Ce qu’est le « cloud de confiance »
En 2013, alors qu’il enquête sur une affaire de trafic de stupéfiants, le FBI demande à Microsoft de lui fournir des e-mails liés à un compte Office 365. Microsoft refuse, arguant que les e-mails ne sont pas stockés sur un serveur situé aux États-Unis, mais à Dublin, en Irlande. Le FBI s’appuie sur une loi qui oblige les entreprises américaines, sous certaines conditions, à transmettre aux enquêteurs des données qu’elles stockent sur leurs serveurs. Mais la loi a été votée en 1986, avant le développement du cloud : elle ne prévoit pas explicitement le cas où les données sont stockées au-delà des frontières américaines. Le FBI attaque Microsoft en justice pour récupérer les e-mails. Un tribunal donne raison au FBI, puis une cour d’appel donne raison à Microsoft.
L’affaire est finalement portée devant la Cour suprême américaine, qui doit dissiper le flou juridique. Apple, Google, Amazon… toutes les grandes entreprises technologiques américaines, qui devront elles aussi se plier à la décision qui sera prise par la Cour suprême, soutiennent Microsoft. Le gouvernement américain s’inquiète de ne pas pouvoir récupérer de données dans des centaines d’affaires criminelles. La Commission européenne s’en mêle et transmet à la Cour suprême un dossier qui explique pourquoi la transmission de données stockées en Europe pourrait violer le Règlement général sur la protection des données (RGPD). La Cour suprême doit rendre son jugement en juin 2018 : tout le monde retient son souffle.
Ce jugement ne sera jamais rendu. En mars 2018, le Congrès américain vote une loi, le CLOUD Act, qui permet légalement aux forces de l’ordre et aux agences de renseignement américaines de récupérer des données stockées sur des serveurs appartenant à des entreprises américaines — que ces serveurs soient situés aux États-Unis, ou à l’étranger. Les autorités américaines peuvent récupérer ces données sans que le client, ou le pays dans lequel sont stockées ces données, ne soient informés. Il n’y a plus de controverse judiciaire.
Le vote de cette loi en mars 2018 a inquiété les gouvernements européens, soucieux de la souveraineté des données de leurs administrations et de leurs entreprises stratégiques — entités qui, très souvent, recourent à des services de cloud américains. En mai 2021, le gouvernement français a présenté une série de mesures, dans le cadre du déploiement d’une nouvelle stratégie pour le cloud. Bruno Le Maire a annoncé la création du label « cloud de confiance ». Les services de cloud labellisés « de confiance » offriront la garantie à leurs clients d’être à l’abri des lois extraterritoriales américaines, comme le CLOUD Act. Leurs données ne pourront être transmises à des enquêteurs, ou des juges américains.
Pour être labellisé cloud de confiance, un fournisseur de services de cloud devra notamment héberger ses données dans l’Union européenne, et être européen. La part de son capital détenue par une entité d’un pays n’appartenant pas à l’Union européenne ne pourra dépasser 24 %, et la part collectivement détenue par des entités n’appartenant pas à l’Union européenne ne pourra dépasser 39 %.
À première vue, la création du label « cloud de confiance » est une mesure fortement protectionniste, qui pourrait empêcher les leaders américains du cloud de fournir leurs services aux administrations et aux grandes entreprises françaises. En réalité, Bruno Le Maire a affirmé dans son discours de mai 2021 que comme les meilleurs fournisseurs de services de cloud étaient aujourd’hui américains, il ne fallait pas pénaliser les entreprises et les administrations françaises en les empêchant d’accéder aux meilleurs services du marché. Pour que les données de ces organisations soient malgré tout à l’abri des lois américaines, le gouvernement a décidé de permettre à des entreprises américaines de bénéficier indirectement du label « cloud de confiance », à condition qu’elles licencient leurs services à des entreprises françaises.
L’idée est que les géants du cloud américain (Google, Amazon, Microsoft…) créent des joint-ventures, c’est-à-dire des coentreprises avec des sociétés françaises, et détiennent une part minoritaire de ces joints-ventures (moins de 24 %). Les joint-ventures peuvent proposer aux clients français les services de cloud des entreprises américaines, mais sans que ces services ne soient soumis aux lois extraterritoriales américaines — puisque les entreprises qui les commercialisent sont françaises. Les clients bénéficient des technologies des acteurs américains, tout en bénéficiant de la protection de leurs données.
Deux projets de cloud de confiance franco-américains ont été dévoilés. Le 22 juin dernier, un communiqué de presse a révélé que le projet porté par Microsoft, Orange et Capgemini, dénommé Bleu, commencerait à commercialiser ses services en 2024 — sous réserve de l’obtention du label « cloud de confiance ». Le 30 juin dernier, c’est la société S3NS, joint-venture entre Google Cloud et Thales, qui a annoncé son lancement commercial lors d’une conférence de presse. La société commercialise déjà des services de Google Cloud, mais qui ne sont pas encore certifiés comme « cloud de confiance ». Les services de « cloud de confiance », comme ceux de Bleu, ne seront disponibles qu’en 2024.
La mise en place des projets de « cloud de confiance » a provoqué plusieurs polémiques. D’abord, les acteurs français du cloud se plaignent que le gouvernement loue la supériorité des services de cloud américains, au lieu de promouvoir la filière française du cloud — et que les entreprises américaines captent la quasi-totalité de la commande publique. Autre polémique : certains, comme ce député qui a récemment interpellé le gouvernement, mettent en doute la protection du label « cloud de confiance » contre l’extraterritorialité des lois américaines. La participation, même minoritaire, des entreprises américaines dans les joint-ventures pourrait les contraindre à transmettre leurs données aux autorités américaines.
Les levées de fonds ralentissent
Nous évoquions il y a quelques semaines en quoi l’effondrement des actions des entreprises technologiques américaines a pour conséquence un tarissement de l’argent disponible pour les start-up qui souhaitent lever des fonds. La baisse des investissements de capital-risque a continué au deuxième trimestre de 2022. Aux États-Unis, les investissements dans les start-up ont baissé de 23 % au deuxième trimestre de 2022. En Europe, ils sont en baisse constante depuis le mois de janvier : 13 milliards de dollars en janvier, 9,3 en février, 8,9 en mars, 7,8 en avril, et 6,5 en mai.
Le secteur français de la fintech fait-il exception ? Selon une étude publiée le 5 juillet dernier par l’Observatoire de la fintech, les fintechs françaises ont levé 1,4 milliard d’euros au premier semestre de 2022, soit 4 % de plus qu’au premier semestre de 2021. Mais ces chiffres sont dopés par plusieurs levées de fonds géantes réalisées en janvier et février, avant le début de la guerre en Ukraine : Payfit (254 millions levés), Alma (115 millions), Descartes (107 millions), Spendesk (100 millions)… Entre les mois de janvier et de juin 2022, les montants moyens d’investissements dans des fintechs ont été divisés par 5, passant de 37 millions à 8 millions d’euros.
Par ailleurs, les opérations dites early-stage, c’est-à-dire au début de la vie des entreprises, ont augmenté. Elles représentaient 55 % des opérations au premier semestre de 2022, contre 41 % en 2021 — et 70 % des opérations en mai et juin 2022. Avec la crise, les fonds multiplient les petits investissements dans un grand nombre d’entreprises, plutôt que d’investir des montants élevés dans des entreprises déjà installées.