|
|
| (86 versions intermédiaires par 3 utilisateurs non affichées) |
| Ligne 1 : |
Ligne 1 : |
| | [[Catégorie:Transcriptions]] | | [[Catégorie:Transcriptions]] |
| | | | |
| − | '''Titre :''' Cloud : l'Europe veut-elle faire sa révolution ? Séance plénière
| + | Publié [https://www.librealire.org/cloud-l-europe-veut-elle-faire-sa-revolution ici] - Avril 2023 |
| − | | |
| − | '''Intervenant·e·s : ''' Tariq Krim - François Pellegrini - Alain Issarni - Dimitri Van Zantvliet - Julia Sieger
| |
| − | | |
| − | '''Lieu :''' Lille - Grand Palais - FIC Europe 2023
| |
| − | | |
| − | '''Date :''' 7 avril 2023
| |
| − | | |
| − | '''Durée :''' ??? min
| |
| − | | |
| − | '''[https://www.youtube.com/watch?v=NtvZryRlth4&t=3043s Vidéo]'''
| |
| − | | |
| − | '''Licence de la transcription :''' [http://www.gnu.org/licenses/licenses.html#VerbatimCopying Verbatim]
| |
| − | | |
| − | '''Illustration :''' À prévoir
| |
| − | | |
| − | '''NB :''' <em>transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.<br/>
| |
| − | Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.</em>
| |
| − | | |
| − | ==Transcription==
| |
| − | | |
| − | <b>Julia Sieger : </b>Vous êtes au complet pour cette table ronde.<br/>
| |
| − | François Pelligrini, vous êtes vice-président de CNIL, merci infiniment d’être là. Tariq Krim, qu’on a entendu tout à l’heure. Dimitri Van Zantvliet, vous êtes le CISO [<em>Chief information security officer</em>] des chemins de fer néerlandais. Vous avez commencé à y répondre, Alain Issarni, mais la première question que j’ai pour ce panel qui s’articule autour de l’Europe : pourquoi fallait-il un acteur du cloud 100 % français et non européen ?
| |
| − | | |
| − | <b>Alain Issarni : </b>Est-ce qu’il faut un acteur 100 % français ? Je trouve que toutes les initiatives qui ont été lancées en France son 100 % françaises. La réglementation est un peu différente, je ne l’ai pas évoqué, le SecNumCloud est en France mais n’est pas ailleurs. Le fait qu’il puisse y avoir des initiatives en France et qui démarrent en France, l’ambition est forcément d’aller en Europe. Compte-tenu du niveau d’exigence qui existe en France, je pense que c’est une bonne passerelle pour pouvoir aller à l’ Europe. Et assurément, quand on est sur ces sujets – SecNumCloud, RGPD –, on parle d’Europe et si on arrive à vendre le service en France, on vendra le service en Europe, c’est donc effectivement un sujet européen.
| |
| − | | |
| − | <b>Julia Sieger : </b>Je voudrais qu’on fasse un état des lieux avant de commencer cette table ronde : où en est-on ? On parle de retard technologique. Certains disent, à l’inverse, on a entendu Tariq Krim tout à l’heure, « pas du tout, on a toutes les briques, le problème est ailleurs ». Quelle est votre opinion là-dessus ?, peut-être François Pellegrini.
| |
| − | | |
| − | <b>François Pellegrini : </b>Je rejoindrais ce que dirait Tariq Krim.<br/>
| |
| − | D’abord, la CNIL parle d’une position qui est assez particulière par rapport au Cloud. Le rôle de la CNIL est de faire respecter la loi sur les données à caractère personnel qui n’est qu’un des versants de l’ensemble de la problématique <em>cloud</em> puisque, au-delà des données à caractère personnel, il y a les données à caractère non personnel, en particulier les données stratégiques des entreprises.<br/>
| |
| − | De ce point de vue là, comme il a été rappelé, les briques existent, les compétences sont présentes et il faudra – mais ça c’est plutôt sur la partie prospective, au-delà de l’état de lieux – définir des politiques qui permettront de mettre en mouvement ces différents acteurs.<br/>
| |
| − | Pour nous, pour parler du point de vue de la CNIL, ce qu’on constate c’est que bien évidemment il y a un mouvement vers l’infonuage de façon à, comme l’a dit Monsieur Issarni, mutualiser les coûts, parce que dans le domaine du numérique, où, justement, les effets de réseau sont considérables et, j’allais dire, le coût marginal est extrêmement faible, il faut absolument mutualiser les coûts et se focaliser sur sa valeur ajoutée, c’est là qu’on fait les marges qui permettent de s’étendre.<br/>
| |
| − | Comme ça a été dit également, on est attiré par des fonctionnalités, on est aussi attiré par une facilité d’usage parce qu’il y a énormément d’argent qui est mis dans l’ergonomie et c’est vrai que c’est un élément. Tariq citait Linux et autres : les libristes, pendant longtemps, ont été un peu rétifs à l’ergonomie et ça a fait des couches basses extrêmement performantes mais qui n’ont pas nécessairement pu susciter l’adhésion des personnes pour qui la ligne de commande était quand même un univers totalement étrange.<br/>
| |
| − | La question de la sécurité a aussi été évoquée. On peut considérer que ces acteurs mettent beaucoup d’argent dans la sécurité. Comme on l’a vu, la sécurité s’exprime à différents niveaux. Il y a le niveau de subsidiarité, il y a la sécurité du système informatique, ce sont des visions à court terme et, pour la vision à plus long terme, il y a la sécurité des infrastructures et puis des enjeux de souveraineté, c’est-à-dire la sécurité des populations qui peuvent être, du jour au lendemain, coupées de leurs activités, donc réduites au chômage avec des troubles sociaux qui peuvent effectivement être considérables. L’attaque peut concerner des entreprises high-tech, mais le meilleur moyen de mettre un pays par terre c’est d’attaquer ses services sociaux et, à partir de là, les gens seront très rapidement dans la rue parce qu’ils n’auront plus les moyens de vivre.<br/>
| |
| − | Le rôle de la CNIL c’est celui du gardien de la protection des données, donc, puisque il y a un alignement des droits et libertés fondamentales et ces enjeux de souveraineté, nous prenons part au débat à la place qui est la nôtre, mais les enjeux sont effectivement extrêmement vastes. Nous y apportons notre pierre, mais ça suppose évidemment des activités concertées avec plein d’autres acteurs.
| |
| − | | |
| − | ==55’10 - Partie en anglais non transcrite pour le moment==
| |
| − | | |
| − | <b>Julia Sieger : </b>Merci beaucoup.
| |
| − | Dimitri
| |
| − | | |
| − | | |
| − | <b>Dimitri Van Zantvliet : </b>
| |
| − | | |
| − | ==57’ 00==
| |
| − | | |
| − | <b>Julia Sieger : </b>Je vais être assez directe, Tariq Krim : pourquoi sommes-nous là ? Je suis désolée, mais ça fait plusieurs années qu’on soulève cette même question : qu’est-ce qui fait qu’on n’arrive pas à sortir de cette situation ? Qu’est-ce qui fait qu’on n’arrive pas à concurrencer les Américains ? Quels sont précisément les leviers qu’il faut enclencher ?
| |
| − | | |
| − | <b>Tariq Krim : </b>Ça a été dit juste à l’instant par les différents intervenants. Est-ce que c’est une question de concurrence ?, c’est une question que je pose ouvertement, ou est-ce que nous ne vivons pas dans un système de valeurs qui est différent, un héritage de valeurs qui est différent ? Je m’explique.<br/>
| |
| − | C’est toujours très drôle de voir les États-Unis en rouge sur la carte, d’habitude sur les cartes que j’avais quand j’avais plus jeune, c’était les Soviets ou la Chine maintenant. Je dis ça en rigolant, mais une grande partie des questions de l’extraterritorialité et des lois dont on parle, si on met de côté le <em>CLOUD Act</em> et aussi le <em>PATRIOT Act</em> qui est arrivé à la suite d’un événement horrible aux États-Unis, la plupart de cet héritage vient de la guerre froide : les lois FISA, toutes les lois qui autorisent ce genre d’extraterritorialité ont été inventées à une époque où il y avait l’Union soviétique, on les écoutait, donc on était dans un cadre différent. C’est vrai qu’avec l’arrivée du <em>cloud</em>, la combinaison du <em>cloud</em> et des GAFAM, ces lois sont devenues extrêmement utiles parce qu’elles apportent un niveau supplémentaire.
| |
| − | | |
| − | Quand je parlais de valeur, il y a deux/trois choses intéressantes.<br/>
| |
| − | La première c’est qu’il y a un antagonisme absolu entre la vision de la vie privée en Europe et aux États-Unis, on a un des experts du domaine juste à côté, donc je n’irai pas plus loin, nous sommes fondamentalement sur des visions différentes, mais également sur la vision du <em>cloud</em>.<br/>
| |
| − | J’ai eu des conversations avec Alain il y a quelques jours, ce que je trouve intéressant et j’imagine que c’est la même chose vu les responsabilités que vous avez, quand on me dit que le <em>cloud</em> c’est plus vite, plus fort, plus gros ! Non ! Quand on travaille notamment avec les services publics, votre métier, c’est la stabilité, c’est la qualité de service, c’est déployer sans encombre, surtout quand on est sur les infras critiques qui ont été gérées par nos deux intervenants. Il y a donc obligatoirement une question entre le <em>cloud</em> des startups qui ont besoin de grandir très vite, qui ont besoin de beaucoup de capital, puisque, éventuellement un jour, <em>winner takes all</em> et puis il y a le <em>cloud</em> des entreprises. Et là, on est dans des problématiques vraiment très différentes où ce que l’on veut c’est l’horloge suisse : ça marche tout seul, où il n’y a pas de problèmes, il n’y a pas, comme tu disais, de bugs informatiques.<br/>
| |
| − | Donc dans les visions de la manière dont on va implémenter le <em>cloud</em> et dans les options de services, il y a effectivement les <em>clouds</em> qui sont plutôt adaptés à des entreprises pour qui la vélocité et la croissance est le Graal et il y a une place absolue pour des entreprises qui veulent des choses très stables et de la qualité de service sur le long terme.
| |
| − | | |
| − | <b>Alain Issarni : </b>Juste un commentaire ou un complément là-dessus. Est-ce que nous sommes devancés ? Est-ce que nous sommes en retard ? Oui, nous sommes en retard. Est-ce que, pour autant, il faut en faire un complexe ? La réponse est assurément non, comme s’il suffisait d’être en retard pour abandonner une bataille. Les éléments sont là.
| |
| − | | |
| − | <b>Julia Sieger : </b>Oui, mais on est souvent en retard quand même, comme s‘il y avait peut-être un problème un peu structurel.
| |
| − | | |
| − | <b>Alain Issarni : </b>Il y a un état d’esprit, une volonté qu’il faut changer, c’est ce qu’il faut impulser assurément. Il faut arrêter et sortir de ce mode-là : on est en retard, donc on fait du <em>bashing</em>, c’est-à-dire qu’il n’y a plus rien à faire et il faut être défaitiste. Non pas du tout Comme je le disais et ce n’est pas moi qui l’ai dit en premier, les gros acteurs, les gros inventeurs sont plutôt en France et en Europe sur ces sujets-là. Il faut en prendre conscience et il faut utiliser ces compétences et ces capacités pour rattraper le retard et probablement dépasser, il n’y a rien d’insurmontable là-dessus.
| |
| − | | |
| − | <b>François Pellegrini : </b>Je pense effectivement que le problème du positionnement et de la mentalité est essentiel.<br/>
| |
| − | Par rapport à votre question sur comment on peut propulser les choses, la réponse est au niveau stratégique : il faut d’abord se doter d’une vraie stratégie tenue dans la durée avec, ensuite, des moyens de l’opérationnaliser. Ça suppose une constance politique, d’abord une identification politique du sujet qui est nécessaire, ce qui n’était pas nécessairement évident aux échelons décisionnels et ensuite une mise en œuvre qui soit holistique. On voit, par exemple, que la question de l’approvisionnement en processeurs est une condition sine qua non de l’ensemble du déploiement d’une stratégie de souveraineté numérique, mais c’était passé sous le radar et toutes les politiques de désindustrialisation et de transfert à l’étranger des usines c’était la doxa des années 1990/2000 et ça été difficile à remettre en cause, alors même que les arguments de souveraineté étaient déjà présents ; on l’avait vu au niveau des lanceurs spatiaux et déjà, à cette époque, les États-unis mettaient en œuvre une politique agressive de brevets pour détruire la politique du Japon sur la construction des puces. Dès les années 1980, la maîtrise des puces a été l’objet d’un programme stratégique des États-unis de façon à conserver le contrôle sur ses chaînes, ce qui avait été considéré comme essentiel notamment pour les équipements militaires.<br/>
| |
| − | Pour la mise en œuvre politique, je pense que la question c’est effectivement de faire arriver à faire croître les PME innovantes. Il faut rappeler que ce dont on parle – les Google, les Amazon et autres – ont été des PME dans le garage. La question c’est comment on arrive à passer de cet état-là à une position d’entreprise mature et stable sur son secteur. Depuis longtemps des personnes plaident pour un <em>Small Business Act</em> à l’européenne ou à la française, les États-Unis l‘ont. Il ne faut pas ignorer que ça crée une position de déséquilibre.<br/>
| |
| − | Ensuite, il y a effectivement des moments où un acteur rentre sur le marché, on l’a bien vu dans les business plans du numérique, on crame du cash pour pouvoir gagner de la clientèle parce que ces clients ensuite, par l’effet de réseau, deviendront à leur tour des prescripteurs. Il y a donc un effet d’entraînement très fort, il faut en tenir compte, il faut donc imaginer des modèles économiques dans lesquels on va pouvoir aller conquérir ces territoires. Le fait est qu’une fois qu’un acteur est installé on a un dumping sur les services. Une stratégie qui n’est pas protectionnisme mais juste de maintien de concurrence libre et non faussée, pour éviter ce fameux « la première dispose est gratuite » et ces questions de crédit et de dette qu’on commence à se faire, c’est justement d’arriver à mettre en place, on en parlera sur le versant réglementaire, des lois qui vont empêcher ce verrouillage.<br/>
| |
| − | Rappelez-vous dans les années 90, l’Europe a été la première à créer une loi pour la rétro-ingénierie pour l’interopérabilité. Donc, déjà dès les années 90, dans le secteur du logiciel on avait identifié le fait qu’il ne fallait pas qu’il y ait de verrouillage sur les formats de fichier.<br/>
| |
| − | Maintenant, et c'est l’article 20 du RGPD pour les données seulement à caractère personnel, malheureusement, il y a la portabilité des données qui dit que le coût de la rétro-ingénierie doit porter, finalement, sur celui qui fournit le service. L’article 5 du <em>DATA Act</em> c’est aussi l’extension de ce principe aux données non à caractère personnel de façon à maintenir la concurrence libre et non faussée. Il faut aussi qu’il y ait des enquêtes en concurrence sur les tarifs parce que, effectivement une fois qu’on a une position dominante dans le monde du numérique, la concurrence est extrêmement forte.<br/>
| |
| − | Excusez-moi je suis un peu bavard, je reviens sur cette mentalité de colonisé. Dès le moment où on considère par préjugé, sans justification, que les produits importés sont toujours meilleurs que les produits locaux, de toute façon on n’arrivera pas à mettre l’argent au bon endroit. Comme le disait Monsieur Issarni, si la réponse des prescripteurs c’est de dire « faites ça dans votre coin et si vous faites bien on vous donnera de l’argent », le problème est à l’envers. Il faut financer et c’est pour ça le <em>Small Business Act</em> est utile dans ce domaine-là, il faut faire aller l’argent vers les produits parce que s’il n’y a pas d’investissement, la qualité des produits ne montera pas et il n’y aura pas de possibilité de contrer les sommes phénoménales qui sont extraites des marchés existants. Il faut donc renverser cette tendance. Il faut arrêter de faire du <em>European bashing</em> ou du <em>French bashoing</em>, il y a eu des propos politiques quand même assez dramatiques qui ont pu être tenus parle passé.<br/>
| |
| − | Dans ta liste, finalement, je retrouve cités les gens d’EUCLIDIA. On a des initiatives européennes, il s’agit justement de faire en sorte de les promouvoir avec la commande publique : les administrations sont des grands prescripteurs en termes stratégiques, en termes de formats de données – la guerre des formats est toujours ouverte. Il y a des choses à faire au niveau politique, il y a le Référentiel général d’interopérabilité il faut le mettre en application. Un certain nombre de moyens peuvent être mis en œuvre à peu de frais parce qu’il faut éviter cette adhérence : le <em>vendor lock-in</em> n’est pas sur les données, il est aussi sur les technologies et les effets d’adoption.
| |
| − | | |
| − | <b>Julia Sieger : </b>Et la recherche.
| |
| − | | |
| − | <b>François Pellegrini : </b>La recherche je pourrai en parler peut-être plus tard.
| |
| − | | |
| − | <b>Julia Sieger : </b>On en parlera un petit peu plus tard dans cette table ronde également.
| |
| − | | |
| − | <b>Alain Issarni : </b>Juste un complément et rebondir sur ce qui a été dit sur les logiciels libres. C’est vrai que c’est assez agaçant ou frustrant de constater que ce sont souvent les logiciels libres qui guident l’état de l’art mais que, bien souvent, on va vers des éditeurs. C’est vrai que, malheureusement, il y a un réflexe, j’allais dire de riche, c’est-à-dire qu’on préfère aller acheter la belle boîte cadeau qui se trouve sur les étagères parce qu’elle est toute packagée et tout est fait, et on ne prête aucune attention aux petites briques individuelles qui, malheureusement, ne sont pas très bien assemblées, mais qui, si on arrivait à les assembler pourraient être très bien. Tariq disait qu’il faut être dans la durée, effectivement beaucoup de décisions sont prises uniquement sur le critère d’immédiateté : on a besoin de quelque chose on le veut tout de suite. Investir pour être dans la durée et faire émerger des solutions et des alternatives, ça nécessite de la volonté et de la stratégie. In fine, tout le monde est convaincu que ça devrait coûter moins cher, mais, dans les faits, c’est difficile et c’est souvent extrêmement compliqué d’aller convaincre des décideurs à dire « prenons l’alternative qui est prometteuse au lieu de quelque chose qui coûte très cher ».<br/>
| |
| − | Au début des années 2000, on avait coutume de dire que pour un DSI il était facile de faire un gros projet et de se planter, pardon de l’expression, en prenant les solutions que tout le monde prenait, plutôt que d’aller sur de l’innovation, typiquement le Libre, et de prendre le risque de se tromper. Aujourd’hui on a la même chose avec le cloud : il est extrêmement facile et satisfaisant de prendre le risque pour un DSI de dire je vais prendre les gros, ce sont les meilleurs fonctionnellement parlant, si ça ne marche pas je pourrai toujours dire que j’ai pris la meilleure des décisions et que j’ai fait comme les autres. Alors prendre l’initiative d’aller prendre des autres acteurs, même si c'est la bonne réponse, la bonne solution, c’est un risque supplémentaire qui effraie un certain nombre d’acteurs.
| |
| − | | |
| − | <b>Julia Sieger : </b>Parlons à présent de souveraineté. Comment peut-on échapper au <em>CLOUD Act</em>, peut-on y échapper d’ailleurs ? Et, par exemple, est-ce que la procédure d’adéquation qui est en cours actuellement ici en Europe c’est suffisant, à votre avis ?
| |
| − | | |
| − | <b>François Pellegrini : </b>Je vais repositionner un peu les termes de la question. Comme je l’ai dit, la CNIL ne s’occupe que des données à caractère personnel et le mécanisme d’adéquation aussi en fait. C’est-à-dire que la question globale de la préservation du patrimoine informationnel des organisations, que ce soient les entreprises ou les organes de la Nation, déborde de cette question de l’adéquation puisque l’adéquation ne concerne que la préservation des droits et libertés fondamentaux et la création d’un espace. Il faut voir que le RGPD est aussi un règlement qui vise aussi à la libre circulation des données dans un espace les droits et libertés fondamentaux des personnes sont respectés. Donc ça ne vise que cet aspect-là, c’est-à-dire que l’adéquation peut être une solution pour garantir des droits et des libertés aux personnes mais ça ne traite pas le problème plus global de l’interception, de l’espionnage industriel, qui est une autre problématique.<br/>
| |
| − | Est-ce que c’est suffisant pour garantir le patrimoine industriel d’une entreprise ? Clairement ce n’est pas dans les textes, la réponse a tendance à être non.<br/>
| |
| − | Maintenant, qu’y a-t-il dans ces législations ? Ces législations visent à organiser l’accès sous condition de réciprocité, il ne faut pas l’oublier non plus : le <em>CLOUD Act</em> est une proposition dans laquelle il va y avoir là-aussi des États partenaires qui peuvent être identifiés pour que ce mécanisme d’accès fonctionne dans les deux sens, pour l’accès qui est situé sur le territoire d’États tiers. On pose ça sur la table et on dit : si on ne veut pas que vos données puissent être accédées par ce biais, il faut au moins les localiser sur un territoire qui n’y est pas soumis. Il y aura quand même des conditions de réciprocité, mais, surtout, il faut avoir le contrôle et la maîtrise sur ces accès, donc il faut en particulier que les entités juridiques soient exclusivement soumises à la législation de l’Union européenne puisque, sinon, des législations tierces peuvent être activées.<br/>
| |
| − | Je dirais que ce n’est pas tout. C’est-à-dire que, par exemple, dans un transfert d’un État de l‘Union européenne à un autre État de l’Union européenne, et Tariq a évoqué la question du routage, si ça passe par Singapour, Tokyo ou Baltimore, alors cette idée d’un espace purement européen est juste une fiction juridique sans la réalité technique – le diable est dans les détails, le diable est dans les routages –, donc il faut envisager l’intégralité des menaces qui peuvent peser sur le dispositif.<br/>
| |
| − | Je me permets juste, parce qu’il y a eu cette présentation vidéo qui est que le chiffrement de bout en bout c’est la solution. Si c’est pour qu’à l’arrivée les données soient en clair et puissent être aspirées, eh bien non, c’est un élément de solution, c’est utile contre un certain nombre d’attaques mais pas nécessairement toutes.
| |
| − | Il faut vraiment remettre cette question de l’adéquation et la question de ces instruments de ce point de vue-là uniquement dans le périmètre des données à caractère personnel qui ne sont là encore qu’une des pièces du puzzle.
| |
| − | | |
| − | ==1 h 11’54 - Partie en anglais non transcrite pour le moment==
| |
| − | | |
| − | <b>Julia Sieger : </b>Merci beaucoup.
| |
| − | | |
| − | | |
| − | <b>Dimitri Van Zantvliet : </b>
| |
| − | | |
| − | ==1 h 14’ 38==
| |
| − | | |
| − | <b>Julia Sieger : </b>
| |
