Le cloud souverain, c’est l’un de ces sujets où tout le monde a un avis tranché – et où la plupart des avis sont faux. Irène Strajnic, Head of Product chez Oodrive, le dit sans détour dans le podcast Bannouze : la localisation de vos serveurs ne vous protège de rien si le code qui tourne dessus appartient à une entreprise américaine. Et ça, c’est une bombe à retardement que beaucoup de DSI et de directions marketing ignorent encore.
Oodrive, c’est une boîte fondée en 2001 – donc ouais, avant que le mot ‘cloud’ existe vraiment dans les couloirs des entreprises françaises. Leur spécialité depuis le début : protéger le contenu sensible des organisations. En 2019, ils deviennent la première entreprise française qualifiée SecNumCloud par l’ANSSI. Aujourd’hui, ils ne sont que trois en France à porter cette qualification. Irène n’arrive pas en touriste sur ce sujet.
Mais ce qui m’a frappé dans cet échange, c’est pas le pitch commercial d’Oodrive. C’est le chiffre sorti lors d’une présentation de l’ANSSI en juin 2022 : Google et Amazon répondent favorablement à 80 % des demandes d’extraction de données formulées par le gouvernement américain. 80 %. Si tes données de santé, tes brevets ou ta stratégie M&A sont sur AWS, tu viens de lire quelque chose d’inconfortable.
La question n’est pas de savoir si le cloud souverain est une bonne idée en théorie. La question c’est : pourquoi est-ce qu’on continue à faire semblant ?
Ce que ‘cloud souverain’ veut vraiment dire – et ce qu’on lui fait dire à tort
Partons d’une définition qui ne soit pas un slide de consultant. La souveraineté, dans son sens classique, c’est le pouvoir suprême exercé par un état indépendant sur son territoire et sa population. Dans le numérique, on a glissé vers la notion d’indépendance numérique – mais le mot ‘souveraineté’ colle mieux, même s’il fait parfois tiquer.
Le problème, c’est qu’on a laissé ce mot se vider. Le gouvernement français a lancé il y a quelques années l’idée d’un cloud de confiance – une notion qui a ouvert la porte à des montages hybrides assez créatifs. S3ns, c’est l’association de Google avec Thales. Bleu, c’est Microsoft avec Orange et Cap Gemini. Ces solutions ont annoncé qu’elles seraient qualifiées SecNumCloud et qu’elles garantiraient une étanchéité aux lois extraterritoriales tout en proposant les interfaces que tout le monde connaît déjà.
« Ça c’est pas parce que on est localisé en France, qu’on est hébergé en France qu’on échappe au coup des lois extraterritoriales. Ce qui compte, c’est la propriété du code. »
Voilà. Dit comme ça, c’est chirurgical. Et ça remet les pendules à l’heure sur toute une catégorie de discours marketing bien construits.
La localisation des serveurs, c’est une condition nécessaire mais absolument pas suffisante. Ce qui détermine votre exposition aux lois américaines – Cloud Act, Patriot Act – c’est la nationalité de l’entreprise qui édite le logiciel, la nationalité des équipes support, et même la présence d’un seul employé américain dans la chaîne. C’est pas moi qui l’invente : c’est la conclusion d’une étude commandée par le gouvernement néerlandais au cabinet américain Greenberg Traurig (oui, américain – ce qui enlève tout soupçon d’indulgence envers les GAFAM), publiée fin juillet 2022.
Le cloud act, ou pourquoi le shérif du comté peut lire vos emails
Concrètement, qu’est-ce que ça change pour une entreprise française qui stocke ses données sur AWS ou Google Cloud, même dans un datacenter situé à Paris ?
Irène Strajnic donne un exemple qui rend la chose très tangible. Aux États-Unis, le système judiciaire n’est pas le nôtre (et c’est un euphémisme). Un shérif local a des attributions qui, dans notre système, relèveraient d’un juge. Ce shérif peut formuler une demande d’accès à des données hébergées sur des infrastructure américaines – où qu’elles se trouvent physiquement.
« Un shérif aux États-Unis, c’est un juge. Donc le shérif d’une bourgade peut gentiment aller récupérer des données sensibles. »
C’est exactement le problème. Et le ‘gentiment’ dans cette phrase fait froid dans le dos.
Le contenu sensible d’une entreprise, ça couvre un périmètre large : données RH, comptabilité, stratégie, fusions-acquisitions, brevets. Autant d’éléments qu’une extraction via le Cloud Act transformerait en risque d’espionnage industriel direct. Perte de compétitivité, avantage concurrentiel offert à un concurrent américain bien informé – l’impact économique n’est pas théorique.
Et pour ceux qui évoquent la pseudonymisation ou l’anonymisation comme parade : Irène est directe là-dessus. La réponse courte, c’est non. Si le code est américain, les clés de déchiffrement et les accès administrateurs remontent à des entités soumises au droit américain. La muraille est poreuse.
Sur le sujet des traceurs électroniques et des réglementations numériques, on a déjà vu comment les entreprises françaises ont tendance à agir après la sanction plutôt qu’avant. Le cloud souverain risque de suivre le même schéma.
La French Tech qui se gargarise – et qui est chez Amazon
C’est la séquence la plus savoureuse de l’épisode. Laurent, l’animateur, pose la question directement : est-ce que dans les faits, les acteurs de la French Tech utilisent vraiment des solutions françaises ?
La réponse est non. Et tout le monde le sait.
« Quand tu grattes un peu, ils sont tous chez Amazon, chez Microsoft ou chez Google. C’est très contradictoire. En fait, c’est tout le monde a des grandes paroles mais personne ne fait rien. »
Ce qui m’agace là-dedans – et j’assume cette position – c’est l’hypocrisie structurelle. On peut comprendre qu’une startup choisisse AWS pour ses premières années : la facilité d’usage, les tarifs, l’intégration de services. Ce sont des arguments réels. Mais venir ensuite faire des discours sur la souveraineté numérique française depuis un stand au CES de Las Vegas, c’est du storytelling, pas de la politique industrielle.
Irène pointe quelque chose d’encore plus problématique : les partenariats S3ns et Bleu. Au lieu d’investir dans des entreprises françaises qui font des solutions ergonomiques et souveraines (et elles existent, Oodrive en est la preuve), le choix politique a été de s’associer aux géants américains en espérant obtenir une étanchéité juridique que même les avocats américains ne garantissent pas.
La vraie question derrière ça, c’est une question de capital. Microsoft et Google ont investi des milliards dans leurs plateformes depuis vingt ans. En France et en Europe, ces montants n’ont pas été dirigés vers des alternatives souveraines. Du coup (et c’est là que le bât blesse vraiment), quand on choisit la facilité d’un partenariat avec un GAFAM, on entérine un retard d’investissement qu’on aurait pu corriger.
Ce parallèle avec d’autres secteurs tech rappelle les dynamiques analysées dans l’épisode sur le modèle SaaS avec Adobe : la question de la dépendance à l’éditeur est centrale, et elle se pose différemment quand cet éditeur est soumis à un droit extraterritorial.
Ce que le cloud souverain protège vraiment – les OIV en première ligne
Oodrive travaille principalement pour les OIV (Organismes d’Importance Vitale) et les OSE (Opérateurs de Services Essentiels). Ce sont les entreprises et institutions dont une interruption d’activité aurait des conséquences directes sur la vie du pays : énergie, eau, transports, systèmes bancaires.
Irène Strajnic utilise un scénario pour rendre ça concret. Une cyberattaque réussie sur un opérateur d’infrastructure critique. Plus d’électricité. Les distributeurs automatiques de billets tombent en panne. En deux ou trois jours, c’est le désordre public.
Ce n’est pas de la science-fiction. Les attaques sur des infrastructures critiques ont eu lieu – Colonial Pipeline aux États-Unis en 2021, l’hôpital de Versailles en France en 2022. Et dans ce contexte, avoir ses données opérationnelles hébergées sur une solution dont la direction technique est aux États-Unis, c’est une surface d’attaque supplémentaire, et un risque de perte de contrôle sur les données en cas de demande gouvernementale américaine.
Le cloud souverain ici, ce n’est pas une position idéologique. C’est une exigence opérationnelle. Pour un OIV, la continuité d’activité dépend de la maîtrise totale de son environnement numérique – y compris face aux lois d’un pays tiers.
La qualification SecNumCloud de l’ANSSI existe précisément pour certifier ce niveau d’exigence. Oodrive l’a obtenue en 2019, première entreprise française à y accéder, et elle vient d’être renouvelée pour trois ans. (En France, ils ne sont que trois à l’avoir – ce qui donne une idée de la sélectivité du processus.)
Peut-on vraiment rattraper Google et Microsoft – ou c’est juste du nationalisme technologique ?
La question mérite d’être posée sans complexe. Si les solutions américaines sont aussi répandues, c’est qu’elles sont bonnes. Irène Strajnic ne le nie pas.
Mais elle distingue deux choses : la qualité technique d’un produit et la légitimité à l’utiliser pour des données sensibles. On peut admettre qu’Office 365 est une suite bureautique exceptionnelle tout en considérant qu’héberger les brevets d’un fleuron industriel français dessus, c’est une prise de risque non raisonnée.
« Il y a tellement de licornes françaises, c’est bien la preuve qu’on a des bons talents. Moi je le vois tous les jours avec mes équipes ici – ils innovent en permanence, ils sont agiles, créatifs, rapides et efficaces. »
Ce discours, je l’entends souvent. Et honnêtement, il peut sonner creux quand il vient d’un représentant commercial. Mais là, le contexte change la portée : Oodrive existe depuis 2001, a la qualification la plus exigeante du marché français, et travaille pour des clients dont les exigences de sécurité ne sont pas négociables. Ce n’est pas un pitch de levée de fonds.
La vraie limite que j’aurais voulu qu’on creuse davantage – enfin, ce que j’aurais voulu qu’on aborde – c’est la question de l’UX. Les solutions souveraines françaises sont-elles aussi simples d’usage ? Sur ce point, Irène dit que oui, sans vraiment démontrer comment. Et c’est souvent là que ça coince dans les arbitrages des directions IT : quand l’utilisateur final râle, le DSI cède.
La construction d’une norme européenne commune, que mentionne Irène en fin d’entretien, est peut-être la vraie réponse à long terme. Pas une solution française face aux GAFAM, mais un bloc européen avec des standards partagés, des investissements coordonnés, et une masse critique qui rend la comparaison moins déséquilibrée. C’est le travail en cours – avec d’autres pays européens – mais il faut du temps, et entre-temps, les données continuent de circuler.
Ce débat sur la dépendance technologique rejoint d’ailleurs des questions plus larges sur les enjeux de sens et de souveraineté dans la tech, que d’autres épisodes de Bannouze ont commencé à défricher.
Le cloud souverain n’est pas un argument marketing – c’est une question de propriété du code
Résumons ce qui devrait changer dans votre tête après cet épisode. Pas sous forme de liste – mais clairement.
Premier point : la localisation des serveurs ne compte pas. Ce qui compte, c’est la nationalité de l’éditeur du logiciel et de ses équipes techniques. Un datacenter Microsoft à Marseille reste soumis au Cloud Act.
Deuxième point : le cloud souverain qualifié SecNumCloud, ça existe en France. Oodrive en est un exemple concret, pas une promesse. Et la qualification est renouvelée – elle n’est pas acquise une fois pour toutes.
Troisième point : le risque n’est pas abstrait. 80 % des demandes d’extraction formulées par le gouvernement américain à Google et Amazon aboutissent. Ce chiffre, présenté lors d’une journée organisée par la Direction générale des Armées et l’ANSSI à Lyon, ne vient pas d’un lobbyiste souverainiste. Il vient des autorités françaises de cybersécurité.
Et quatrièmement – le plus inconfortable : les partenariats S3ns et Bleu ne résolvent pas le problème. Ils le contournent cosmétiquement. Un cabinet d’avocats américain, mandaté par le gouvernement néerlandais pour évaluer ces solutions, a conclu que l’exposition au droit extraterritorial demeure. On ne peut pas être plus clair que ça.
Reste une question que l’épisode effleure sans vraiment y répondre : qui décide, dans une entreprise française, que la souveraineté des données devient une priorité budgétaire réelle – et pas juste une case cochée dans un slide de conformité ? Le DSI ? Le DAF ? Le COMEX ? Et si le décideur est aussi celui qui bénéficie des remises de volume chez AWS, le débat a déjà une issue probable.
Sur les questions de données, de droit numérique et de stratégie digitale, l’épisode sur la fin des cookies tiers et celui sur l’impact environnemental du numérique posent des questions du même ordre : jusqu’où va-t-on continuer à choisir la commodité sur la maîtrise ?
