Eric Bothorel (député Renaissance) : “Nous livrons la bataille du cloud un peu tard”

Quelle a été votre position par rapport au volet cloud de la loi SREN ?

Sur les articles 10 BIS A et 10 BIS B, j’ai rappelé très tôt à la sénatrice Catherine Morin-Desailly qu’une stratégie “cloud au centre” a été mise en place en 2021 par Bruno Le Maire, Cédric O et Guillaume Poupard, pour rénover un cadre autour du cloud souverain. Elle permet d’avoir une approche en 3 cercles :

– cercle 1 : cloud opéré par le Ministère de l’Intérieur pour des besoins régaliens,

– cercle 2 : dispositif de licensing et de structure capitalistique qui permet de ne pas bannir les acteurs américains, mais de travailler avec

– cercle 3 : cloud public

Une spécificité m’a paru avoir été clarifiée en ce temps : le passage de l’un à l’autre s’opère par le niveau de sensibilité de la donnée. Nous avons donc fait la moitié du chemin, il reste à clarifier cette gradation au travers d’arrêtés ou de circulaires. En ce sens, les initiatives qui auraient vocation à réinterroger le cadre de la doctrine cloud au centre, en cours de déploiement, me paraissent contre-productives. C’est pour cela que, de manière apaisée, j’ai proposé à la Sénatrice Catherine Morin-Desailly une réécriture qui nous mette en accord avec la doctrine. Nous ne pouvons pas, d’un claquement de doigt, dire à des acteurs déjà en place que demain ils seront SecNumCloud ou ils seront sortis du jeu.

Dans ce souci de pragmatisme, il s’agissait aussi d’être en harmonie avec le Data Act…

Nous avons en effet examiné le texte de la loi SREN à un moment où l’encre n’était pas tout à fait sèche du côté européen, ce qui explique qu’il a fallu attendre fin octobre pour que l’on ait des éléments stables sur le Data Act, en produisant du droit qui soit raccord avec lui.

Le député MoDem Philippe Latombe a la dent dure contre AWS, qui propose une offre de cloud “européenne et souveraine”, qui va être déployée dans un premiers temps en Allemagne. Partagez-vous ses appréhensions vis-à-vis de ces solutions dites souveraines ?

Je ne suis pas naïf. Quand AWS parle, je sais que c’est un acteur américain. Je partage la même clairvoyance et ce n’est pas parce qu’on localise un certain nombre de fonctions – le traitement ou le stockage – en France que ça annihile toute capacité à transférer de la donnée outre-Atlantique. Ce serait méconnaître les technologies cloud qui font que 80 % des requêtes que l’on fait sur Google en France sont traitées par des serveurs américains, puisque l’on est sur des architectures distribuées. À la différence de Philippe Latombe, je pense en revanche qu’il sera difficile de tourner le dos à la présence d’acteurs américains sur notre territoire pour servir un certain nombre de besoins. Je sais qu’ils tentent de se faire passer pour plus blanc qu’ils ne sont mais, en l’espèce, une offre d’AWS n’aura jamais la qualification de souveraineté que pourrait avoir un cloud opéré par des acteurs français.

L’article 10 BIS A de la loi SREN introduit un principe dérogatoire pour des projets déjà en cours. Ce principe pourrait-il dispenser le Health Data Hub de se séparer, à terme, de Microsoft Azure ?

Je connais bien Stéphanie Combes (directrice du HDH, ndlr), pour avoir coproduit avec elle un rapport sur l’open data et les codes sources, et je connais bien aussi les origines et l’histoire du HDH…Cédric O, puis Jean-Noël Barrot ont fait la demande de migration du HDH vers un autre cloud. C’est ici la parole du gouvernement qui doit être retenue.

Le terme de souveraineté est assez flou et les parlementaires ne s’entendent pas toujours sur la réalité que recouvre la dénomination de “cloud souverain”. De quoi parle-t-on ? D’une souveraineté française ou européenne ? D’une souveraineté qui préserverait nos collaborations avec les principaux clouds américains ?

Il faut déjà rappeler que nous livrons la bataille du cloud un peu tard. Les structures américaines qui portent ces infrastructures ont investi des milliards. L’Europe cherche à faire émerger des offres alternatives en matière d’autonomie stratégique, mais nous sommes quasiment à la fin du match. Lorsqu’on est face à des entreprises dont la capitalisation boursière représente toutes les entreprises du CAC 40, on peut continuer à faire des bonds de cabri en disant “souveraineté, souveraineté”, mais ce n’est pas comme cela que l’on va inverser la tendance actuelle. Lorsqu’on regarde de près cette souveraineté française, nous remarquons qu’il n’y a plus beaucoup de fabricants de serveurs ou de routeurs européens. Si l’on descend très bas dans les couches des infrastructures ou des briques de cloud, il y aura donc toujours de la souveraineté à conquérir. Chez les acteurs français, combien opèrent avec des serveurs lames de chez HP, des routeurs de chez Cisco ? Ces technologies, nous ne les avons pas, ou plus, en tout cas pas avec ce même niveau de maturité. 

Ma position consiste à dire que l’on ne va pas rompre avec notre capacité à faire des progrès en utilisant les infrastructures des Américains. Il s’agit aujourd’hui de prendre des garanties pour s’assurer que, lorsque nous les utilisons, nous ne nous exposons pas à un certain nombre de risques, notamment celui de l’extra-territorialité de la loi (cf. le Cloud Act, ndlr). C’est sur ce point précis que j’ai une différence de vue avec le député Philippe Latombe, qui estime qu’il existe un écosystème français qui est prêt à suppléer l’ensemble des offres de service des Américains. Je le regrette, mais pour moi, ce n’est pas possible aujourd’hui, même avec le soutien de la commande publique. Nous avons fait des expérimentations avec un moteur de recherche qui devait être une alternative à Google. Faisons le diagnostic aujourd’hui du déploiement de Qwant dans l’administration française…

Reconnaître la supériorité des acteurs américains, n’est-ce pas une forme de capitulation ?

Admettons qu’il n’est pas si simple de remplacer des acteurs qui ont mis des milliards sur la table pour aboutir au niveau de performance actuel. Cela ne veut pas dire qu’il faut les regarder naïvement en disant “nous sommes dépendants de vous et nous allons continuer de l’être”. Dans le texte de la loi SREN, nous avons d’ailleurs pris des dispositions qui durcissent les offres commerciales qui peuvent sembler être alléchantes et qui mettent en dépendance un certain nombre de groupes. Nous avons probablement encore des efforts à faire pour régler, au moment du mariage, les conditions du divorce. Mais ce n’est pas leur interdire l’accès à notre marché qui va régler le problème et qui va permettre de faire émerger les acteurs capables de rivaliser avec eux. 

La réglementation européenne sur l’intelligence artificielle – l’AI Act – est entrée, avec les négociations du trilogue, dans sa phase finale d’élaboration. Quelle est votre position sur ce texte ?

Ma position, que j’ai rappelée le 8 novembre aux Etats généraux de l’information (cf. les articles de mind Media sur le sujet) est que l’IA est une brique de services, dont on méconnaît les cas d’usage qui vont pouvoir en naître. On en connaît certes un certain nombre et nous avons tous été saisis par la fulgurance du déploiement et de l’adoption de ChatGPT. Mais nous sommes encore au début de l’histoire et, de manière certaine, de prochains cas d’usage vont apparaître. 

Selon moi, il ne faut pas adopter une position qui consisterait à condamner d’avance les cas d’usage ou les utilisations possibles, car nous allons refaire les mêmes constats que ceux que nous avons fait sur le cloud. Nous allons hyper-réguler en Europe, les innovations vont donc naître ailleurs, et lorsqu’elles nous seront utiles, nous devrons aller les chercher sur les  étagères de prestataires américains. Il vaut mieux donc avoir une loi principielle de très haut niveau, qui réaffirme les sujets d’éthique et des valeurs liées aux principes de notre démocratie, en rappelant que l’IA doit correspondre à ces standards, plutôt que de rentrer dans le détail et de décrire par exemple comment nous devons aller auditer les bots américains.