L'adoption du cloud en France progresse, mais la souveraineté des données reste cruciale face aux géants. Les défis : coûts et innovation.
État de l’Adoption du Cloud et enjeux de souveraineté
L'adoption du cloud, véritable levier de compétitivité, est de manière croissante associée à la question de la souveraineté des données. L’État, suite à la promulgation de la circulaire « Cloud au Centre » en 2021, a favorisé l’adoption entraînant une hausse des usages : une volumétrie d’achat via le marché UGAP qui double tous les ans depuis sa mise en place et une tendance aujourd'hui qui indique une croissance tout aussi dynamique, avec « un projet par jour dans le cloud pour l’État», comme le mentionnait la Direction Interministérielle du Numérique (DINUM), à l’occasion de la deuxième édition de la dernière conférence « l’Etat dans le nuage », tenue en début 2024.
Avec cette croissance du volume de projets dans le cloud, la question de souveraineté des données devient centrale et se retrouve d’autant plus renforcée dans un contexte où de multiples législations extraterritoriales sont à considérer. Parmi ces législations, figurent le Cloud Act américain, la FISA (Foreign Intelligence Surveillance Act), ou encore la DSLPRC (Data Security Law of the People's Republic of China).
Une part de marché encore modeste des acteurs européens
La part de marché des acteurs européens dans l’usage des services cloud en Europe diminue bien que le marché soit en croissance, et ce principalement à cause du retard technologique pris vis-à-vis des géants américains et chinois. Comme l’a souligné le coordinateur de la stratégie cloud France 2030 à la Direction Générale des Entreprises, « la part des acteurs européens dans le marché du cloud a connu une baisse constante depuis 2017, n’atteignant qu’environ 13% aujourd’hui », concluant « une perte de maîtrise technologique et de souveraineté ».
Initiatives stratégiques de l’État et de l’Europe
Garantir la souveraineté des données françaises et européennes est un enjeu stratégique pour la préservation de l’indépendance numérique. On assiste aujourd’hui à l’affirmation d’une stratégie nationale Cloud, issue du Plan France 2030. L’ambition est double : renforcer la souveraineté des données nationales et stimuler la compétitivité des acteurs français et européens dans le secteur. De ces ambitions, la stratégie s’articule depuis 2021 autour de trois piliers :
- L’introduction du visa de sécurité SecNumCloud, administré par l’Agence nationale de la sécurité des systèmes d'information (ANSSI), ayant pour objectif d’identifier et d’accroître la visibilité des services dits « cloud de confiance ». Le cloud de confiance qui, sous le référentiel SecNumCloud, stipule que les données traitées ne puissent être soumises à des lois non européennes ;
- La doctrine « Cloud au centre », promue par la Direction interministérielle du numérique (DINUM) qui vise à encourager l’usage du cloud par les différentes administrations ;
- Le soutien à l’innovation de la stratégie cloud française pour 2030, orchestré par la Direction générale des Entreprises (DGE), qui vise à favoriser le développement de l'écosystème français des fournisseurs de services cloud.
Des dispositifs de soutien créés dans le cadre du plan France 2030 ont facilité le lancement de premiers projets. En l’espace de trois ans, plusieurs initiatives ont été lancées :
- Un plan d’accompagnement de la transformation numérique, qui vise à mieux orienter les acheteurs publics et privés vers l’utilisation ou non d’offres qualifiées SecNumCloud 3.2.
- Un dispositif d’accompagnement des éditeurs cloud mis en place pour la sécurisation et l'obtention du SecNumCloud pour des startups et PME.
- L’appel à projets « renforcement de l’offre de services cloud » ayant pour objectif de soutenir le renforcement de l’offre française de services cloud IaaS/PaaS/SaaS, notamment en matière de cloud de confiance et de services cloud pour l’IA.
Au-delà du plan France 2030, l’Europe fait un pas significatif vers une collaboration européenne avec la mise en place du PIIEC (Projet Important d’Intérêt Européen Commun) Cloud, mené par la France et l’Allemagne, qui représente un effort concret pour renforcer l’industrie du cloud européen face à la concurrence internationale et aux défis réglementaires. Lancé en décembre 2023, le PIIEC vise à soutenir les fournisseurs européens de cloud en leur offrant des ressources et orientations pour développer des solutions conformes aux normes de sécurité telles que celles requises pour l'obtention du label SecNumCloud 3.2. Jusqu'à présent, 48 start-ups et PME ont rejoint le programme d’accompagnement, bénéficiant d’un soutien pour améliorer leur compétitivité et leur conformité réglementaire dans un marché du cloud de plus en plus exigeant.
Le projet européen de certification cloud (EUCS : European Cybersecurity Certification Scheme for Cloud Services) marque également une étape de collaboration.
Ce dernier, soumis à des négociations prolongées entre les décideurs européens, vise à créer une certification cloud à l’échelle européenne, permettant aux acteurs certifiés de garantir un niveau de souveraineté homogène sur tout le territoire de l’Union Européenne.