La Commission européenne vient d’abandonner la loi sur le développement du cloud et de l’IA. Ou CADA. Il s’agit de leur dernière tentative pour réveiller l’industrie locale du cloud.
Ils veulent remodeler les infrastructures. Changer la façon dont le secteur public achète la technologie. Construisez une véritable autonomie.
Le plan repose sur trois piliers. Investissez dans la recherche. Renforcer les capacités.
En fait, tripler le marché européen des centres de données d’ici cinq à sept ans.
C’est une grande demande. La chronologie est agressive. Peut-être trop agressif.
L’accueil est mitigé, au mieux
Les gens n’encouragent pas encore.
La CCIA Europe estime que la proposition est discriminatoire. Leur logique est simple. Les nouvelles règles obligeraient les membres de l’UE à vérifier si les cas d’utilisation nécessitent des niveaux de souveraineté que les entreprises non européennes « ne seraient pas en mesure d’atteindre ». Par défaut. Pour eux, cela ressemble à une exclusion.
Mikolaj Barcenciewicz, un avocat polonais spécialisé dans les technologies, n’est pas d’accord avec cette approche catégorique. Il plaide pour un système basé sur les risques. Gardez les choses spécifiques. Ne généralisez pas. Laissons respirer la subsidiarité.
En Suède, l’eurodéputé Jörgen Warborn n’est pas satisfait du business case.
Des objectifs de souveraineté ? Bien. Mais simplifiez la réglementation. Améliorer les conditions.
Il souligne une dure réalité économique.
« Une grande majorité de la richesse mondiale est détenue en dehors de l’UE »
Alors pourquoi le repousser ? Il pense que les applications de sécurité nationale nécessitent des contrôles stricts. Bien sûr. Mais les zones moins sensibles devraient accueillir les investissements étrangers. Sinon, l’argent reste à l’étranger.
Tout le monde ne souhaite pas moins de réglementation. L’eurodéputée finlandaise Aura Salla souhaite plus de centralisation. Testez les dépendances plus durement. Évaluer les risques au niveau des États membres.
Ensuite, il y a Nextcloud, la société allemande de logiciels. Ils disent que ce n’est pas suffisant. Même pas proche.
Ils souhaitent que les règles soient également étendues au secteur privé.
Le mythe des douze mois
C’est ici que les choses se compliquent.
Le titre III de la CADA promet de la rapidité. Deux mécanismes : les zones d’accélération du centre de données. Projets stratégiques.
Les États membres disposent de six mois. Juste six.
Désigner au moins une zone. Intégrez-le dans les plans locaux. Vérifiez la disponibilité du réseau. Préférez les friches industrielles aux champs verts.
Si un projet s’inscrit ici ou obtient un statut stratégique spécial, il entre dans un « couloir vert ». Le plafond des permis ?
Douze mois maximum.
Cela semble efficace. Ce ne sera probablement pas le cas.
La liste de conformité est lourde. Des KPI de durabilité standardisés sont obligatoires. L’allocation des ressources locales sera strictement réglementée. Pas de thésaurisation spéculative. Pas de concurrence bloquante.
De façon réaliste? Vous donnez six mois aux planificateurs pour redessiner les cartes. Alors tu veux un permis dans un an ?
Des goulots d’étranglement physiques existent. Les constructeurs certifiés sont rares. Chaque phase est soumise à des audits. Une petite installation peut mettre des années à se relever de la saleté.
Ajouter ces nouveaux obstacles bureaucratiques à la crise de la chaîne d’approvisionnement ?
L’objectif de 12 mois n’a plus de sens.
Les marchés publics font peau neuve
Le titre IV change la façon dont le gouvernement achète les nuages.
Fini la gratuité sur le prix et la qualité uniquement.
Quatre niveaux d’assurance. Mappé sur le risque.
- Niveau 1 : Sécurité de base. La propriété étrangère, ça va.
- Niveau 2 : Souveraineté substantielle. La propriété étrangère est autorisée, mais tout reste dans l’UE. Personnel, infrastructure, support. Les données ne peuvent pas être utilisées pour former l’IA dans d’autres pays.
- Niveau 3 : Haute sécurité. Pas de contrôle d’entreprise étrangère. Rares exceptions seulement.
- Niveau 4 : Autonomie critique. Le contrôle étranger est totalement interdit.
Comment cela se passe-t-il sur le terrain ?
Nommer les autorités compétentes. Auditer les fournisseurs. Accorder la reconnaissance.
Dans un délai d’un an, les membres doivent procéder à une évaluation des risques. Faites-le ensuite tous les deux ans.
Déterminez quels services cloud touchent des données sensibles. Faites correspondre le niveau de sécurité.
C’est un énorme pivot.
Précédemment? Le prix comptait le plus. Les spécifications techniques l’ont également fait. Peut-être une certaine gestion du risque souverain si l’État s’en soucie.
Maintenant? Vous devez évaluer la contribution du prestataire à l’écosystème européen.
Il ne s’agit pas seulement d’un contrôle technique. C’est politique.
Un fournisseur de cloud « aide-t-il suffisamment l’Europe » pour récupérer votre argent ?
C’est une mesure difficile à cerner. Encore plus difficile à appliquer dans les 27 États membres.
