La Commission européenne propose d'obliger les États membres à réaliser des évaluations des risques liés à la souveraineté afin d’orienter l’acquisition de services informatiques 'en nuage' ('cloud computing') destinés aux services publics essentiels selon quatre niveaux de sensibilité.
« Nous voulons nous assurer que nos données les plus importantes et les plus sensibles soient stockées en Europe. Avec CADA [le projet de règlement sur le développement du cloud et de l’intelligence artificielle (« Cloud and AI Development Act »], nous introduisons un cadre à quatre niveaux pour le secteur public. Il permettra aux fournisseurs de services cloud et d’intelligence artificielle de démontrer leur niveau de souveraineté sur la base de critères clairs, notamment la localisation des infrastructures, le contrôle de la chaîne d’approvisionnement logicielle et la cybersécurité », a expliqué la vice-présidente exécutive chargée de la Souveraineté technologique, Henna Virkkunen, lors de la présentation du paquet sur la souveraineté technologique, dont elle a aussi recommandé l'utilisation au secteur privé dans les domaines essentiels couverts par la directive NIS2 (cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique). Elle a aussi annoncé la nomination de Jim Hagemann Snabe comme envoyé spécial pour l'intelligence artificielle.
Un cadre européen de souveraineté du 'cloud' à quatre niveaux
Actuellement, trois fournisseurs ('hyperscalers') non européens contrôlent plus de 70% du marché européen du 'cloud', une dépendance qui expose l’Union à des « décisions unilatérales d’acteurs de pays tiers » susceptibles de perturber ces services. Afin de réduire ces risques, le règlement instaure un cadre européen de souveraineté pour les services publics de 'cloud computing'. Les États membres seront tenus de réaliser des « évaluations des risques liés à la souveraineté afin de déterminer quels sous-secteurs doivent être desservis par des services correspondant à différents niveaux de souveraineté », afin de garantir une protection adéquate des données, l’autonomie opérationnelle et la préservation de l’ordre public. Le règlement introduit des critères harmonisés à l’échelle de l’Union, mais l’évaluation elle-même restera de la compétence des États membres. La Commission fournira des orientations afin de les aider dans cet exercice. Elle mettra également en place un registre central répertoriant les services de 'cloud computing' bénéficiant d’un niveau d’assurance européen.
Conditions d’accès strictes pour les fournisseurs de pays tiers
Pour les services de niveau 3, la Commission pourra identifier les pays tiers éligibles au moyen d’un acte d’exécution. Des fournisseurs établis dans des pays tiers pourront être reconnus à certaines conditions. Leur pays devra notamment bénéficier d’une décision d’adéquation en matière de protection des données. Les autorités du pays tiers ne devront pas être en mesure d’exercer un contrôle sur le fournisseur afin d’obtenir illégalement l’accès à des données non personnelles ou d’imposer une interruption du service. Le pays concerné ne devra pas non plus empêcher la fourniture de technologies ou de services de pointe par le fournisseur de cloud et devra garantir un accès équivalent aux marchés publics de services de 'cloud computing' aux entreprises de l’Union.
Henna Virkkunen a précisé que les exigences applicables aux niveaux 3 et 4, en particulier dans le domaine de la défense, étaient « très strictes », notamment en ce qui concerne le «contrôle européen» et la localisation des données en Europe, «Nous voulons également nous assurer que personne ne dispose de la possibilité d’activer un 'kill switch' [un arrêt d'urgence du système: NDLR]. Avec le 'Cloud Act' américain, il est difficile pour les entreprises américaines d’atteindre le niveau 3 », a-t-elle expliqué, soulignant que certaines dispositions du droit américain ne seraient pas compatibles avec les critères proposés.
Elle a toutefois rappelé que ce sont les autorités nationales qui seront chargées des audits et a insisté sur le fait que « dans la plupart des cas, lorsqu’il est question de services publics et de services 'cloud', nous parlons principalement des niveaux 1 et 2 », tandis que les niveaux 3 et 4 concernent « des domaines extrêmement cruciaux ».
Plus largement, le Cloud and AI Development Act vise à soutenir l’objectif de tripler la capacité durable des centres de données en Europe au cours des cinq à sept prochaines années, grâce à plusieurs mesures concrètes destinées à favoriser le développement des capacités de 'cloud' et d’intelligence artificielle, notamment en stimulant la demande intérieure.
Un critère de « valeur ajoutée européenne » dans les marchés publics
La Commission propose d’introduire un critère de « valeur ajoutée européenne » dans l’évaluation des offres relatives aux services 'cloud' innovants et aux systèmes d’intelligence artificielle. Ce critère ne serait toutefois pas déterminant à lui seul et représenterait 15 points sur un total de 120 afin de préserver la primauté des critères techniques et financiers. Il permettra de favoriser les solutions qui contribuent au renforcement de la chaîne de valeur numérique européenne, notamment par l’utilisation de logiciels ou de matériels conçus ou fabriqués dans l’Union et par l’intégration de technologies développées en Europe.
Achats communs et partage de services publics numériques
La proposition ouvre la voie à des achats communs de services de centres de données, de services 'cloud', de logiciels et de systèmes d’intelligence artificielle par la Commission européenne pour le compte des États membres. Le texte prévoit également la création d’une 'Fédération européenne du cloud public' (« EuroCloud Federation »), ouverte sur une base volontaire aux institutions de l’Union et aux administrations publiques nationales. Elle facilitera le partage de services de centres de données et de 'cloud computing' entre les administrations publiques européennes. L’entité fournissant le service pourra facturer des frais limités à l’entité utilisatrice.
Initiatives de leadership dans le 'cloud' et l’IA et projets prioritaires en matière d’IA et des projets stratégiques de centres de données seront sélectionnés
Le règlement prévoit des initiatives de leadership dans le domaine du 'cloud' et de l’intelligence artificielle afin de promouvoir les activités de recherche et d’innovation et de développer des capacités à grande échelle dans l’ensemble de l’écosystème européen du 'cloud' et de l’IA.
Zones d’accélération pour les centres de données
Dans les six mois suivant l’entrée en vigueur du règlement, les États membres devront désigner au moins une zone d’accélération pour les centres de données. Ces zones devront intégrer des exigences en matière de durabilité et feront l’objet d’une évaluation des besoins énergétiques ainsi que de leur impact sur les émissions de gaz à effet de serre. Les procédures d’autorisation pour la construction de centres de données dans ces zones seront simplifiées et ne devront pas dépasser douze mois, les États membres pouvant prévoir des délais plus courts.
Promotion du logiciel ouvert
Le règlement prévoit que les institutions de l’Union et les administrations publiques des États membres utilisent et favorisent la réutilisation de normes ouvertes et de composants distribués sous licence 'open source' lors de la construction de leurs infrastructures cloud et IA, tout en tenant compte des exigences de sécurité, des fonctionnalités et du coût global.
Stratégies nationales pour le cloud et l’IA
Enfin, afin de mettre en œuvre le règlement, les États membres devront adopter, au plus tard un an après son entrée en vigueur, des stratégies nationales relatives au cloud et à l’intelligence artificielle destinées à accélérer leur développement et leur adoption aux niveaux national, régional et local. (Ana Pisonero Hernández)