition aux demandes de communication des autorités américaines ?

Vous l'avez dit : le recours au cloud pose, par principe, une question de confiance. Comment peut-on vous faire confiance alors que des affaires juridiques médiatisées ont mis en lumière vos défaillances en matière de respect de la confidentialité ? Je songe au procès qui vous a été intenté en Californie à propos du mode de navigation incognito. Le partenariat entre OVH, perçu comme le cloud français souverain par excellence, et Google a donné matière à bien des débats dans l'écosystème numérique français. Comment comptez-vous rétablir la confiance ?

Permalien
Fenitra Ravelomanantsoa, responsable des affaires publiques Google France

Il existe une confusion entre Google et Google cloud, due à la ressemblance entre bon nombre de leurs produits comme Google Drive ou Gmail. Alors que Google s'adresse à des consommateurs, Google cloud se positionne sur un marché B to B. Nous veillons à informer nos clients des moyens de contrôle mis à leur disposition, tels qu'une console administrateur, de manière à les rassurer.

Les sanctions prises par la CNIL ne portaient pas sur des produits de Google cloud mais sur d'autres, à destination des consommateurs.

Nous travaillons en toute transparence, par des audits réguliers notamment, à gagner la confiance de nos clients. Nous disposons des certifications les plus strictes en matière de confidentialité, de sécurité et de protection de données.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

On vous reproche beaucoup une forme d'évasion fiscale vous assurant un avantage sur vos concurrents. Le recours des GAFAM à des montages fiscaux ressurgit systématiquement dans les discussions autour de la confiance. L'écosystème numérique européen estime ne pas lutter sur le marché à armes égales. Certains réclament dès lors, soit d'abaisser la fiscalité européenne, soit de vous y soumettre.

Permalien
Olivier Esper, chargé des relations institutionnelles Google France

Rappelons les faits et les chiffres : Google paie la majorité de ses impôts aux États-Unis puisque c'est là qu'elle est domiciliée. Ces dix dernières années, son taux d'imposition global tournait autour de 20 %, ce qui correspond à la moyenne constatée dans les pays de l'OCDE en matière d'impôt des sociétés. Nous entendons parfaitement les critiques visant les règles de fiscalité appliquées aux multinationales. À peu près depuis que l'OCDE a commencé à se pencher sur le sujet, nous soutenons l'idée de réformer le système de fiscalité actuel.

Pour revenir sur les formations que nous organisons, gratuites et agnostiques (c'est-à-dire ne mettant pas en avant de services ni de produits Google), compte tenu de la situation présente, nous y mettons surtout l'accent sur les commerces et la cybersécurité.

PermalienPhoto issue du site de l'Assemblée nationale ou de Wikipedia

Vous vous différenciez en cela de vos collègues d'AWS qui, eux, estampillent les leurs.

La séance est levée à 11 heures 30.

Membres présents ou excusés

Mission d'information sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne »

Réunion du jeudi 18 mars 2021 à 10 heures 40

Présents. – M. Éric Bothorel, Mme Virginie Duby-Muller, Mme Danièle Hérin, MM. Philippe Latombe, Jean-Luc Warsmann.

Excusée. – Mme Frédérique Dumas.