Le paradoxe de la French Tech : pourquoi parle-t-on de souveraineté tout en utilisant des clouds américains ?
Le discours est bien rodé. Au sein de la French Tech, tout le monde se gargarise d’utiliser des solutions françaises, de défendre l’écosystème local. Pourtant, comme le souligne Laurent, l’animateur du podcast Banouse, « quand tu grattes un peu, ils sont tous chez Amazon, chez Microsoft ou chez Google ». Cette contradiction est au cœur d’un enjeu majeur pour notre économie et notre indépendance : la question du cloud souverain. Pourquoi y a-t-il un tel décalage entre les grandes paroles et les actes ? Pour éclaircir ce sujet complexe, Irène Strajnic, Head of Product chez Oodrive, une entreprise pionnière de la confiance et de la sécurité numérique en France, nous livre son expertise.
Forte de plus de 20 ans d’expérience dans la protection des comptes sensibles des entreprises, Oodrive est l’une des rares sociétés françaises à avoir obtenu la prestigieuse qualification SecNumCloud de l’ANSSI. Irène est donc particulièrement légitime pour aborder ce sujet. Elle affirme : « Les solutions que nous avons conçues chez Oodrive depuis 20 ans, sont des solutions qui visent à protéger le compte sensible des entreprises et qui sont totalement souveraines. »
Comprendre la souveraineté à l’ère du numérique
Avant de plonger dans les détails techniques, il est essentiel de définir ce dont on parle. Qu’est-ce que la souveraineté dans un monde où les frontières physiques semblent s’effacer ? Irène Strajnic nous ramène aux fondamentaux : « La souveraineté traditionnellement est entendue comme le pouvoir suprême exercé sur un territoire, sur une population par un État indépendant et libre de s’auto-déterminer. »
Cependant, cette définition a dû évoluer. « Dans notre société post-westphalienne, les contours de la souveraineté ont évolué parce que les frontières ont explosé, ça s’est évidemment accéléré avec la mondialisation, avec la transition numérique. » Aujourd’hui, on parle davantage d’indépendance numérique. Ce nouvel équilibre des forces pousse les États, notamment européens, à repenser leurs stratégies pour ne pas devenir de simples colonies numériques. Le cloud souverain est la pierre angulaire de cette reconquête.
Les enjeux cruciaux de la souveraineté numérique
Mais concrètement, pourquoi le cloud souverain est-il si important ? Selon Irène, les enjeux sont multiples et profonds. « Il y a des enjeux économiques, il y a des enjeux éthiques, il y a des enjeux géopolitiques. » Être souverain, c’est avant tout défendre un modèle de société. « C’est défendre notre droit en France et en Europe, on a un droit à la liberté d’expression, on a un droit à la vie privée et c’est le fait de ne pas être finalement géré par des États qui ne respectent pas ces lois, qui ne respectent pas ces codes. »
L’enjeu économique est colossal. Avec 5 milliards d’utilisateurs connectés échangeant des données, on parle du « nouveau pétrole ». Or, ce marché est sous la quasi-hégémonie des géants américains (GAFA) et asiatiques (BATIX), qui concentrent 80% des investissements digitaux. Le problème ? « Ils ont des lois qu’on dit aujourd’hui extraterritoriales, qui ne sont pas en correspondance avec les nôtres, avec nos réglementations. » L’objectif est donc de faire valoir nos règles, comme le RGPD, pour protéger les données sur nos territoires et, à plus grande échelle, de « construire une Europe forte qui est capable de rééquilibrer le monde ».
L’illusion du « cloud de confiance » : pourquoi l’hébergement en France ne suffit pas
Face à cette prise de conscience, le gouvernement français a promu la notion de « cloud de confiance ». L’idée semble séduisante : associer la puissance technologique américaine à un hébergement souverain français. C’est le cas de SENS (Google et Thalès) ou de Bleu (Microsoft, Orange et Capgemini). Ces entités promettent une qualification SecNumCloud et une « étanchéité aux lois extraterritoriales ».
Pourtant, Irène Strajnic est catégorique : « En fait, c’est faux. » C’est là que se niche le cœur du problème, une incompréhension fondamentale souvent entretenue par les géants américains eux-mêmes. « Ce n’est pas parce qu’on est localisé en France, qu’on est hébergé en France, qu’on échappe au coup des lois extraterritoriales. Et ça, c’est un point qui est extrêmement important. »
La propriété du code : la véritable clé de la souveraineté
L’argumentation d’Irène est validée par une étude récente commandée par le gouvernement néerlandais à un cabinet d’avocats américain. La conclusion est sans appel : « La localisation des serveurs n’est pas ce qui compte, ce qui compte c’est la propriété du code. » En d’autres termes, si vous utilisez une solution Microsoft hébergée dans un data center en France, cette solution reste soumise aux lois américaines, notamment le fameux Cloud Act et le Patriot Act.
« À partir du moment où tu héberges une solution américaine en France, pour autant, elle est soumise aux lois américaines. Ça veut dire que si demain le gouvernement américain demande une extraction de données, ils le feront. » Ces alliances franco-américaines s’apparentent donc à un cheval de Troie, créant une fausse sécurité tout en maintenant la dépendance et les risques.
Le Cloud Act : un risque direct pour les entreprises européennes
Le risque n’est pas théorique, il est bien réel et quantifié. Lors d’un événement organisé par la Direction Générale des Armées, l’ANSSI a présenté un chiffre choc : « Google et Amazon répondent favorablement dans 80 % des cas à toute demande d’extraction de données par le gouvernement américain. 80 % des cas. C’est-à-dire qu’en fait le risque est absolument colossal. »
Les conséquences sont potentiellement désastreuses. Irène cite l’exemple des données de santé hébergées sur AWS, qui pourraient être revendues à des assurances. Le système judiciaire américain, très différent du nôtre, amplifie le danger : « Un shérif aux États-Unis, c’est un juge. Donc le shérif d’une bourgade peut gentiment aller récupérer des données sensibles. »
Quelles sont ces données ? « Toutes les données RH, les données comptables, tout ce qui concerne les fusions-acquisitions, la stratégie de la boîte, les brevets… autant d’éléments qu’on a envie de protéger. » L’enjeu est double : se protéger de la cybercriminalité classique, mais aussi de l’espionnage industriel légalisé par ces lois extraterritoriales. Une fuite de données peut entraîner une interruption d’activité, une perte de compétitivité, voire la faillite.
La French Tech peut-elle rivaliser ? La voie vers une véritable indépendance
Face à la puissance des solutions Microsoft et Google, est-il réaliste de vouloir les concurrencer ? Pour Irène, la réponse est un oui franc et massif. « Ce n’est pas impossible parce qu’évidemment c’est ce que nous faisons avec mon équipe chez Oodrive. » La force des géants américains vient d’investissements massifs de plusieurs milliards, une stratégie que l’Europe peine à adopter.
C’est là que le bât blesse. Au lieu de soutenir les pépites nationales, on préfère des alliances qui semblent plus simples à court terme. « Pourquoi ne pas investir dans des entreprises françaises qui font des solutions qui sont ergonomiques, qui sont simples d’usage, qui répondent aux besoins des utilisateurs et qui sont 100 % françaises plutôt que d’aller chercher un peu la facilité en s’associant à du Microsoft ou à du Google ? »
Cette situation provoque chez elle « une forme de colère, parce que finalement, s’associer à ces géants-là, c’est dire qu’on n’est pas capable d’innover en France et c’est faux. » Les nombreuses licornes françaises sont la preuve vivante du talent et de la créativité de nos ingénieurs. « Moi, je le vois tous les jours avec mes équipes ici, ils innovent en permanence, ils sont agiles, ils sont créatifs, ils ont plein d’idées, ils sont rapides et efficaces. » Il est donc impératif d’investir dans des entreprises comme Oodrive pour progressivement rééquilibrer les forces et construire, à terme, une norme européenne de protection des données.
En conclusion, la quête d’un cloud souverain n’est pas une lubie protectionniste, mais une nécessité stratégique. Comme le démontre Irène Strajnic, la simple localisation des données sur le sol français est un leurre. La véritable souveraineté réside dans la maîtrise du code et la soumission au droit européen. Des entreprises françaises proposent déjà ce bouclier, ce rempart contre les lois extraterritoriales. Il ne tient qu’à nos décideurs, publics comme privés, de faire le choix courageux de l’indépendance et d’investir dans notre propre avenir numérique.
FAQ sur le cloud souverain
Qu’est-ce que le cloud souverain exactement ?
Le cloud souverain désigne un environnement d’hébergement et de services cloud qui garantit que les données sont soumises exclusivement aux lois du pays où elles sont situées. Cela implique non seulement que les serveurs soient sur le territoire national, mais surtout que l’entreprise qui fournit la solution soit de la même nationalité pour ne pas être soumise à des lois étrangères.
« La souveraineté traditionnellement est entendue comme le pouvoir suprême exercé sur un territoire, sur une population par un État indépendant et libre de s’auto-déterminer. Dans le numérique, on parle davantage d’indépendance numérique. » – Irène Strajnic
Pourquoi l’hébergement de données en France n’est-il pas suffisant pour garantir la souveraineté ?
Héberger ses données en France chez un fournisseur américain (comme AWS, Google Cloud ou Microsoft Azure) ne garantit pas la souveraineté car ces entreprises restent soumises aux lois extraterritoriales de leur pays d’origine, comme le Cloud Act. Le gouvernement américain peut donc légalement exiger l’accès à ces données, même si elles sont stockées en Europe.
« Ce n’est pas parce que on est localisé en France, qu’on est hébergé en France, qu’on échappe au coup des lois extraterritoriales. […] La localisation des serveurs n’est pas ce qui compte, ce qui compte c’est la propriété du code. » – Irène Strajnic
C’est quoi le Cloud Act et quel est son impact sur les entreprises européennes ?
Le Cloud Act est une loi fédérale américaine qui contraint les fournisseurs de services basés aux États-Unis à fournir les données stockées sur leurs serveurs sur demande des autorités américaines, quelle que soit la localisation géographique de ces serveurs. Pour une entreprise européenne, cela signifie un risque majeur de voir ses données sensibles (stratégie, brevets, données RH) transférées et analysées hors du cadre légal européen.
« À partir du moment où tu héberges une solution américaine en France, pour autant, elle est soumise aux lois américaines. Ça veut dire que si demain le gouvernement américain demande une extraction de données, ils le feront. » – Irène Strajnic
Les solutions de « cloud de confiance » (ex: Google/Thales) sont-elles vraiment souveraines ?
Non. Selon l’analyse d’experts comme Irène Strajnic, ces solutions hybrides sont un leurre. Même si l’infrastructure est gérée par une entité française, la technologie et le code sous-jacents restent la propriété d’une entreprise américaine. Elles restent donc soumises aux lois extraterritoriales et ne peuvent être considérées comme véritablement souveraines.
« Ces entreprises-là ont annoncé qu’elles garantiraient une étanchéité aux lois extraterritoriales tout en offrant un très haut niveau de sécurité. En fait, c’est faux. » – Irène Strajnic
Quel est le risque réel qu’un gouvernement étranger accède à mes données d’entreprise ?
Le risque est très élevé. Selon des chiffres présentés par l’ANSSI, les géants américains comme Google et Amazon répondent favorablement à 80% des demandes d’extraction de données de la part du gouvernement américain. Le risque d’espionnage industriel, de perte de propriété intellectuelle et d’impact économique est donc direct et massif.
« Google et Amazon répondent favorablement dans 80 % des cas à toute demande d’extraction de données par le gouvernement américain. C’est-à-dire qu’en fait le risque est absolument colossal. » – Irène Strajnic
Comment une entreprise française peut-elle se protéger des lois extraterritoriales américaines ?
La seule protection efficace est de choisir un fournisseur de cloud 100% français ou européen, dont le siège social, les capitaux et les équipes sont en Europe. L’entreprise doit maîtriser l’ensemble de la chaîne, du matériel au logiciel, et ne pas utiliser de technologies américaines pour garantir qu’aucune loi extraterritoriale ne puisse s’appliquer.
« Nous Odrive on est on est SecNumCloud, on est qualifié par l’ANSSI, on est une entreprise française hébergée en France qui fait des solutions qui sont sécurisées […] et c’est ça notre engagement envers nos clients, c’est de protéger leur contenu […] et de faire un bouclier avec ces lois extraterritoriales. » – Irène Strajnic
Qu’est-ce que la qualification SecNumCloud de l’ANSSI ?
SecNumCloud est la plus haute qualification de sécurité délivrée en France par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Elle garantit qu’un fournisseur de services cloud respecte des exigences de sécurité, de gouvernance et de souveraineté extrêmement strictes, offrant ainsi le plus haut niveau de confiance pour les données sensibles.
« Nous avons obtenu la norme SecNumCloud de l’ANSSI en 2019, on était la première entreprise française à recevoir cette qualification. Nous ne sommes que trois, d’ailleurs en France à l’avoir. » – Irène Strajnic
La French Tech a-t-elle les moyens de concurrencer les géants américains du cloud ?
Oui, la France et l’Europe possèdent les talents et la capacité d’innovation pour développer des solutions cloud compétitives, ergonomiques et sécurisées. Le principal frein n’est pas technologique mais lié au manque d’investissement stratégique dans ces entreprises souveraines, au profit de partenariats jugés plus faciles avec les acteurs américains.
« S’associer à ces géants-là, c’est dire qu’on n’est pas capable d’innover en France et c’est faux. On le prouve tous les jours, il y a tellement de licornes françaises. C’est bien la preuve qu’on a des bons talents. » – Irène Strajnic
