La seconde mandature Trump sonnera-t-elle le glas du stockage massif de données européennes chez les fournisseurs américains de cloud, faute de garanties suffisantes pour la sécurité des données hébergées outre-Atlantique ? Bien que, pour l’heure, Amazon, Microsoft et Google accaparent toujours 70 % du marché du cloud en Europe, la question se pose désormais, ravivant le vieux rêve d’un « cloud souverain » européen.
Il faut dire qu’en ce début d’année 2025, l’accord européen qui encadre le transfert de données vers les États-Unis, le Data Privacy Framework (DPF), en vigueur depuis moins de deux ans, se porte bien mal. Fin janvier, l’une des premières mesures éclair prises par Donald Trump a été de remercier trois des cinq administrateurs du comité supervisant son application. Le DPF, qui était déjà instable et contesté, se voit considérablement fragilisé par cette purge. Certains parient désormais sur son annulation.
Remonter le fil de cette histoire nous amène en 2013 : le lanceur d’alerte Edward Snowden fait éclater un scandale de surveillance de masse, révélant que les services de renseignement des États-Unis captent les données personnelles de millions de personnes via l’écosystème numérique américain. L’Union européenne se met à exiger des garanties : pour elles, de tels traitements de données généralisés ne sont pas acceptables.
Un accord contesté
Après deux premières tentatives d’accords infructueuses, le Safe Harbor et le Privacy Shield – tous deux invalidés par la justice européenne respectivement en 2015 et en 2020 –, le Data Privacy Framework est adopté par la Commission européenne en juillet 2023. Bruxelles assure avoir obtenu, cette fois-ci, les garde-fous nécessaires pour dire que les États-Unis assurent un niveau de protection des données personnelles « adéquat » – autrement dit équivalent à celui de l’Union européenne.
« Mais en réalité, le DPF ne lève en rien les inquiétudes concernant les traitements de données réalisées par les autorités américaines à des fins de renseignement », explique Thibault Douville, professeur de droit du numérique à l’université de Caen. « Le principal intérêt du DPF, c’était de permettre un recours juridictionnel effectif aux citoyens européens soupçonnant un usage illicite de leurs données. Or, c’est précisément cet organe de recours que Donald Trump est en train de dépouiller. »
Saisie par des eurodéputés, la Commission européenne, qui ne s’est pas encore exprimée sur le sujet, devrait prendre position d’ici au 19 mars.
Que se passerait-il si le DPF venait à s’effondrer ? Selon le règlement général sur la protection des données, les données personnelles des Européens ne peuvent être envoyées à des pays extérieurs à l’Union que s’ils offrent un niveau de protection « adéquat ». Sans le DPF, ce ne serait plus le cas des États-Unis. Les transferts de données vers ce pays pourraient donc devenir illégaux. Une entreprise stockant ses données sur les leaders du marché Microsoft Azure ou sur AWS (la filiale cloud d’Amazon) s’exposerait donc à des sanctions financières pouvant aller jusqu’à 4 % de son chiffre d’affaires.
« Formidable opportunité »
Une telle perspective réjouit déjà certains acteurs français du numérique. « Nous avons là une formidable opportunité de reprise en main de notre destinée numérique, en migrant enfin collectivement vers des solutions européennes », applaudit Jérôme Valat, cofondateur de la start-up Cleyrop. Il voit là la correction nécessaire d’une « anomalie ». « Sous prétexte que cela se passe dans le cloud, avec cette image d’immatérialité, on a accepté des choses que l’on n’aurait jamais dû accepter : en l’occurrence, que ce soit les règles américaines qui s’appliquent. Ce que l’on n’a pas fait il y a vingt ans, par manque de culture numérique et de financements, faisons-le aujourd’hui ! »
Les acteurs européens du cloud auront-ils seulement les épaules pour supporter une telle « migration » ? « Comme la majorité des entreprises européennes sont sur du cloud américain, elles ne contribuent pas à financer l’amélioration des solutions européennes : mais si l’on est nombreux à y aller, cela changera, il n’y a aucun doute », veut croire Jérôme Valat.
Demande récurrente de la tech européenne : un Buy European Tech Act, qui réserverait à des acteurs européens une partie des commandes publiques du cloud et du numérique.
