Souveraineté digitale : puissance européenne pour les données et le cloud, in varietate concordia
Issue
Issue #3Auteurs
Hubert Tardieu , Boris OttoLa Revue européenne du droit, décembre 2021, n°3
Les chemins de la puissance européenne
Introduction
Le chemin vers la puissance européenne est reconnu comme un débat critique par les États membres, la Commission européenne et le Parlement européen. A l’heure où une nouvelle directive de réglementation sur les « marchés contestables et équitables dans le secteur numérique » est proposée par la Commission européenne au Parlement européen et de la publication d’une Boussole numérique 2030 1 par la Commission européenne, proposant une voie européenne pour la Décennie numérique via des projets multi-pays (en particulier sur l’infrastructure paneuropéenne de traitement des données permettant un échange et un partage faciles des données, notamment pour les espaces européens communs de données), la souveraineté européenne dans l’espace numérique sera un sujet majeur de la Présidence Française du Conseil européen (PFUE). Alors que différentes interprétations de ce sujet peuvent être observées en Europe, notamment entre la France et l’Allemagne, cet article, rédigé conjointement par un universitaire allemand et un professionnel de l’informatique français, entend proposer une nouvelle voie vers la puissance européenne basée sur l’exemple du lancement de l’Association européenne pour les données et le cloud Gaia-X 2 .
Au cours des deux dernières années, une équipe franco-allemande, soutenue principalement par les deux ministres de l’Économie, a pu créer une association qui compte aujourd’hui plus de 300 membres dont les principaux utilisateurs européens, tous les fournisseurs de services cloud européens, américains et chinois importants et avec une gouvernance construite pour répondre aux exigences de la DG Concurrence tout en limitant le conseil d’administration aux compagnies, associations et institutions académiques ayant leur siège social en Europe. Gaia-X est ouvert à tous ceux qui partagent ses valeurs et respectent ses principes. Le plan européen pour la relance et la résilience consacre 20 % de son montant total de 750 milliards d’euros à la transformation numérique et propose un nouvel outil pour piloter la Décennie numérique : la Boussole numérique comprenant une nouvelle structure de gouvernance et « un mécanisme pour organiser avec les États membres les projets multi-pays qui sont nécessaires pour construire la transition numérique de l’Europe dans des domaines critiques ».
Dans ce contexte, la mise en place de l’association Gaia-X peut être considérée comme un exemple intéressant, peut-être même un modèle pour un mécanisme approprié aidant les gouvernements des États membres à sélectionner les projets stratégiques en termes d’espaces de données et d’infrastructure.
1) Souveraineté Numérique vs Autonomie Stratégique
Le projet Gaia-X a été lancé dans le cadre d’Industrie 4.0 car le partage de données industrielles requiert un cadre de confiance mais aussi en réponse au changement massif de l’industrie automobile allemande, déplaçant ses données vers les fournisseurs de services cloud américains (par exemple Amazon, Microsoft et Google). La motivation pour la migration vers le cloud réside principalement dans la capacité des plateformes cloud à permettre la croissance des entreprises grâce à des scénarios d’innovation axés sur les données, d’une part, et d’autre part à des gains de flexibilité et de réduction des coûts par rapport aux centres de données traditionnels. Au-delà de l’automobile, la situation de l’Europe peut être caractérisée par deux chiffres : seulement 26 % des entreprises européennes utilisent le cloud, dont respectivement 21 % en France et 20 % en Allemagne. Ces chiffres se comparent à plus de 60 % d’adoption du cloud en Scandinavie et à plus de 50 % aux États-Unis. Ne pas utiliser le cloud rend l’industrie européenne moins compétitive en termes de coûts, ainsi qu’en termes de flexibilité et d’agilité lorsqu’il s’agit de tirer parti de modèles commerciaux innovants. La plateforme Doctolib 3 qui vise à la mise en relation entre patients et professionnels de santé, n’aurait par exemple pas pu organiser 15 millions de rendez-vous en janvier 2021 sans utiliser le cloud de manière massive. Les plateformes cloud permettent un partage de données entre plusieurs partenaires d’une chaîne de valeur et aident à surmonter les silos internes traditionnels de l’entreprise. Le deuxième chiffre reflète l’origine des fournisseurs de services cloud qui sont pour plus de 70% américains et chinois avec une seule entreprise dans le top 3 dans un pays européen : OVH en France.
Les principales raisons qui ont empêché une adoption plus rapide du cloud en Europe ont été identifiées. Elles tiennent tant à un objectif de portabilité (pouvoir passer d’un fournisseur de services cloud à un autre à un coût minimal pour les applications, les données et l’infrastructure), d’interopérabilité (soit la capacité d’échanger des données entre des entreprises utilisant différents fournisseurs de services cloud) et à la souveraineté des données (soit la capacité des détenteurs de données à définir leurs options concernant leurs données, par exemple en leur permettant de partager des données avec des « conditions générales » spécifiant l’utilisation autorisée des données).
L’industrie a maintenant lancé de grands projets d’espaces de données pour partager des données, par exemple entre les principaux constructeurs automobiles, les fabricants de pièces et les équipementiers (en Allemagne avec CATENA-X) ou entre les avionneurs et les compagnies aériennes (avec Skywise). Par ailleurs, la création d’espaces de données est en cours dans de nombreux domaines : Smart Farming, Santé, Energie, Finance, Energie, Mobilité, Smart City avec un plan bien défini regroupant les principaux acteurs. 4
L’ambition de la Décennie européenne du numérique d’ici 2030 de « 75 % des entreprises européennes ayant adopté les services d’informatique dans le cloud, le big data et l’intelligence artificielle » représente une autre façon de dire que les données et le cloud en Europe seront correctement utilisés par 75 % des entreprises européennes en 2030.
Le dilemme souveraineté numérique 5 vs autonomie stratégique 6 est désormais bien énoncé : quel est le meilleur parcours pour permettre aux entreprises européennes de bénéficier de l’économie des données industrielles ? Faut-il essayer de créer un prestataire de services européen capable de concurrencer les hyperscalers américains ou plutôt de construire une autonomie stratégique dans les secteurs les plus critiques : automobile, santé, énergie, manufacturing en utilisant une combinaison de fournisseurs de services cloud (dont des fournisseurs non européens) à condition qu’ils respectent les règles en termes de portabilité, interopérabilité et souveraineté des données.
La France a connu la première option en 2012 avec Numergy et Cloudwatt lancés par SFR et Orange avec le soutien du gouvernement Français ; elle a été stoppée début 2015 par manque d’adhésion des utilisateurs.
Fin 2021 plusieurs pays comme l’Allemagne, la France ou l’Italie ont initié pour le secteur public et les domaines sensibles un cloud de confiance où la pénétration du cloud est considérée comme prioritaire (Cloud au centre du Gouvernement français) et où les technologies cloud non européennes sont acceptées à condition qu’elles soient entièrement opérées par des entreprises européennes (Orange, Deutsche Telekom, …).
Pour le reste de l’industrie, la tendance est un système « push/pull » où l’attraction est créée par les incitations du partage de données au sein des espaces de données et le « push » est une combinaison de coût et de flexibilité attrayante et de libération des obstacles au cloud sur la portabilité, l’interopérabilité et la souveraineté des données.
La pandémie a soudainement accéléré la transition numérique en apportant un montant de financement sans précédent grâce à un tout nouveau mécanisme de distribution s’appuyant sur des plans de relance et de résilience des pays.
Dans ce contexte, Gaia-X peut être considéré comme une voie pour mobiliser des ressources en Europe en vue de renforcer sa souveraineté numérique et, au même moment, bénéficier d’une coopération ouverte dans un environnement multilatéral.
2) Le rôle des Facilités pour la Reprise et la Résilience dans les États membres européens
La Facilité pour la Reprise et la Résilience (FRR) fournit des subventions d’un montant maximum de 338 milliards d’euros et des prêts d’un montant maximum de 390 milliards d’euros. Les pays de l’Union européenne ont soumis des plans nationaux de FRR qui décrivent les réformes et les projets d’investissement public qu’ils prévoient de mettre en œuvre avec le soutien du FRR.
Dans chaque plan, les pays ont présenté des composantes vertes et numériques qui doivent respectivement atteindre au moins 37% et 20% du montant total. Les principaux pays d’Europe ont satisfait à cette exigence, la France recevant pour le numérique 10,3 milliards (25%), l’Allemagne 14,7 milliards (52%), l’Italie 55,9 milliards (29%), l’Espagne 20,6 milliards (29%), le Portugal 3,7 milliards (22%) totalisant au niveau européen 136,6 milliards d’euros (28%) 7 .
Les dépenses du RRF seront principalement opérées d’ici 2025 avec un pic en 2022.
En résumé, la plupart des 136 milliards d’euros seront dépensés pour le numérique dans cinq ans avec une priorité globale de l’industrie sur les transports, l’énergie et la construction.
Un tel plan est tout à fait inédit, depuis que le numérique existe, pour deux raisons : (1) le montant du financement à dépenser en cinq ans et (2) sa gouvernance laissant à chaque pays la responsabilité de son orientation stratégique et de son exécution, la Commission européenne ayant défini l’objectif général de la décennie numérique et assumant une responsabilité de « check and balance » pour sa mise en œuvre.
3) Le cas du numérique avec 150 milliards d’euros de financement dans les cinq prochaines années
L’objectif de 75 % des entreprises européennes utilisant les services cloud, le Big Data et l’intelligence artificielle d’ici 2030 laisse une certaine flexibilité pour l’étape intermédiaire en 2025 que nous proposons de positionner à 50 % qui est déjà dépassé en Scandinavie et qui est estimée être le niveau atteint aujourd’hui aux États-Unis.
La boussole numérique, mentionnée précédemment, décrit plusieurs projets multi-pays actuellement en discussion dans le cadre du RRF parmi lesquels :
« Construire une infrastructure paneuropéenne commune et polyvalente de traitement des données interconnectées, à utiliser dans le plein respect des droits fondamentaux, développer des capacités de traitements périphériques en temps réel (latence très faible) pour répondre aux besoins des utilisateurs finaux à proximité de l’endroit où les données sont générées (c’est-à-dire à la périphérie des réseaux de télécommunications), concevoir une plate-forme middleware sécurisée, à faible consommation d’énergie et interopérable pour des utilisations sectorielles, et permettre des échanges et un partage faciles des données, notamment pour les espaces communs de données européens ».
Il est trop tôt pour avoir une image précise de l’articulation du plan du RRF mais on voit déjà les grands piliers du plan d’action pour les données et le cloud :
- Infrastructure : un effort majeur dédié aux fournisseurs de services cloud européens pour préparer l’ère du cloud en périphérie rendue possible par la prolifération de la 5G. Cet effort entre autres est abordé par le Projet important d’intérêt européen commun (PIIEC) actuellement en préparation.
- Innovations économiques spécifiques à un domaine : de multiples créations d’espaces communs de données spécifiques couvrant plusieurs écosystèmes coordonnés dans les principales industries requises dans le RRF : transport, énergie, construction, manufacturing, agriculture. L’effort est triple : (1) créer l’écosystème avant de mettre en évidence les avantages du partage de données, (2) construire les plateformes de données industrielles en convenant d’un mécanisme de partage de données et (3) préparer la méthodologie et le processus pour construire des espaces de données. Ces efforts ont commencé dans les transports : Skywise (Airbus et 130 compagnies aériennes) et Catena-X (BMW, Mercedes, Volkswagen, …). Le financement public en tant que FRR ne peut être utile que si l’industrie prend les devants, mais les progrès des espaces de données sont difficiles à mesurer nécessitant une étude de l’économie de l’espace de données.
- Réglementation : supprimer les obstacles en termes de portabilité, d’interopérabilité et de souveraineté des données tout en contribuant aux nouvelles réglementations numériques (Digital Service Act, Digital Market Act et Data Governance Act). La seule voie pour ce troisième effort est un consensus articulé entre les utilisateurs, les fournisseurs européens et les fournisseurs internationaux de services cloud. La Commission européenne a l’intention de mettre en place un livre européen de règles sur le cloud qui peut trouver sa source dans les règles de bonne pratique convenues.
Le défi sans précédent est de coordonner et de mettre en œuvre ce plan d’action avec « de nombreux cuisiniers dans la cuisine » : (1) les pays avec leur RFF, (2) la Commission européenne surveillant et mesurant l’effort, (3) les industries créant des Espaces De Données certainement pas au niveau national mais au niveau européen, (4) les fournisseurs européens de services cloud investissant conjointement pour le cloud périphérique de nouvelle génération, (5) la Commission européenne et Parlement européen préparant le nouveau cycle de réglementations sans oublier (6) les GAFA et les acteurs chinois attirés par un doublement du marché du cloud en Europe mais pas prêts à renoncer facilement aux avantages concurrentiels qu’ils ont acquis sur le marché grand public
On nous a souvent posé la question : pourquoi est-ce spécial à l’Europe ? Aux États-Unis, il est communément admis que Google ou Microsoft sont légitimes pour construire la prochaine génération de plateformes de santé, une option impossible en Europe ; en outre personne ne s’attend à ce que General Motors et Ford forment une alliance pour partager les données comme nous le voyons se produire dans CATENA-X. En Chine, il est difficile de deviner comment se terminera le nouveau cycle de réglementations en préparation pour favoriser la « prospérité commune ».
4) Réglementation vs Innovation : le difficile équilibre entre Protection et Ouverture
Lors du « Sommet du Bien Commun » organisé en mai 2021 par Jean Tirole, un panel réunissait à la fois le prix Nobel d’économie Bengt Holmström et le Commissaire Thierry Breton. Le professeur du MIT a déclaré que parce que l’Europe est un ensemble de pays, elle préfère réglementer plutôt que d’innover, une opinion qui n’était évidemment pas partagée par le Commissaire. Tout le monde en Europe s’accorde à dire que la réglementation du numérique sur le marché de la consommation est arrivée trop tard après que les GAFA ont pris une avance incontestée et que, par conséquent, la réglementation du partage de données industrielles et de l’utilisation du cloud est considérée comme urgente avant que soient prises des positions dominantes. Si l’on examine les trois principaux efforts mentionnés ci-dessus : la création d’une industrie européenne du cloud de périphérie est simple sur cet aspect, mais les deux suivantes posent des défis importants : (1) l’établissement d’espaces de données peut être considéré comme créant un cartel dans les deux principaux cas de partage de données : partage entre concurrents comme Here 8 dans la collecte de données automobiles (Audi, BMW et Daimler) ou entre partenaires d’une chaîne de valeur comme Skywise (Airbus, Easyjet, United Arlines) et (2) la mise en place de pratiques communes dans l’utilisation du cloud pour la portabilité, l’interopérabilité et la souveraineté numérique conduisant éventuellement à des normes est sévèrement réglementée par la DG Concurrence afin de donner des chances équitables de participer à tout fournisseur opérant légalement sur le marché européen. Afin d’accélérer le processus, une combinaison de bacs à sable réglementaires (supprimant temporairement des réglementations restrictives) et l’utilisation systématique de la conformité ex-ante est indispensable, ce qui signifie que les meilleures pratiques convenues pendant la période de bac à sable doivent être adoptées par les fournisseurs dans les offres qu’ils proposent.
5) Une infrastructure fédérée de logiciels et de données à travers l’Europe
En abordant la souveraineté numérique de l’Europe lors du « Digital Gipfel » 2019 à Dortmund, la chancelière allemande Angela Merkel a souligné que l’Europe devrait avoir l’ambition d’être « capable de tout cela par elle-même ». Ainsi, l’Europe devrait s’efforcer non seulement de réglementer, mais aussi plus important de construire elle-même l’infrastructure logicielle et de données pour le marché unique européen.
Les leçons tirées des efforts passés montrent qu’une simple « stratégie de suivi » pourrait ne pas être l’approche la plus sage pour atteindre cet objectif. En revanche, l’Europe doit trouver sa propre voie architecturale lorsqu’il s’agit de concevoir un logiciel et une infrastructure de données, car la souveraineté numérique – ainsi que les exigences de portabilité et d’interopérabilité en matière de données et de services – représentent une manifestation des valeurs européennes fondamentales. Un juste équilibre entre l’intérêt du détenteur des données individuelles et l’intérêt légitime de la communauté à utiliser les données existantes (par exemple, à des fins de soins de santé, pas seulement en temps de pandémie actuelle) est au centre du débat sur la manière de concevoir l’économie européenne des données. L’équilibre entre les intérêts des individus et les intérêts communs conduit à une conception d’infrastructure différente de ce qui est disponible dans les offres actuelles des fournisseurs de plateformes privées américains ou chinois.
L’hypothèse d’une conception plus « démocratiques » des plateformes est étayée par des développements récents concernant les infrastructures de données scientifiques et de recherche. La Commission européenne promeut l’European Open Science Cloud, par exemple, et les Etats Unis prévoient également une « infrastructure de recherche partagée » 9 pour les chercheurs et les étudiants en Intelligence Artificielle.
Toutes les parties prenantes s’accordent à dire que l’infrastructure de données et de logiciels de l’Europe doit empêcher l’émergence d’une centralisation du pouvoir en matière de données. C’est essentiel dans la mesure où cela nécessite d’empêcher que les effets de réseau conduisent à une situation où « le gagnant prend tout ». En fait, l’architecture de l’infrastructure doit être conçue de manière à éviter les effets monopolistiques tout en utilisant les effets de réseau pour une adoption maximale.
Les infrastructures européennes sont conçues comme une fédération. Elles ne nécessitent pas de fonctionnalités centrales de stockage, de traitement ou de distribution des données. Au lieu de cela, l’infrastructure est formée de nœuds distribués dans un réseau de données et de services. Les nœuds peuvent fournir ou utiliser des ressources telles que des données. Les fournisseurs restent indépendants et libres en ce qui concerne leurs données et autres ressources ; le réseau est ouvert et non discriminatoire et enfin les utilisateurs et les fournisseurs se font mutuellement confiance.
Ceci est réalisé grâce à la création de quatre services de fédération. Tout d’abord, un catalogue fédéré fonctionne comme un registre de toutes les ressources disponibles sur le réseau. Les entrées du catalogue comprennent des descriptions des ressources mêmes (telles que les données et les services) ainsi que les politiques auxquelles les services adhèrent (par exemple, le RGPD) et les conditions dans lesquelles les ressources peuvent être utilisées par d’autres participants au réseau. Deuxièmement, l’échange souverain de données permet la définition, l’échange, le traitement et le suivi des politiques d’utilisation des données. Ceux-ci peuvent être compris comme les termes et conditions de l’économie des données. Les exemples sont la limitation du nombre d’actions de lecture sur les données, l’interdiction de distribuer davantage les données, l’obligation d’utiliser les données uniquement dans une certaine zone géographique, etc. Troisièmement, la gestion des identités garantit la confiance entre les fournisseurs et les utilisateurs du réseau. Enfin, les services de conformité garantissent le respect de la réglementation ainsi que des attentes des utilisateurs, telles que énoncées dans l’auto-description.
Les services de fédération facilitent l’émergence et le fonctionnement des espaces de données. Les espaces de données sont un concept d’intégration de données qui ne nécessite pas de consolidation des données en un seul endroit central, ni l’utilisation d’un seul schéma de base de données. En revanche, l’intégration des données est réalisée au niveau sémantique et des redondances de données sont possibles. Ainsi, la conception naturelle des espaces de données correspond efficacement à la nature fédérée de l’approche de l’Europe en matière d’infrastructure de données et de logiciels.
En plus de soutenir la souveraineté des données, l’interopérabilité et la portabilité des données, une infrastructure fédérée de données et de logiciels est également plus flexible que les approches de plateforme centrale. Les nœuds du réseau peuvent varier en portée, en taille et en fonction. Il peut s’agir de grands centres de données cloud, mais aussi de petits services cloud périphériques qui fonctionnent sur l’Internet des objets, à côté d’une ligne de production individuelle ou dans une voiture, par exemple.
Un tel paysage multi-cloud répondrait également à des exigences diverses tout au long de la chaine de valeur des données. En médecine de précision, par exemple , le données seraient collectées à la « périphérie », c’est-à-dire à proximité par des appareils de santé portables puis seraient traitées sur de grandes plateformes cloud avec plus de ressources informatiques et,enfin, les résultats de l’analyse des données seraient redistribué au patient tout en respectant les normes de confiance et de souveraineté des données.
Un cadre de compliance et de labellisation tel qu’envisagé par Gaia-X permet d’assurer le contrôle et la gouvernance des services fédérés d’infrastructures et de données. Compliance et labellisation sont étroitement imbriqués. Les labels permettent de garantir le niveau de confiance désiré sans avoir à procéder à des inspections longues et difficiles alors que la compliance fait référence au processus de validation de règles automatisées pour permettre de vérifier le niveau minimum d’auto-description pour la compatibilité des formats de fichiers et de syntaxe ainsi que la validation des signatures cryptographiques.
6) Une feuille de route possible pour les Données et le Cloud à la périphérie durant les quatre prochaines années critiques du plan de relance : où en sommes-nous techniquement ?
L’Europe devrait créer une vision selon laquelle, d’ici la fin de cette décennie, la souveraineté des données ne sera plus un sujet de discussion parce qu’elle sera simplement mise en œuvre dans tous les services cloud proposés et utilisés dans le marché unique européen.
Une feuille de route vers cette vision doit reposer sur un ensemble de mesures stratégiques. Tout d’abord, il faut comprendre que la voie de l’Europe dans l’économie des plateformes contraste avec les voies évolutives habituelles. Les plate formes contrôlées par une société unique (telles que les hyperscalers) suivent un chemin consistant en le développement de plateformes, puis l’adoption par différentes parties (fournisseurs, utilisateurs, intégrateurs) et enfin le passage à l’échelle. Dans le cas de l’infrastructure fédérée de données et de logiciels de l’Europe, l’adoption de l’idée vient en premier, avant le développement de la plate forme. De plus, le processus n’est pas géré par un seul agent, mais plutôt par un écosystème entier composé de plusieurs parties prenantes. Cela a un énorme potentiel en ce qui concerne l’adoption, mais est lent en ce qui concerne la conception et le développement. Ainsi, la conception de l’infrastructure ne doit pas seulement se concentrer sur le développement de services logiciels, mais également définir une norme certifiable qui peut être adoptée par des développeurs tiers. Les livrables du parcours de l’Europe vers une infrastructure fédérée de données et de logiciels doivent donc être triples et comprendre une spécification de conception, une implémentation logicielle open source et un moyen de tester et de certifier l’adhésion des services à la spécification.
Deuxièmement, l’Europe devrait embrasser la variété et la diversité du futur paysage des services cloud dans le marché unique européen, qui sera caractérisé (1) par de grands centres de données cloud d’une part et (2) par un nombre beaucoup plus élevé de petits services cloud de périphérie d’autre part. Le premier sera à l’avenir dominé par de grands fournisseurs de plateformes, principalement de l’extérieur de l’Europe, c’est pourquoi l’Europe devrait avoir un fort intérêt à ce que sa norme de cloud certifiable soit adoptée par ces fournisseurs de plateformes. Ces derniers, c’est-à-dire les services cloud de périphérie, sont un segment de marché où l’Europe a un grand potentiel pour atteindre des parts de marché importantes par elle-même. L’Europe est leader en ce qui concerne l’industrie 4.0, l’Internet des objets et les systèmes embarqués, qui sont tous étroitement liés au cloud de périphérie. Ainsi, les mesures stratégiques de financement et d’investissement (telles que le PIIEC pour le cloud périphérique et les services) devraient se concentrer sur la périphérie. Il est donc important que l’Europe soit ouverte à la collaboration avec des partenaires non européens lorsqu’il s’agit d’établir des normes certifiables et de se concentrer sur les fournisseurs européens de services cloud de périphérie lorsqu’il s’agit d’investir de l’argent dans le plan de relance.
Troisièmement, comme mentionné brièvement précédemment, l’Europe devrait suivre une stratégie claire en matière de logiciels open source (OSS) en ce qui concerne ses données et son infrastructure logicielle. OSS est un ancrage de confiance car le code source est ouvert à la lecture et à la contribution de tous. Ainsi, les « boîtes noires » sont évitées. En outre, il permet l’activation du plus grand nombre, ce qui est une réaction appropriée au fait qu’en Europe, il n’existe pas un seul agent qui soit à la fois disposé et capable d’investir la quantité de ressources nécessaires pour construire une alternative compétitive aux plateformes américaines. En dehors de cela, la nature « pour tous » d’une infrastructure correspond aux principes fondamentaux de gouvernance et de développement des logiciels libres.
De plus, l’approche ouverte de l’infrastructure des données et des logiciels contribue de manière significative à la stratégie globale de l’OSS en Europe qui se fonde sur des principes tels que la réutilisation, le partage, la sécurité et les processus d’innovation ouverts 10 .
Quatrièmement, l’Europe doit favoriser l’adoption et le passage à l’échelle de son infrastructure fédérée de données et de logiciels, ce qui exige également que le secteur public soit un utilisateur du cloud et des services de données. La nature fédérée empêche les « centres de gravité des données » de se développer, mais l’infrastructure suit toujours les principes de l’effet de réseau. Plus la demande de ressources de données est créée par les agents publics, plus elle sera attrayante pour les fournisseurs de données. Enfin, l’Europe ne devrait pas s’arrêter à l’adoption de projets de loi en matière de réglementation, mais devrait également adopter la notion de « conformité par conception ». Le logiciel fédéré et l’infrastructure de données doivent être conçus de manière à permettre le test automatisé et la surveillance de la conformité des services aux normes et réglementations.
L’Europe repose sur un trésor de données. Une infrastructure fédérée de données et de logiciels est une condition préalable obligatoire pour pouvoir exploiter ce trésor de données à son propre avantage et pour s’assurer de ne pas devenir une colonie qui sera exploitée dans l’espace numérique.
7) L’approche pionnière de Gaia-X : comment créer une légitimité dans la formulation du besoin d’Autonomie Stratégique
Le projet Gaia-X a été initialement annoncé au Digital Gipfel de Dortmund en octobre 2019. La première tâche de l’équipe franco-allemande a été de convenir d’un document de position commune (en ligne avec l’annonce commune de Peter Altmaier et Bruno Lemaire) décrivant les objectifs de Gaia-X qui a été publié en février 2020 11 la veille de la publication par la Commission européenne de la stratégie européenne pour les données 12 . Ce document identifie comme objectifs clés les deuxième et troisième piliers mentionnés à la section 3.
Le 4 juin 2020, un groupe de vingt-deux entreprises (onze françaises, onze allemandes) composé de sept entreprises utilisatrices, onze fournisseurs de services cloud, deux institutions académiques et deux associations industrielles annoncent leur intention de créer une association à but non lucratif de droit belge pour mettre en œuvre les objectifs de Gaia-X. L’été 2020 a été consacré à l’établissement des statuts, à la mise en place de la base technique de l’Association en termes de règles de politique, d’architecture des normes et de mise en œuvre de référence.
Le principal obstacle était de forger un consensus vis-à-vis des fournisseurs de services cloud non européens : les accueillir en tant que membres mais limiter le conseil d’administration aux représentants des entreprises européennes. À la mi-septembre, l’association a été créée en tant qu’AISBL en vertu de la loi belge exigeant un arrêté royal pour la création effective à fin février 2021.
Pour rassembler la communauté qui s’était créée autour d’une vision partagée, un premier sommet a été organisé qui a réuni plus de 4.500 participants. Les utilisateurs ont envoyé leurs dirigeants pour expliquer comment ils entendaient créer des espaces de données, la plupart des fournisseurs de services cloud européens enfin tous les grands fournisseurs de services américains ont présenté leurs attentes et leur contribution. Début mars 2021, le conseil d’administration réunissant un représentant de chacun des vingt-deux membres a été créé et le PDG et le directeur technique ont été recrutés. À ce moment-là, plus de deux cents entreprises ont déclaré leur intention de devenir membre de Gaia-X provenant d’environ vingt pays.
Il était également nécessaire d’obtenir l’adhésion des pays européens ; nous avons décidé de créer des hubs nationaux pour regrouper les acteurs nationaux notamment pour construire des écosystèmes locaux d’utilisateurs. Mi-2021, nous avions déjà quatorze hubs dans la plupart des grands pays européens avec un lien étroit avec les gouvernements locaux ; cela s’avère essentiel dans l’approche multi-pays choisie pour la décennie numérique.
Fin 2021, Gaia-X est pleinement opérationnel avec un nouveau conseil élu début juin 2021 comprenant des représentants de sept pays européens et une stratégie claire sur cinq ans approuvée par les États membres à travers leur participation aux hubs nationaux et au conseil consultatif gouvernemental. Des Hubs en dehors de l’Europe sont en préparation.
Gaia-X prend part aux stratégies des Etats membres en matière de cloud en contribuant à la fois à la création des Plateformes comme Catena-X qui a indiqué souhaiter réutiliser l’architecture et les services de Gaia-X ainsi qu’au lancement des stratégies des cloud de confiance telles qu’évoquées plus haut.
La stratégie française Secnumcloud annoncée en mai 2021 fait explicitement référence à Gaia-X .Cette stratégie autorise les « GAFAM » à licencier leurs logiciels aux fournisseurs français qui pourront les opérer dans leurs propres cloud souverains. Gaia-X soutient cette approche qui devrait se généraliser au niveau européen avec le lancement prochain d’EUCS (European Cybersecurity Certification Scheme for Cloud Services) visant à harmoniser au niveau européen les principes de certification des différents Etats membres.
8) Gaia-X dans le contexte de la Stratégie Européenne pour l’Intelligence Artificielle ?
Le succès de Gaia-X permettra, espérons-le, à la moitié des entreprises européennes de contribuer aux espaces de données et d’utiliser les services cloud d’ici 2025 ; il s’agit d’une première étape nécessaire qui doit être complétée par un effort similaire en matière d’analyse de données et d’intelligence artificielle pour l’industrie. La France et l’Allemagne ont eu deux initiatives distinctes : « Grand défi » en France et « Platform Lernende Systeme » en Allemagne qui ont décidé fin 2020 d’unir leurs efforts pour définir position franco-allemande : « Accélérer l’IA industrielle et la fiabilité » présentée lors d’une conférence en mars 2021. 13 Le paysage présente de nombreuses similitudes avec celui de Gaia-X : différence entre l’IA pour les consommateurs et l’IA industrielle, adoption nécessaire par les utilisateurs, domination des acteurs américains et chinois, maturité croissante du sujet donnant un rôle clé aux universitaires. Le programme multi-pays est en préparation et le financement du RRF est également dédié à l’IA.
L’accès aux données industrielles est essentiel pour le développement et l’adoption de l’IA dans l’industrie. La création d’espace de données est une première étape nécessaire qui se traduira par des contrats entre les différents partenaires de la plateforme. De nombreux domaines tels que la santé ou les matériaux nécessitent en outre la combinaison de données industrielles et de données scientifiques. Un potentiel d’innovation important peut être réalisé en reliant ces domaines de données qui existent jusqu’à présent indépendamment les uns des autres. Gaia-X soutient cet effort en tenant compte des exigences d’utilisation des deux domaines. C’est peut-être une des raisons pour lesquelles entreprises privées et institutions académiques soutiennent les initiatives de science ouverte et souhaitent combiner données industrielles et données scientifiques mises à disposition dans le cadre de la recherche académique. Il appartiendra à la régulation de la gouvernance des données de faciliter cette coopération entre universitaires et industriels largement représentés dans Gaia-X.
9) Vers un modèle pour les écosystèmes européens de l’innovation
Les quatre prochaines années seront cruciales pour la transformation numérique de l’industrie européenne. La définition de la stratégie industrielle a été marquée par une diversité d’approches entre les pays sur les rôles respectifs de l’industrie et des pays dans sa mise en œuvre. La Commission européenne ouvre un nouveau système avec la boussole numérique laissant aux États membres la responsabilité de concevoir leurs plans de redressement dans le cadre des objectifs globaux à dix ans. La stratégie pour les Données et Cloud est explicitement mentionnée comme un domaine où cette image « multi-parties prenantes » sera appliquée. De par sa conception, une stratégie européenne pour les données et le cloud ne peut pas être mise en œuvre séparément dans chaque pays, car les gains d’efficacité sont liés à l’économie d’échelle et à l’économie de portée.
Par conséquent, une coordination entre les États membres est nécessaire, qui doit s’appuyer sur des principes convenus: (1) une approche combinée de l’établissement de normes techniques « descendantes » et du soutien de l’initiative « ascendante » des espaces de données, (2) un partenariat public/privé multidimensionnel combinant Commission européenne/États membres, fournisseurs/utilisateurs, technologie européenne/internationale, (3) des dispositions claires et convenues selon lesquelles le soutien du plan de redressement ne peut être acquis que lorsque les normes sont utilisées/mises en œuvre.
À l’initiative des Industries, des Associations telles que Gaia-X AISBL doivent être formées pour exprimer « La voix de l’Industrie » et orchestrer le processus multipartite en établissant à la fois un forum par industrie (Santé, Automobile, Energie…) et des pôles nationaux.
La raison sous-jacente – qui est, selon nous, une valeur européenne fondamentale – est le pouvoir du partage ; il sera soit organisé par des entreprises internationales prêtes à dépenser ce qu’il faut pour confisquer les bénéfices du partage (comme cela s’est produit sur le marché de la consommation), soit par l’industrie elle-même en profitant de l’occasion unique du plan de relance soutenu par les gouvernements européens.
Notes
- Voir communication de la Commission européenne au Parlement européen, Le Conseil Économique et Social Européen et le Comité des Régions en date du 9 mars 2021
- Voir https://www.gaia-x.eu/.
- Voir https://www.doctolib.fr/.
- Voir https://gaia-x.eu/sites/default/files/2021-08/Gaia-X_DSBC_PositionPaper.pdf
- La souveraineté numérique désigne l’application des principes de souveraineté aux domaines des technologies de l’information et de la communication. La souveraineté numérique s’est souvent confondue avec le développement et la mise en oeuvre de systèmes informatiques alternatifs à ceux régis par le droit américain (systèmes d’exploitation, messagerie, outil de recherche).De plus en plus, étendant la notion de souveraineté digitale, nous parlons plutôt de souveraineté des données pour insister sur le libre arbitre du porteur des données personelles ou industrielles plutôt que de la nationalité des outils.
- Reprenant les conclusions du Conseil européen de décembre 2013, nous proposons de définir l’autonomie stratégique comme la capacité de l’Union européenne à défendre l’Europe et agir militairement dans son voisinage sans trop de dépendance vis-à-vis des Etats-Unis. Initialement conçu dans le cadre de la défense, l’autonomie stratégique englobe aujourd’hui l’économie, l’énergie et le numérique. En complément au « level playing field » qui vise à des règles du jeu équitables ce qui est de la responsabilité de la DG Concurrence, l’objectif de l’autonomie stratégique est d’assurer une dépendance limitée vis-à-vis des Etats-Unis dans chacun des domaines stratégiques de l’Europe
- Analyse du RFF par l’Institut Bruegel 14 juillet 2021. Certains pays n’ont pas soumis leurs plans RRF lorsque ces chiffres ont été collectés (comme la Hollande) expliquant l’écart entre 136,6 milliards d’euros et les 150 milliards d’euros attendus pour le numérique.
- Here est une compagnie possédée par les trois principaux constructeurs automobiles allemands qui fournit des services de cartographie et de localisation aux automobilistes et autres compagnies en utilisant les données collectées par les voitures connectées des constructeurs.
- Voir : https://www.federalregister.gov/documents/2021/07/23/2021-15660/request-for-information-rfi-on-an-implementation-plan-for-a-national-artificial-intelligence
- Voir Commission européenne (2020), Open Source Software Strategy 2020 – 2023 (Think Open), Bruxelles.
- Voir https://cris.vtt.fi/en/publications/franco-german-position-paper-on-speeding-up-industrial-ai-and-trustworthiness
- Voir la communication de la commission au parlement européen, au conseil, au comité économique et social européen et au comité des régions, Une stratégie européenne pour les données, 19 février 2020.
- https://cris.vtt.fi/en/publications/franco-german-position-paper-on-speeding-up-industrial-ai-and-trustworthiness
citer l'article
Hubert Tardieu, Boris Otto, Souveraineté digitale : puissance européenne pour les données et le cloud, in varietate concordia, Groupe d'études géopolitiques, Nov 2021,