Dans la stratégie de spécialisation du Luxembourg sur l’économie des données figure en bonne place la création d’un « open cloud sécurisé », garant absolu de souveraineté et de confiance, mis à disposition des acteurs économiques et de la recherche. Celui-ci a émergé en 2023 sous la forme d’un accord avec Google pour concevoir le premier cloud souverain et déconnecté d’Europe : Clarence. Le choix singulier du Luxembourg, alors que la souveraineté numérique est une question prégnante de l’Union Européenne, pourrait constituer un atout compétitif… et l’éloigner temporairement de ses partenaires européens.
Les activités humaines sont de plus en plus dépendantes des technologies numériques et des entreprises qui les contrôlent, dont la majeure partie sont américaines voire chinoises. C’est le cas pour les réseaux et plateformes, les outils de communication, les médias, le commerce, la santé, la sécurité… cette tendance s’accentuant avec le développement de l’intelligence artificielle et des objets connectés. C’est ainsi qu’a éclos le concept de souveraineté numérique ou cybersouveraineté, qui peut se définir comme la capacité des États à agir dans le cyberespace et à faire respecter leurs règles par les différents acteurs du monde virtuel.
L’impératif d’un cloud souverain
Selon l’étude « European Digital Sovereignty – Syncing values and value » du cabinet Oliver Wyman, les Etats-Unis stockent 92% des données échangées dans le monde occidental. Or, ces données stockées peuvent être consultées par les Etats-Unis lorsqu’ils le jugent nécessaires en raison de l’application du Cloud Act et du Patriot Act. Elles sont aussi potentiellement utilisables par les acteurs privés qui les hébergent. Cette consultation se fait en violation de nombreuses réglementations visant à encadrer la collecte, le stockage et surtout le partage des données, en premier lieu le Règlement général sur la protection des données (RGPD) européen.
Le Cloud computing repose sur l’utilisation de serveurs informatiques à distance et hébergés sur internet pour stocker, gérer et traiter des données. Il se positionne en alternative moins onéreuse, plus sûre et plus pratique par rapport à la sauvegarde sur un serveur local ou un ordinateur personnel. Le cloud s’est imposé comme un indispensable du travail informatique dans une majorité d’entreprises et son poids économique croît chaque année pour atteindre un chiffre d’affaires de 545 milliards de dollars en 2022. Les cinq principaux fournisseurs de services cloud dans le monde, les hyperscalers, sont Amazon Web Services (AWS), Microsoft Azure, Google Cloud, Alibaba Cloud et IMB Cloud. Les trois premiers acteurs américains occupent à eux seuls plus de 70% du marché.
Le cloud souverain désigne un environnement dans lequel les infrastructures, l’hébergement et l’ensemble des traitements effectués sur des données par un service de cloud sont physiquement réalisés dans les limites du territoire national ou régional, ceci permettant la conformité et le respect de la juridiction du pays. L’enjeu national de protection de la confidentialité des informations se retrouve aussi au niveau des entreprises, tant pour la préservation des données des individus que pour la prémunition contre l’espionnage économique.
Au niveau européen, de l’échec Gaia-X à l’inconnu EPCEI Cloud
Les initiatives collectives et individuelles se multiplient depuis quelques années pour bâtir des services cloud respectant les règles européennes tout en garantissant l’interopérabilité (capacité à circuler entre divers systèmes) et la sécurité des données. Ces initiatives se privent difficilement des hyperscalers.
Gaia-X est un projet de développement porté conjointement par l’Allemagne et la France, visant à développer un cloud fiable pour l’Union européenne. Il regroupe, au moment de sa fondation en 2020, 22 entreprises européennes : cloud service provider, utilisateurs et chercheurs. Ses ambitions portent sur trois niveaux : la définition des bonnes règles de conduite, l’édification d’un environnement technique permettant de vérifier ces règles et la construction des briques technologiques nécessaires à la circulation de la donnée. Celles-ci peinent toutefois à voir le jour et concurrencer véritablement les hyperscalers alors que l’entreprise française Scaleway se retire du projet en raison de la forte activité des entreprises américaines dans les comités techniques de Gaia-X.
En outre, les partenaires allemand et français mènent chacun de leur côté des projets individuels. La France met ainsi en avant son label de confiance SecNumCloud auprès des entreprises nationales, présenté comme le référentiel de cybersécurité le plus exigeant en Europe. AWS a annoncé en octobre 2023 la mise en place de l’ « AWS European Sovereign Cloud », installé sur le sol allemand et à vocation européenne. Ce cloud a obtenu la certification C5, équivalent allemand du SecNumCloud. Ceci le différencie de ses concurrents « Microsoft Cloud for Sovereignty » et « EU Sovereign Cloud » d’Oracle, établi en Espagne. L’un des principes de l’offre d’AWS est que seul les employés résidents et situés dans l’UE auront accès aux données, ce qui n’est pas une garantie suffisante face à l’extraterritorialité de la législation américaine.
Les espoirs européens reposent aujourd’hui sur l’IPCEI Cloud, pour lequel la Commission européenne a débloqué 1,2 milliard d’euros fin 2023. Portée par l’Allemagne, l’Espagne, la France, la Hongrie, l’Italie, les Pays-Bas et la Pologne, cette alliance vise à développer une infrastructure cloud innovante faisant intervenir les différents fournisseurs locaux.
Au Luxembourg, le choix inédit du déconnecté
C’est dans ce contexte que le Luxembourg conçoit actuellement son propre open cloud sécurisé. Fruit d’un partenariat belgo-luxembourgeois entre Proximus Group et Luxconnect, Clarence s’appuie sur la technologie de Google Cloud. Il se démarquera des autres cloud européens par une déconnexion des données et de la gestion opérationnelle. Concrètement, le stockage des données aura lieu à 100% dans des centres de données luxembourgeois chez Luxconnect. De même, toute la gestion et la maintenance de la technologie de Google sera effectuée au Luxembourg par Proximus. Au-delà de l’origine de la technologie, la déconnexion est donc présentée comme totale vis-à-vis de Google cloud.
Véritable coup de pub pour le Luxembourg, en tant que partenaire privilégié du géant américain et pays-laboratoire assumé, le succès de Clarence reposera sur la confiance qu’auront les potentiels clients privés et publics envers l’apport de cette déconnexion pour la confidentialité de leurs données. Il dépendra aussi de la performance de la technologie proposée par Google et mise en place par Proximus ainsi que de la capacité d’hébergement des data centers luxembourgeois. La réussite de Clarence en tant que plateforme cloud compétitive pour les grands acteurs économiques continentaux serait un immense pas pour le positionnement du Luxembourg en tant que leader européen sur l’économie des données. En attendant peut-être un jour une solution de cloud performante 100% européenne, la voie adoptée par le Luxembourg a le mérite de mêler pragmatisme et audace, tout en restant un pari aux nombreuses incertitudes.