Archives par mot-clé : Europe

Blockchain et RGPD : relations complexes, surtout lorsqu’il s’agit du traitement des données

Publié le par

La protection des données personnelles et la blockchain sont souvent vues comme incompatibles. Pourtant, les réflexions en cours permettent de nuancer, même si les droits des personnes (comme le droit à l’oubli) ou la question de la responsabilité (dans un monde décentralisé) restent à définir.

Par Arnaud Touati, avocat associé, Hashtag Avocats, et Benjamin Allouch, consultant*.

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en application (1). Ce règlement européen, présenté comme le texte juridique le plus abouti en matière de protection des données à caractère personnel, s’applique dès que l’on utilise des données personnelles à des fins professionnelles. Il s’impose à tous, des autoentreprises aux institutions publiques, en passant par les sociétés commerciales. Le RGPD est également applicable dans le monde entier, si tant est que l’entité concernée utilise des données appartenant à des résidents de l’Union européenne (UE).

Blockchain et RGPD en chiens de faïence ?
Le 3 janvier 2009, le premier bloc de bitcoins est créé, selon son créateur anonyme Satoshi Nakamoto et auteur de l’article fondateur publié deux mois plus tôt (2), pour répondre aux dérives de la crise financière de 2008. Bitcoin, c’est notamment une transparence absolue des transactions, conservées ad vitam aeternam, dans « un système peer-to-peerde monnaie électronique ». Dès lors, comment conjuguer deux principes de prime abord antagonistes ? Comment protéger les données personnelles au sein d’une technologie où tout est transparent ? Comment garantir certains droits des personnes quand les données ne peuvent pas être effacées ? D’aucuns ont alors conclu à une incompatibilité entre la blockchain et le RGPD. Pourtant, s’il existe certainement des difficultés, la blockchain comme le RGPD peuvent s’adapter pour coopérer. Petit tour d’horizon des conflits relevés et des adaptations trouvées. Avant l’entrée en vigueur du RGPD, la législation sur la protection des données souffrait d’un manque de clarté quant à la répartition des rôles de chaque acteur. En outre, la responsabilité de certains d’entre eux était pour le moins incertaine. Aujourd’hui, le rôle de chacun et leurs responsabilités corrélatives sont clairement définis.
Il y a tout d’abord le responsable du traitement, soit l’entité qui « détermine les finalités et les moyens du traitement ». En d’autres termes, les données sont collectées pour l’activité du responsable du traitement. Ce sont par exemple les données des salariés d’une entreprise dans le cadre de sa gestion des ressources humaines. Il y a ensuite le soustraitant, lequel agit « au nom et pour le compte du responsable du traitement ». Autrement dit, il assiste son client dans la collecte des données ou à y accéder une fois collectées. C’est typiquement le cas d’un éditeur de logiciel, qui permet à son client de les consulter.
Et la blockchain dans tout ça ? Pour une bonne application du RGPD, il convient – même dans cette industrie décentralisée – de déterminer le rôle de chacun. Pour une entité centralisée, le procédé est plutôt aisé. Ainsi, une plateforme d’échange d’actifs numériques sera assimilée à un responsable du traitement pour les données de ses clients, voire de ses salariés si l’entreprise est basée sur le territoire de l’UE. Il en va de même, par exemple, pour les données de prospection commerciale. Mais qu’en est-il des applications décentralisées ? Déterminer son rôle est difficile. C’est le cas lorsqu’un protocole de finance décentralisée est lancé par un groupe de développeurs qui a, ensuite, le contrôle uniquement pour y effectuer de la maintenance. Peut-on considérer que, par exemple, Uniswap Labs – l’entité derrière le protocole Uniswap – est responsable du traitement des données ? Ou est-elle davantage sous-traitante des blockchains, comme Ethereum, qui tournent sur son protocole ? Derrière la question de la détermination du rôle de chacun, se cache invariablement celle, épineuse, de la responsabilité encourue.
La responsabilité d’une plateforme centralisée ne se pose pas, puisqu’il s’agit d’une entreprise avec des organes de direction précisément identifiés. En revanche, pour ce qui concerne les applications décentralisées et les acteurs qui construisent un protocole, la question est bien plus complexe. Prenons l’exemple d’un assureur qui aurait « blockchainisé » l’un de ses produits. L’octroi d’une indemnisation dépend non pas d’un humain, mais d’un algorithme, en l’occurrence un smart contract dans le langage « blockchain » (3). Qui serait alors considéré comme le sous-traitant ? Les développeurs ou l’éventuelle entité de la blockchain utilisée ?

Responsabilité dans un monde blockchainisé
Le RGPD exige du sous-traitant qu’il agisse en fonction des instructions écrites de son client. Or, si l’assureur utilise un protocole existant, ce dernier n’agira pas en fonction des instructions de son « client », puisqu’il est théoriquement le même pour tous. En outre, en cas de manquement au RGPD, comment rendre responsables les développeurs d’un protocole ? Ces questions restent, pour l’heure, sans réponse… En théorie, la blockchain est publique, transparente et accessible à tous. Cela signifie que n’importe qui peut avoir accès aux données. En pratique, cette transparence ne sera pas pour autant absolue. Il en va notamment des données médicales, dont l’accès sera protégé. Ainsi, si la donnée est visible dans la blockchain, elle n’est pas pour autant aisément accessible et fait l’objet d’un chiffrement, dont seule la personne concernée possède la clé de déchiffrement. Cependant, quid des données brutes et accessibles à tous ?

Quid des droits des personnes ?
En théorie, toujours, la blockchain est immuable. Ainsi, les données ne peuvent ni être modifiées ni même effacées. Or, l’article 17 du RGPD instaure un droit à l’effacement (4), que l’on appelle plus communément « droit à l’oubli » (5). Comment concilier ce droit à l’effacement avec l’immutabilité de la blockchain ? A priori, cela paraît impossible. Pourtant, la réalité diffère… D’une part, l’immutabilité de la blockchain (pas de retour en arrière possible) est issue du protocole Bitcoin et n’est pas un principe gravé dans le marbre. Grâce à un smart contract (non applicable à Bitcoin mais à d’autres protocoles), il est tout à fait possible de prévoir l’effacement de certaines données à une date précise. En outre, le droit à l’oubli luimême n’est pas absolu, puisque le RGPD prévoit des exceptions, notamment celle du droit à l’information. Enfin, la blockchain n’est pas nécessairement transparente. En effet, il existe des blockchains privées ou de consortium, qui ne sont accessibles qu’à un certain nombre d’individus précisément identifiés. Dans cette hypothèse, il s’agit simplement d’une base de données améliorée, qui répond aux mêmes exigences que les bases de données classiques. Si les dispositions du RGPD sont bien respectées, les données sont sécurisées et seules les personnes autorisées y ont accès.
Les personnes dont les données sont collectées peuvent exercer plusieurs droits distincts. Outre le droit à l’oubli, le droit d’accès, le droit d’opposition, le droit de rectification, le droit à la suppression ou encore le droit à la portabilité font partie de ce que l’on appelle les droits des personnes. Or, si le principe d’immutabilité de la blockchain n’est pas absolu, cela ne signifie pas que l’on peut y modifier aisément les données inscrites. Ainsi, le droit à la rectification des données inscrites dans la blockchain semble plus que complexe. En effet, chaque donnée d’une blockchain est conservée dans des blocs qui s’enchaînent chronologiquement, d’où son nom (chaîne de blocs). Ce faisant, pour modifier une donnée, il faudrait, en principe, en modifier l’ensemble du bloc, ce qui constituerait un travail d’envergure.
De même, le droit à la portabilité semble, à l’heure actuelle, impossible. La portabilité est la possibilité pour toute personne de solliciter le responsable du traitement aux fins de transférer l’ensemble de ses données à un autre responsable du traitement. Qu’est-ce que cela signifierait réellement dans la blockchain ? L’on pourrait imaginer le passage d’une plateforme centralisée à une autre. En l’espèce, cela serait possible, puisqu’il s’agit de données clients. En revanche, la portabilité entre différents protocoles décentralisés et différentes blockchains semble presque impossible. L’un des problèmes principaux des blockchains est effectivement l’interopérabilité entre elles. Or, faire passer des données entre, par exemple, le réseau Bitcoin et le réseau Ethereum est tellement complexe que personne ne s’essaierait à le faire. Toutefois, il existe des protocoles appelés « bridge », qui sont justement prévus pour permettre cette interopérabilité. Mais de là à faire passer un jeu de données d’un protocole à l’autre, c’est une autre histoire…
Au-delà même du droit des personnes, subsiste la question de la nature des données concernées. Pour la blockchain Bitcoin, la seule donnée personnelle présente est l’adresse publique… qui est une donnée pseudonymisée. Il en va de même pour la majorité des autres protocoles, qui, s’ils diffèrent de Bitcoin, reprennent ce principe de collecter un minimum de données personnelles, à l’exception de l’adresse IP pour certains. Ainsi, l’exercice du droit d’opposition est impossible pour de telles données puisque refuser le traitement signifie tout simplement refuser d’utiliser le protocole en question. Encore une fois, nous en revenons toujours au même point : ce sont les plateformes centralisées qui conservent le plus de données personnelles, en raison notamment de la vérification d’identité, ou KYC (Know Your Customer) à effectuer. La question principale est donc celle de la prochaine articulation entre les protocoles décentralisés, le RGPD et le futur règlement européen TFR (Transfer of Funds Regulation). Ce dernier, bientôt en première lecture au Parlement européen (6), va effectivement obliger les plateformes d’échange à effectuer une vérification d’identité pour tout transfert vers les portefeuilles non hébergés.

Nécessaire souplesse dans l’interprétation
Or, à l’exception de l’adresse IP pour certains protocoles bien identifiés, aucune donnée personnelle n’est collectée à ce jour lors de la création de ces portefeuilles, comme ceux de l’entreprise française Ledger. Si tel est le cas à l’avenir, la collecte et la conservation des données devraient a priori respecter les dispositions du RGPD.
En définitive, il est envisageable de respecter les principes du RGPD, tout en utilisant la blockchain (7). Les marges d’appréciation sont importantes et le règlement dispose de nombreuses exceptions. Cela nécessite de la souplesse. Depuis le rapport de 2019 du Parlement européen (8), les réflexions dans ce domaine se poursuivent. Il ne faudrait cependant pas qu’une règlementation trop stricte retarde l’Europe par rapport aux Etats-Unis et à la Chine, comme cela l’a été pour le développement d’Internet dans les années 1990… Affaire à suivre ! @

* Benjamin Allouch est consultant indépendant Web3
et protection des données.

La Chine est le premier pays à s’attaquer aux « deepfake », ces contenus hyper-truqués à l’IA

Publié le par

Depuis le 10 janvier 2023, en Chine, le règlement « Deep Synthesis Provisions » est entré en vigueur pour réguler voire interdire les « deepfake » créés à l’aide de l’intelligence artificielle en détournant textes, images audios et/ou vidéos. Ces créations hyperréalistes prennent de l’ampleur.

Le président ukrainien Volodymyr Zelensky a expliqué l’an dernier dans une vidéo qu’il avait capitulé face aux russes et qu’il appelait les soldats de son pays à déposer les armes (1). L’acteur américain Morgan Freeman s’est exprimé en 2021 sur la chaîne YouTube néerlandaise Diep Nep pour dire : « Je ne suis pas Morgan Freeman. Ce que vous voyez n’est pas réel » (2). Car ces vidéos et de nombreuses autres postées sur les réseaux sociaux – lorsque ce ne sont pas des textes, des images ou des podcasts – sont des « deepfake », des contenus entièrement manipulés et détournés à l’aide de l’intelligence artificielle (IA) et l’apprentissage machine (AM).

La Chine devance les USA et l’UE
Le résultat est vraisemblable et bluffant. L’année 2023 pourrait être celle de l’explosion de ces vidéos truquées hyperréalistes. Les Etats-Unis ont commencé à légiférer par endroits (Californie, New York, Virginie, Texas) contre les abus des deepfakes – nom composé de deep learning et de fake news. Le Parlement européen devrait bientôt examiner en séance publique la proposition de règlement « Artificial Intelligence Act » (3) mise sur les rails il y a vingt mois (4). Mais c’est la Chine qui vient de devancer l’Occident en faisant entrer en vigueur le 10 janvier 2023 un règlement applicable à l’ensemble de l’Empire du Milieu.
Le texte composé de 25 articles est surnommé le « Deep Synthesis Provisions » (5) et s’applique désormais à toute la filière des fournisseurs de « synthèse profonde » (deepfake). Son entrée en vigueur est l’aboutissement d’un processus qui avait commencé après un discours du président Xi Jinping (photo) devant le Politburo en octobre 2021 où il mettait en garde contre « les symptômes malsains et incontrôlés » de l’économie numérique. C’est le Cyberespace Administration of China (CAC), en cheville avec les ministères de l’Industrie et des Technologies de l’information (MIIT) et de la Sécurité publique (MPS), qui a été à la manoeuvre. Le CAC a été chargé d’élaborer ce règlement « Deep Synthesis Provisions », dont la première version a été publiée il y a un an (fin janvier 2022) à l’occasion d’une consultation publique d’un mois. La version finale a été publiée fin novembre dernier. « Les services qui offrent un dialogue intelligent, des voix synthétisées, la génération de visages, des scénarios de simulation immersive, etc., pour générer ou modifier considérablement la fonction du contenu d’information, devraient être marqués de façon significative pour éviter la confusion ou l’identification erronée du public. », explique le CAC dans un communiqué du 11 décembre (6). La Chine définit la technologie de synthèse profonde comme celle qui utilise l’apprentissage profond (deep learning), la réalité virtuelle et d’autres algorithmes synthétiques pour produire du texte, des images, de l’audio, de la vidéo, des scènes virtuelles ou en 3D, et d’autres informations réseau. Les fournisseurs de services de synthèse approfondie sont tenus de désigner les entreprises qui offrent des services, logiciels et supports techniques. La responsabilité incombe aux prestataires de services de synthèse profonde en matière de sécurité des données et de protection des informations personnelles, de transparence (notamment en établissant des lignes directrices, des critères et des processus pour reconnaître les informations fausses ou préjudiciables), et de gestion de contenu et étiquetage (étiquettes ou logos).
Les dispositions du règlement « Deep Synthesis Provisions » s’appuient sur un règlement « Online Audio and Video Information Services » (7) de 2019 qui interdit sur Internet l’utilisation de photos, d’audios et de vidéos générés par ordinateur pour produire ou diffuser des fausses nouvelles. Mais comme dans le reste du monde, il sera difficile de faire la part des choses, entre fake news et parodie. La censure chinoise ajoute une corde à son arc.
Quoi qu’il en soit, Pékin prend très au sérieux la menace des deepfakes, y compris des algorithmes (8), à l’heure où la bataille commerciale exacerbée avec Washington fait rage sur fond de guerre en Ukraine déclenchée par sa voisine et amie la Russie.

La notion de « contenus illicites » du DSA
En attendant l’adoption du règlement « Artificial Intelligence Act », l’Europe s’est dotée du Digital Services Act (DSA) qui entre en vigueur en 2023. Il prévoit notamment que les plateformes numériques « lutte[nt] contre la diffusion de contenus illicites en ligne et contre les risques, pour la société, de diffusion d’informations trompeuses » (considérant 9), la notion (vague ?) de « contenus illicites » étant mentionnée dans au moins huit articles du DSA (9) – mais sans qu’il y soit question explicitement de deepfake. Avec son « Deep Synthesis Provisions », la Chine a pris de l’avance et pourrait être suivie par d’autres pays autoritaires. @

Charles de Laubier

La pression augmente sur la taxe de 30 % d’Apple

Publié le par

En fait. Le 28 novembre, Elon Musk s’en est pris à Apple soupçonné de « déteste[er] la liberté d’expression » (en ne faisant plus de pub sur Twitter) et ayant « menacé de retirer Twitter de son App Store » (sans dire pourquoi). Et comme Spotify et Epic Games, Twitter fustige les 30 % de « taxe » prélevés par Apple.

En clair. Le PDG d’Apple, Tim Cook, fait toujours la sourdeoreille en ne répondant pas aux tweets du nouveau propriétaire de Twitter, Elon Musk, qui l’a interpelé à plusieurs reprises sur les pratiques de la marque à la pomme. « Apple a pratiquement cessé de faire de la publicité sur Twitter. Détestent-ils la liberté d’expression en Amérique ? », a tweeté le milliardaire Elon Musk le 28 novembre (1), en insistant : « Qu’est-ce qui se passe ici @tim_cook » ?
Moins d’une heure après, l’hyper-twittos aux 119,6 millions de followers lançait un autre grief à l’encontre de la firme de Cupertino : « Apple a également menacé de retirer Twitter de son App Store, mais ne nous dira pas pourquoi » (2). Aussitôt après, il s’en est pris à la commission controversée de 30% qu’Apple prélève sur les transactions (au-delà de 1million de dollars par an réalisé par l’éditeur sur l’App Store, sinon à partir de 15 %) : « Saviez-vous qu’Apple impose une taxe secrète [sic] de 30 % sur tout ce que vous achetez via son App Store ? » (3). Elon Musk a aussi partagé un mème – supprimé depuis, mais capturé ici (4) – avec une bretelle d’autoroute : soit tout droit pour « Payer 30 % » (à Apple), soit à droite pour « Partir en guerre », la voiture « Elon » bifurquant au dernier moment pour… « Go to war » ! Ce n’est pas la première fois qu’Elon Musk fustige les 30 % que s’arroge Apple sur les transactions de l’App Store, pratique devenue la norme dans le monde des appli, Play Store de Google compris. « Le magasin d’Apple, c’est comme avoir une taxe de 30 % sur Internet. Certainement pas d’accord », a déjà critiqué Elon Musk dans un tweet daté du 3 mai (5). Mais son aversion pour cette « app tax » de 30 %, le patron de Tesla et de SpaceX l’avait exprimée dès le 30 juillet 2021 en pleine attaque de l’éditeur de jeux vidéo Epic Games (« Fortnite ») contre les abus de position dominante d’Apple. « Les frais de l’App Store d’Apple sont de facto une taxe mondiale sur Internet. Epic a raison », avait alors twitté Elon Musk (6). La première fortune mondiale rejoint aussi la cause d’un autre mécontent d’Apple : la plateforme suédoise de streaming musical Spotify (7).
La FTC aux Etats-Unis et la Commission européenne en Europe instruisent des plaintes contre Apple. La « guerre » d’Elon Musk contre Tim Cook ne fait que commencer et pourrait s’étendre à l’avenir à la voiture autonome : Tesla contre… l’Apple Car. @

VOD & SVOD : UniversCiné pourrait devenir Sooner

Publié le par

En fait. Le 28 novembre, Denis Rostein, directeur général de LMC (Le Meilleur du Cinéma), maison mère d’UniversCiné France et coactionnaire d’UniversCiné Belgique, a indiqué à Edition Multimédi@ qu’« une réflexion est en cours » pour transformer UniversCiné en Sooner, une plateforme unique européenne.

En clair. UniversCiné a fêté ses 15 ans cette année. Cette plateforme vidéo – VOD dès le début et en plus SVOD depuis fin 2019 – a été lancée en avril 2007 par 34 producteurs et distributeurs de films indépendants français, aujourd’hui une cinquantaine, réunis au sein de la société Le Meilleur du Cinéma (LMC). La Caisse des Dépôts est présente à son capital.
Mais UniversCiné pourrait changer de nom en 2023 pour prendre celui de Sooner, marque qui a déjà été déployée en Belgique et en Allemagne par des plateformes partenaires d’UniversCiné. « C’est une réflexion que nous menons depuis quelques mois mais cela ne passera pas uniquement par un changement de nom », indique Denis Rostein, directeur général de LMC, à Edition Multimédi@. Une holding européenne pourrait être créée l’an prochain. « Ce n’est pas simple compte tenu de l’actionnariat et des discussions qui intègrent d’autres territoires et sociétés », nous explique-t-il.
Début 2010, une déclinaison de la plateforme UniversCiné a été lancée en Belgique – à l’initiative de producteurs et distributeurs de films belges, luxembourgeois et français (34 aujourd’hui). LMC détient une part du capital d’UniversCiné Belgium au côté de l’actionnaire majoritaire, la société française de production et de distribution de films Metropolitan Filmexport (des frères Hadida). Fin août 2020, les plateformes Universcine.be et Uncut.be ont été fondues en une seule : Sooner.be.
Metropolitan Filmexport avait en outre lancé au printemps 2020 en Allemagne Sooner.de (ex-Universcine.de et ex-Realeyz.de), en partenariat avec le distributeur de films allemand EYZ Media (1). Ces entités évoluent séparément, Sooner Allemagne et UniversCiné Belgium étant membres de la European VOD Coalition créée au printemps, aux côtés de Netflix, Warner Bros. Discovery, Sky ou encore Paramount (2). Est aussi membre Pickbox Now (dans l’ex-Yougoslavie), dont est partenaire UniversCiné dans le cadre du programme Media européen. En se fédérant autour de Sooner, les producteurs indépendants de films (d’auteurs) pourraient gagner en visibilité en Europe et en volume d’abonnés – face aux blockbusters des Netflix, Amazon Prime Video et autres Disney+. UniversCiné en France, nous indique qu’il compte à ce jour 31.809 abonnés. C’est le producteur Denis Carot (Elzévir Films) qui a succédé en juin 2019 à Alain Rocca (3) (*) (**) en tant que président de LMC. @

Gaia-X, le « cloud de confiance » franco-allemand, est-il pro-souveraineté numérique européenne ?

Publié le par

L’association Gaia-X pour un « cloud de confiance » en Europe, a organisé son 3e sommet, qui s’est tenu cette année les 17 et 18 novembre à Paris. Censée contribuer à la « souveraineté numérique » européenne, elle compte parmi ses membres de nombreux américains et chinois.

Annoncé en juin 2020, le projet franco-allemand de « cloud de confiance » Gaia-X a été officiellement lancé sous forme d’association internationale à but non lucratif en janvier 2021. De 22 entreprises et organisations fondatrices au départ, toutes d’origine européenne, Gaia-X compte aujourd’hui plus de 359 membres venus quasiment des quatre coins du monde, comme le montre le répertoire en ligne des entités adhérentes (1). Beaucoup d’entre eux se sont retrouvés les 17 et 18 novembre à Paris en présentiel ou en distanciel à la troisième édition du Gaia-X Summit.

14 membres américains et 4 chinois
Si les différents intervenants à ces deux journées étaient tous européens (2), il n’en demeure pas moins que la Gaia-X European Association for Data and Cloud (sa dénomination officielle), de droit belge, basée à Bruxelles et dirigée par Francesco Bonfiglio (photo), joue plus sur le registre du « cloud de confiance » que sur celui de « cloud souverain ».
La composition de ses membres le démontre, au-delà des 22 fondateurs européens (dont Atos, Deutsche Telekom, OBS/Orange, EDF, Docaposte/La Poste, Outscale/Dassault Systèmes, OVH, SAP, Siemens, …). Ainsi, sont aussi membres de Gaia-X des entreprises et des organisations extra européennes qui doivent composer avec les objectifs de cloud de confiance et de souveraineté numérique recherchés en Europe. Ces membres « étrangers » au Vieux Continent, qui sont au nombre de vingt-quatre selon le décompte effectué par Edition Multimédi@ sont étatsuniens (quatorze d’entre eux), chinois (cinq), japonais (quatre) ou sud-coréen (un). Ainsi, le consortium Gaia-X qui se veut le garant en Europe du cloud de confiance, voire du cloud souverain, est plus ouvert aux acteurs du reste du monde qu’il n’y paraît.
Y sont présents les américains Amazon (basé au Luxembourg), Google (basé en Irlande), Microsoft (basé en Belgique), Palantir Technologies (proche de la CIA et basé dans le Colorado), Oracle (basé en Californie), Salesforce (également en Californie), AMD (aussi en Californie), mais aussi Cisco (basé en Belgique), Seagate (basé en Irlande), Dell (également en Belgique), Hewlett Packard (basé en Allemagne), IBM (également en Allemagne), Intel (aussi en Allemagne) ou encore Snowflake (basé en Californie). L’Empire du Milieu n’est pas exclu du cloud européen, loin s’en faut puisque sont membres de Gaia-X les chinois Alibaba (basé à Singapour), Huawei Technologies (basé en Allemagne), Haier (basé à Qingdao en Chine), Shenzhen Shuxin Technology (basé à Shenzhen en Chine) ou encore la China Academy of Information and Communications Technology (CAICT basée à Pékin). Le pays du Soleil-Levant n’est pas en reste avec les japonais Fujitsu (basé en Allemagne), Nec (basé au Japon), NTT (également au Japon) et Mitsubishi Electric (basé Allemagne). Quant au Pays du Matin frais, il est lui aussi présent au sein de Gaia-X à travers le sud-coréen Kosmo (basé à Sejong en Corée du Sud). Or, le projet Gaia-X n’était-il pas de construire l’infrastructure de données de nouvelle génération pour favoriser la souveraineté numérique de l’Europe, offrant une alternative européenne aux hyperscalers américains que sont en tête Amazon Web Services (AWS), Microsoft Azure et Google Cloud, et même chinois comme Alibaba ?
Il y a un an presque jour pour jour, la sénatrice Catherine Morin- Desailly avait exprimé son incompréhension de voir le chinois Huawei si actif au sein de Gaia-X, qui plus est sponsor du second Gaia-X Summit arborant alors ce message commun: « Gaia-X & Huawei considèrent de la même manière la souveraineté des données et la digitalisation comme des facettes tout aussi importantes de la société et de l’économie d’aujourd’hui » (3). D’où le tweet de sénatrice : « Je croyais que le but de Gaia-X était à l’origine de construire une offre franco-allemande indépendante des géants américains et chinois ! C’est tout le contraire qui s’est produit depuis un an » (4). Pour ce troisième Gaia-X Summit, les français Dawex et Ionos, et les allemands Ionos et De-Cix sont cette fois les sponsors – de quoi redonner des couleurs franco-allemandes à Gaia-X ! La souveraineté numérique et les « infrastructures de données souveraines » ont été au coeur des discussions de ce sommet. Sans que l’on sache vraiment si le cloud souverain doit rester franco-français ou euro-européen.

La position dominante des hyperscalers
Rien qu’en France, le trio de tête Amazon-Microsoft-Google s’arroge plus des deux tiers du marché nuagique en 2021. Ils ont été convoqués par l’Autorité de la concurrence dans le cadre d’une consultation publique sur le cloud qui s’est achevée en septembre (5). La bataille du cloud sévit aussi sur toute l’Europe, des plaintes du français OVH et de l’allemand Nextcloud ayant notamment été déposées en 2021 auprès de la Commission européenne (6). Quant aux grandes entreprises françaises, souvent internationales, elles parlent plus de cloud de confiance – référentiel de trusted cloud à la clé (7) – plutôt que de cloud souverain. @

Charles de Laubier