Ainsi, depuis la fin de 2018, le Québec a un ministre délégué à la « transformation numérique gouvernementale » en la personne de M. Éric Caire, député de La Peltrie, formé en informatique au Collège Multi-Hexa, ancien programmeur-analyste et enseignant en informatique au collège François-Xavier-Garneau. Le ministre délégué évolue au sein du Conseil du trésor présidé par M. Christian Dubé, député de La Prairie, également ministre responsable de l’Administration publique.
Comment M. Caire comprend-il l’intitulé de son poste, qui est inédit dans l’histoire du Québec et même dans celle de la langue française ? Étant donné les missions de l’État et de l’administration publique, il est à souhaiter que les ministres Caire et Dubé entendent l’expression « transformation numérique » (traduction littérale de digital transformation) dans un sens plus profond et moins idéologique que celui que lui donne le milieu des affaires qui en fait la promotion ces jours-ci.
En effet, dans le sens le plus répandu, la « transformation numérique » est une expression à la mode qui signifie en gros transformer sa culture organisationnelle et ses processus d’affaires, innover et créer de la valeur pour être plus compétitif ou mieux encore « disruptif » (de l’anglais disruption) sur le marché. Ce type de transformation n’a évidemment rien à voir avec le rôle et les grandes responsabilités de l’État et de l’administration publique vis-à-vis du bien commun, de la démocratie, de la justice, de la sécurité, de l’éducation, etc. Qu’elle s’inscrive dans la vision d’un État interventionniste ou non interventionniste, la « transformation numérique » des organismes de toutes sortes qui sont rattachés à l’État doit impliquer plus de choses et surtout autre chose que la recherche d’un avantage compétitif face à des concurrents, la simple réduction des dépenses, l’optimisation ou la satisfaction des clients.
Comment la « transformation numérique » du secteur public peut-elle servir l’atteinte de nos grands objectifs de société ? Comment doit-elle être bénéfique à l’action publique en général ? Par exemple, comment un secteur public qui se transforme par le numérique peut-il être plus directement utile à une « transition numérique » globale qui sera positive pour l’être humain ? Voilà peut-être quelques-unes des grandes questions de nature politique qui devraient trotter dans la tête de M. Éric Caire au cours des prochaines années.
Le gouvernement précédent, celui dirigé par M. Philippe Couillard, avait, en matière de numérique, formellement adopté une vision, une stratégie globale et des stratégies ou plans d’action spécifiques (culture, économie, éducation, enseignement supérieur, données ouvertes, administration publique numérique). Quelle sera la vision du gouvernement de François Legault sur les enjeux et les défis du numérique ? Nous ne le savons pas du tout, et quand FACiL a essayé de le savoir lors des élections générales québécoises de 2018, personne à la Coalition avenir Québec (CAQ), pas même M. Caire, ne nous a donné de réponse.
Nous leur avions pourtant envoyé un questionnaire1 contenant une bonne vingtaine de questions susceptibles de nous éclairer et d’éclairer le public québécois sur le sujet. FACiL voulait savoir ce que les quatre principaux partis (CAQ, PLQ, PQ, QS) et trois autres encore (PCQ, PVQ, NDPQ) avaient à dire sur différents enjeux comme nos libertés et nos droits fondamentaux dans la société numérique, la neutralité du réseau Internet, le contrôle sur nos données, l’accès à Internet à très haute vitesse partout sur le territoire, la démocratie ouverte, le domaine public, la lutte contre le fossé numérique, les communs numériques, la science ouverte, l’utilisation et le développement de logiciels libres par le secteur public, la souveraineté numérique, le « bordel informatique » des contrats publics en TI, etc2.
Seuls Québec solidaire, le Parti vert du Québec et le Parti conservateur du Québec nous ont fourni des réponses3.
Dès le 17 décembre 2018, l’annonce4 par le ministre Caire de l’abandon de la promesse caquiste de mettre sur pied une commission d’enquête sur l’informatique de l’État nous indiquait que la bonne compréhension des problèmes n’était apparemment pas nécessaire à leur résolution par le gouvernement. À quoi fallait-il s’attendre en 2019 après un si mauvais départ en 2018 ? C’est le 4 février 2019 que nous avons appris, en même temps que tout le monde, à quoi pourrait ressembler la « transformation numérique » de notre gouvernement par messieurs Caire et Dubé. Dans un communiqué de presse du Conseil du trésor, le public apprenait que les centres de traitement informatique (CTI) de l’État seraient massivement consolidés et qu’à l’avenir le gouvernement aurait recours à l’« infonuagique publique » de manière prioritaire.
La légèreté avec laquelle cette annonce a été faite en a laissé plus d’un stupéfait5. Qu’en est-il des enjeux de la vie privée, de la souveraineté numérique, de l’expertise interne de l’administration publique qui interviennent forcément dès qu’on parle d’infonuagique publique ? Rien. Pas un mot, hormis des dénégations et des propos rassurants dignes d’un PDG d’entreprise.
Si on compare l’annonce du 4 février 20196 de messieurs Caire et Dubé avec celle du 3 juillet 20187 de M. Mounir Mahjoubi, secrétaire d’État auprès du premier ministre [de France], chargé du Numérique, on ne peut qu’être sérieusement embarrassé par le contraste Québec-France. Quoique certainement critiquable, l’annonce de M. Mahjoubi relativement à la stratégie d’utilisation de l’infonuagique par l’administration française a un très grand mérite : celui d’avoir un contenu politique qui peut être critiqué. Des mots qui signalent incontestablement une réflexion politique se retrouvent même directement dans le communiqué : « données et applications sensibles », « souveraineté numérique de l’État », « maîtrise de ses données ». Il y en a bien sûr encore plus dans la circulaire du 8 novembre 20188 qui est venue préciser la « doctrine d’utilisation de l’informatique en nuage par l’État ».
FACiL souhaite vivement que la vision que le nouveau ministre aura de son propre rôle ne se limite pas à des considérations, bien sûr importantes, comme l’efficacité, l’optimisation et la saine gestion des fonds publics, mais soit élargie et devienne véritablement politique. Se poser des questions d’ordre éthique et politique n’est pas une option lorsqu’on est député et ministre.
Dans ce long article, nous allons explorer quelques-unes des questions qu’il faut se poser et auxquelles il faut tâcher de répondre dans l’établissement d’une politique sur l’utilisation de l’infonuagique par l’État. Des questions auxquelles un ministre délégué à la Transformation numérique gouvernementale doit forcément donner des réponses claires.
1. Qu’est-ce que l’infonuagique, quelle est son origine et comment en évaluer la pertinence ?
Éclaircissons d’abord de quoi l’on parle lorsqu’on dit « infonuagique » (cloud computing) en général et ce qu’il en est plus précisément des offres commerciales de l’infonuagique dite publique. Voyons ensuite son origine et comment l’évaluer sur le plan politique et dans la perspective de son utilisation par le secteur public.
L’infonuagique renvoie d’abord à tout un ensemble de technologies (virtualisation, conteneurisation, calcul et stockage distribué, etc.) et de pratiques associées qui permettent d’automatiser la mise à disposition, sous forme de services en ligne, de vastes quantités de ressources informatiques dans des délais toujours plus courts et à des coûts toujours plus bas. L’abondance de puissance de calcul, de quantité de mémoire, de capacité de stockage, de débit du réseau donne l’illusion de ressources dématérialisées, accessibles de partout depuis Internet, d’où l’analogie avec les nuages.
Dans le jargon qui circule le plus, on distingue quatre stratégies de déploiement et trois catégories d’offres de services infonuagiques.
Lorsqu’une organisation est la seule utilisatrice d’une infrastructure infonuagique complète, qu’elle opère et héberge elle-même en partie ou en totalité, on parle d’un nuage privé. Si un ensemble d’organisations s’offre une infrastructure infonuagique, on parle d’un nuage communautaire. Le nuage est dit public lorsqu’il est opéré par un fournisseur qui l’ouvre à des clients. On dit qu’un nuage est hybride lorsqu’il fait interagir une diversité de stratégies de déploiement et on parle d’une approche multinuagique de la part des clients lorsqu’ils ont recours aux nuages d’une diversité de fournisseurs.
Les ressources offertes sous forme de services en ligne9 sont de l’ordre des infrastructures (serveurs, serveurs virtualisés, stockage, réseau), des plateformes (systèmes d’exploitation, bases de données, outils de développement) ou des applications. Dans le jargon de mise en marché de la langue anglaise, la première est dite Infrastructure as a Service (IaaS), la seconde Platform as a Service (PaaS) et la troisième Software as a Service (SaaS). Ces services sont en quelque sorte des couches logicielles qui s’empilent, donc lorsqu’on est utilisateur d’une application en SaaS, on délègue à un tiers externe (un fournisseur d’infonuagique publique) la gestion de l’application elle-même, mais aussi la plateforme et l’infrastructure sous-jacentes. C’est ainsi que se présente l’offre commerciale d’infonuagique publique : on gère pour vous vos applications et vos données et/ou vos plateformes et/ou vos infrastructures, selon vos besoins.
L’origine de la tendance contemporaine vers l’infonuagique peut être retracée au tournant des années 2000, alors que la multinationale de commerce en ligne Amazon, qui a survécu presque seule à l’explosion de la bulle spéculative du dot-com, est en crise de croissance. Les besoins en infrastructures informatiques étaient très grands et coûteux et le rythme de leur déploiement ne suivait pas les besoins des développeurs d’applications web – ceux d’Amazon et ceux de leurs partenaires et affiliés (tous ceux qui vendent sur la plateforme de commerce en ligne d’Amazon outre Amazon elle-même). Les projets de développement étaient en retard, car chacun de son côté tout le monde passait beaucoup trop de temps à gérer des infrastructures et monter des plateformes au lieu de développer des applications. On a donc eu la bonne idée de développer en interne l’expertise qui permettrait d’offrir, à destination des développeurs d’applications, une plateforme de développement sous forme de services web accessibles via des interfaces de programmation standardisées. Soulignons qu’une telle internalisation d’expertise était possible, car les logiciels libres de haute qualité abondent, côté client comme serveur, pour tout ce qui gravite autour du Web, un protocole libre et ouvert10. La montée en compétence des ingénieurs d’Amazon n’était donc freinée par aucun obstacle juridique : droit d’auteur, brevet, secret commercial, marque de commerce, etc.
Libérés des tracas relatifs à la bonne gestion des ressources, des infrastructures, et travaillant sur une plateforme commune, les développeurs d’applications d’Amazon pouvaient enfin avancer à leur rythme. Ce qui n’était au départ, vers 2002, qu’une plateforme ouverte aux partenaires et aux affiliés permettant de tirer des revenus modestes s’est révélé être un créneau lucratif. Quatre ans plus tard, en 2006, les trois premiers services web d’Amazon sont lancés commercialement : serveurs virtuels, espace de stockage, bases de données. Voilà tout l’art de transformer des dépenses en investissements, puis en revenus, puis en profits. Les autres géants du numérique n’ont pas eu le choix que de faire du rattrapage (Google en 2008, Microsoft en 2009, etc.) sur un nouveau marché entièrement défini par le précédent des Amazon Web Services (AWS).
On ne pourra pas dire, connaissant ces faits, qu’internaliser son expertise en infrastructures et plateformes numériques aura été désavantageux pour Amazon…
On aurait également tort de penser que seules des multinationales de la taille d’Amazon peuvent monter leurs propres infrastructures et plateformes automatisables, comme il le sera montré par un exemple concret dans la prochaine partie du présent article11.
Qu’est-ce donc au final que l’infonuagique publique des Amazon, Microsoft, Google et compagnie quand on l’analyse de manière critique et en des termes politiques ? C’est la virtualisation, la conteneurisation, le calcul et le stockage distribués sur Internet, c’est-à-dire pour l’essentiel des technologies libres pleines de bonnes promesses, mais qui ont été confisquées par de très grandes entreprises qui ont le pouvoir d’embaucher des armées d’ingénieurs et de devancer tout le monde. C’est le pouvoir économique des grands groupes organisés qui essaye de planter un nouveau périmètre de propriété privée exclusive sur des ressources mutualisées qui, avec d’autres modèles économiques, pourraient nous appartenir en commun, pour l’avantage et l’enrichissement du plus grand nombre, et pour des usages moins contestables que la surveillance généralisée des comportements des internautes12.
Depuis les révélations de Snowden à l’été 2013, il est clair pour tous les gens renseignés que le problème numéro un d’Internet est celui de la centralisation (infrastructures, équipements, données, expertise) et de ses conséquences néfastes sur nos droits fondamentaux et sur la redistribution du pouvoir, de la connaissance et de la richesse. Si les logiciels libres, les services décentralisés et distribués et le chiffrement de bout en bout font nécessairement partie de la solution à ce problème, leur adoption massive par les internautes n’est pas écrite dans le ciel et comme partout ailleurs il faudra accepter de se battre sur les terrains politique, social, économique et culturel pour gagner. Avec des politiques conséquentes, les États et les administrations publiques peuvent jouer un rôle important dans toutes les batailles en cours et à venir pour que la confiscation évoquée plus haut ne devienne pas permanente.
Sachant un peu mieux ce qu’est l’infonuagique (privée, communautaire, publique ou hybride), comment évaluer la pertinence de son recours par le secteur public ? Posons-nous les questions pertinentes que M. Caire et Dubé auraient dû se poser avant d’effectuer des annonces publiques et tâchons d’y répondre sommairement. Nous évaluerons plus concrètement quelques-unes de ces questions dans les prochaines parties de cet article avant de conclure.
Économie. Contre le phénomène de la concentration de l’expertise numérique au profit de quelques grandes multinationales, comment l’État québécois peut-il agir ? Dans quelle mesure faut-il internaliser ou externaliser ? De quoi doit-on absolument demeurer propriétaire pour éviter les pièges de la dépendance à de grands fournisseurs externes ? Ces questions se posent dans le secteur public comme dans le secteur privé. Il y a une réelle pénurie de main-d’œuvre dans les industries du numérique. L’État ne peut-il pas investir massivement dans la formation professionnelle en numérique ? On sait que les femmes sont fortement sous-représentées dans ces métiers. L’État ne doit-il pas être lui-même exemplaire en choisissant de développer sa propre expertise numérique en infrastructures, plateformes et applications ? Ne peut-il pas mutualiser l’usage de cette expertise avec l’ensemble du secteur public québécois et même au-delà ? Ne peut-il pas se doter d’une politique visant à démocratiser plus largement l’accès à l’expertise numérique de pointe pour l’ensemble de la société ? Des formations en ligne ouvertes à tous et à toutes pour les métiers du numérique ne sont-elles pas à considérer face à la pénurie de main-d’œuvre ? Les grandes entreprises d’infonuagique qui s’enregistrent dans les paradis fiscaux (Irlande, Luxembourg) doivent-elles être considérées comme si de rien n’était ? N’y a-t-il pas plutôt lieu de faire respecter l’esprit et la lettre de la politique québécoise sur les marchés publics en mettant en concurrence de petites, moyennes et grandes entreprises qui payent toutes leurs impôts au Québec ?
Souveraineté numérique. Comment réagir intelligemment contre la perte de souveraineté numérique de l’État québécois et plus généralement contre la perte de contrôle des Québécois sur leurs données et leurs applications ? Comment favoriser l’émergence de fournisseurs de services infonuagiques nationaux ? Faut-il que le Québec se dote de normes de sécurité supérieures à celles proposées par l’ISO pour les fournisseurs d’infonuagiques ? À l’instar de plusieurs pays, notamment en Europe, doit-on inscrire dans la loi la nécessité d’héberger et de traiter les données du secteur public dans des centres de données situés en sol québécois ? Quelle stratégie adopter pour favoriser l’hébergement et le traitement de nos données en sol québécois dans le secteur privé ?
Sécurité et vie privée. Que peut-il être fait pour améliorer globalement la cybersécurité dans la société québécoise ? Les grands fournisseurs d’infonuagique publique se vantent d’être les mieux placés pour résister aux attaques massives : est-ce bien le cas ? Comment mettre à jour le cadre juridique concernant l’hébergement et le traitement des données personnelles des Québécois ? Le Québec doit-il remodeler ses politiques et ses lois en la matière en s’inspirant du Règlement général sur la protection des données (RGPD) de l’Europe qui introduit plusieurs nouveaux droits, notamment un droit à la portabilité des données des internautes ? Quelle stratégie adopter pour soutenir concrètement le mouvement international qui veut « réparer » Internet en le redécentralisant ?
Environnement. S’il est vrai que certains des centres de données les plus récents sont très optimisés en fait de consommation d’électricité et qu’au Québec par exemple cette électricité provient de la force hydraulique et non du charbon, du gaz ou du nucléaire, la promesse d’une abondance quasi illimitée de ressources (puissance de calcul, quantité de mémoire, capacité de stockage, débit du réseau) disponibles sur demande, à des tarifs toujours plus bas, qui est au cœur des offres commerciales d’infonuagique publique, n’est-elle pas un problème écologique en soi ? Le développement de l’infonuagique a beaucoup à voir avec l’émergence des mégadonnées dont l’un des principaux usages est l’analyse comportementale des internautes par les GAFAM qui revendent des données et/ou des services exploitant ces données à des entreprises qui, de leur côté, espèrent vendre toujours plus de produits et de services sur les marchés mondialisés grâce à des publicités toujours mieux ciblées. L’infonuagique est loin d’être au service de la transition écologique quand on l’analyse sous cet angle. L’abondance de l’eau potable au Québec fait de nous de très grands gaspilleurs de cet or bleu : en sera-t-il de même des ressources informatiques maintenant vendues comme des objets dématérialisés ? Les fournisseurs d’infonuagiques ont certes intérêt à bâtir des centres de données qui consomment peu d’électricité, mais ils alimentent aussi la production toujours plus massive de nouveaux équipements informatiques toujours plus puissants. Les gains d’efficience énergétique des centres de données dernier cri annulent-ils l’impact désastreux de l’obsolescence très rapide des équipements qui sont très polluants à fabriquer ? On a de bonnes raisons d’en douter. En réfléchissant, on constate que réduire la collecte abusive, le stockage massif et le traitement des mégadonnées de profilage et de pistage des internautes ne serait pas simplement bon pour la santé de la démocratie, mais pour celle de la Terre également.
Ailleurs dans le monde. Y a-t-il des États qui ont une politique de recours prioritaire à l’infonuagique publique ? Qu’en est-il dans les faits des stratégies de déploiement (privé, communautaire, publique ou hybride) dans le secteur public ? Peut-on citer d’importants succès ou d’importants échecs d’adoption de l’infonuagique par des États ? Il y a-t-il des leçons à tirer des réussites et des ratés des États qui sont en avance sur nous ? Qu’en est-il du recours aux différents services commerciaux d’infonuagique (infrastructures, plateformes, applications) dans le monde ?
2. L’État québécois est-il assez gros pour maîtriser ses systèmes numériques ?
S’il est peut-être dans l’ordre des choses que toutes les organisations (en particulier les petites) ne disposent pas d’une forte expertise interne en informatique, il ne l’est pas qu’un tout petit nombre de grandes entreprises en confisquent la plus grande part au détriment du reste de la planète. Les États et les villes peuvent agir pour démocratiser l’accès à cette expertise de plusieurs manières, notamment en investissant massivement dans la formation professionnelle pour contrer la pénurie de main-d’œuvre, en étant exemplaires côté expertise interne, en montant des appels d’offres publics qui mettront en concurrence des fournisseurs externes qui ne seront pas que de grandes multinationales, etc.
Quel niveau d’expertise interne est requis pour les États ? L’échelle de l’État québécois est-elle suffisamment grande pour espérer que son service public numérique maîtrise en interne l’ensemble des couches logicielles de ses systèmes informatiques essentiels ?
Commençons par établir qu’il existe naturellement, d’un côté, une taille d’organisation en dessous de laquelle il n’est pas réaliste d’espérer internaliser l’essentiel de son informatique faute de moyens adéquats et, de l’autre, une taille qui permet de se rapprocher du genre d’économies d’échelle que les géants de l’infonuagique exploitent à leur avantage, voire de le dépasser.
Rappelons ensuite que les budgets de dépenses et d’investissements en TI de l’État du Québec sont estimés à plus de 3 milliards de dollars par année. Ces budgets ont servi à rémunérer près de 8 500 personnes (internes et externes) selon le portrait de la main-d’œuvre de 201713. La plus grosse part de cette force de travail est occupée à l’entretien et à l’exploitation des systèmes existants.
Un cas d’étude intéressant pour tâcher de répondre à la question de l’échelle est celui de la Fondation Wikimedia, qui finance l’encyclopédie libre Wikipédia (cinquième site le plus visité au monde) et une dizaine d’autres projets wiki internationaux. Les serveurs de production de la Fondation traitent des quantités pharaoniques de transactions chaque mois : on parle de ~16 milliards de pages vues par des visiteurs et ~35 millions de contributions par des éditeurs. Outre ses serveurs de production, la Fondation finance l’accès gratuit à ses propres services infonuagiques libres (les Wikimedia Cloud Services) à quiconque souhaite faire des contributions techniques aux nombreux projets de logiciel qu’elle héberge. La Fondation a internalisé le développement, la maintenance, la sécurité et l’opération de ses infrastructures, plateformes et applications, qui sont par ailleurs entièrement constitués de logiciels libres14.
Avec quelles ressources la Fondation accomplit-elle cet exploit ? La réponse surprendra peut-être.
En 2016-2017, c’est d’un budget total de dépenses de ~70 millions de dollars américains et d’une équipe de 300 employés et contractuels dont la Fondation disposait15. Environ 43 % de ce budget était consacré à la technologie et l’équipe qui en est responsable comptait quelque 115 personnes.
Lorsqu’on connaît ces faits, il est difficile de douter de la possibilité pour l’État québécois de se rendre globalement maître de l’essentiel de ses infrastructures, plateformes, applications et données.
Certes, le service public numérique d’une population comme celle du Québec (~8 millions d’habitants) ne recevra jamais des milliards de requêtes de partout à travers le monde, mais il devra évidemment offrir en parallèle une bien plus grande diversité de services numériques, parfois très complexes, non seulement à destination du public, mais également pour répondre aux besoins internes de l’administration publique. Il devra aussi composer pendant encore des années avec le passif de vieux systèmes désuets, principalement composés de logiciels non libres.
L’exemple de la Wikimedia Foundation ci-haut ne sert pas à comparer des offres de services numériques qui ne sont pas comparables : il sert à illustrer l’évidente possibilité, même pour un organisme sans but lucratif bien plus petit qu’un État fédéré comme le Québec, de monter une infrastructure de haute performance et de haute disponibilité de classe mondiale en conservant à l’interne le contrôle sur le maximum de couches logicielles. Dans le cas de la Fondation, ces couches logicielles reposent au final sur des serveurs physiques bon marché hébergés en colocation dans des centres de données ordinaires. En participant à fond à plusieurs communautés de logiciels libres, la Fondation évite de devoir produire, maintenir, améliorer et sécuriser tout le code source des logiciels dont dépendent ses systèmes : elle externalise donc en réalité beaucoup de travail, mais il s’agit d’un travail qui se fait publiquement, dans la transparence, et véritablement en commun avec toutes sortes d’autres organisations petites, moyennes ou grandes, privées ou publiques, partout à travers le monde. Entre ce type d’externalisation et celui qui nous rend dépendants de la technologie qui appartient de manière exclusive à une entreprise comme Amazon, Microsoft, Google, IBM ou Oracle, c’est le jour et la nuit.
Il n’est donc à l’évidence pas vrai que la seule ou la meilleure façon de faire des économies d’échelle et d’améliorer la sécurité de ses systèmes soit d’abandonner la maîtrise de ses infrastructures, de ses plateformes ou de ses applications aux grands fournisseurs commerciaux d’infonuagique publique. Disposer d’une expertise interne en ces matières est extrêmement avantageux, voire nécessaire dans la longue durée pour tout organisme d’une taille suffisante : c’est évidemment le cas lorsqu’on parle d’une grande organisation comme un État ou une ville d’importance. C’est doublement vrai lorsqu’on parle d’une organisation qui développe ses propres services en ligne non génériques à destination du public, comme c’est le cas pour le Québec.
Parlant d’économies d’échelle, une étude d’octobre 2016 de 451 Research16 montre que le seul véritable avantage de l’infonuagique publique vis-à-vis de l’infonuagique privée ou communautaire disparaît lorsque le service numérique d’une organisation ou d’un regroupement d’organisations atteint une efficience productive de l’ordre de 400 machines virtuelles gérées par ingénieur17. C’est ce qu’ont compris beaucoup d’organisations, dont notamment Dropbox qui a quitté les Amazon Web Services (AWS) pour sa propre infrastructure en mars 201618. D’autres estimations moins conservatrices font descendre la barrière à 200 ou 100 machines virtuelles par ingénieur.
Dans la prochaine partie de cet article, nous traiterons de quelques aspects de la souveraineté numérique, de la cybersécurité et de la protection de la vie privée des citoyens.
3. L’État québécois peut-il défendre sa souveraineté numérique, assurer la sécurité de ses systèmes informatiques et aider les citoyens à protéger leur vie privée ?
Dans un mémoire19 présenté devant la Commission des institutions le 3 septembre 2015, FACiL écrivait la chose suivante concernant la souveraineté numérique :
Si l’on pense principalement à la protection des renseignements personnels des citoyens et citoyennes, l’État devrait au minimum :
- s’assurer de détenir la propriété des appareils qui opèrent le traitement de l’information (contrôle physique) ;
- conserver à l’interne l’expertise de la gestion, de l’administration, du développement et de l’opération de tous ses systèmes (contrôle logique et administratif) ;
- exiger que ses centres de données et autres serveurs soient majoritairement situés en sol québécois (contrôle législatif) ;
- collecter et conserver le moins de renseignements personnels possible (pas de pistage et de profilage des internautes).
Toujours pertinentes en 2019, ces considérations étaient, nous le savions bien, loin d’épuiser la question20. Suite aux révélations d’Edward Snowden à l’été 2013, de nombreuses actions visant à défendre la souveraineté numérique des États ont été entreprises, notamment en Europe, en même temps que des citoyens exigeaient la réforme des lois et des institutions censées protéger nos droits fondamentaux. Parallèlement, de nombreuses actions ont été entreprises dans les milieux des hackeurs et des libristes (voir glossaire) afin de « réparer » Internet par la redécentralisation de ses applications et la promotion du chiffrement de bout en bout des données des internautes.
Au moment de l’affaire Snowden, Amazon, Microsoft et Google offraient tranquillement leurs services infonuagiques aux Européens à partir des paradis fiscaux que sont l’Irlande ou le Luxembourg et à partir de centres de données pouvant être situés aux États-Unis. Comment ont réagi l’Union européenne et ses membres ? Comment ont réagi les grands fournisseurs d’infonuagique publique ?
Regardons d’abord l’Union européenne avant de s’attarder aux cas particuliers de l’Allemagne et de la France.
Outre l’établissement d’une paix durable entre nations trop souvent en guerre, la raison peut-être la plus fondamentale de la constitution de l’Union européenne a été la volonté des Français, des Allemands (de l’Ouest) et des Britanniques (avant le Brexit), de construire un espace politique et économique capable de rivaliser avec les grandes puissances américaine et soviétique. La politique européenne sur le « Marché intérieur numérique » (European Single Market) qui remonte à 2015 vise explicitement à favoriser l’émergence de leaders européens capables de rivaliser avec les géants de la Silicon Valley américaine. Si l’affaire Snowden n’a pas eu pour effet d’amener l’Europe à sanctionner les États-Unis, la plupart des États membres étant eux-mêmes des Little Brothers au service de Big Brother, elle a par contre eu pour effet d’encourager le développement de politiques nationales et européennes sur le numérique prétendument en phase avec les « valeurs » des Européens. Ainsi, la définition d’un vivre-ensemble numérique plus humain et respectueux des droits fondamentaux est-elle venue au renfort d’une stratégie de différenciation de l’offre marchande européenne.
En octobre 2015, la Cour de justice de l’Union européenne invalidait l’accord dit Safe Harbour permettant de transférer légalement des données personnelles de l’Europe vers les États-Unis. L’enjeu principal de la cause entendue (contre Facebook) était l’impossibilité pour un citoyen européen d’obtenir un recours judiciaire aux États-Unis. Cet accord a été remplacé en juillet 2016 par un autre, surnommé le EU-US Privacy Shield, qui est entré en vigueur immédiatement. Ce n’était évidemment qu’un pansement temporaire sur un problème critique. La réponse la plus complète de l’Europe se trouve dans le Règlement général sur la protection des données (RGPD) adopté quelques mois plus tôt, en avril 2016, qui introduit notamment un droit à la portabilité des données des internautes. Rappelons que l’objectif visé par ce droit est double : 1) aider les citoyens à reprendre le contrôle sur leurs données et 2) stimuler la concurrence entre les responsables de traitement de données. Pendant les deux ans entre l’adoption du RGPD et son entrée en vigueur en mai 2018, beaucoup d’entreprises se sont affairées à modifier le fonctionnement et les conditions d’utilisation de leurs services en ligne pour tâcher de se conformer, mais il y a loin de la coupe aux lèvres. Il est clair que les entreprises européennes ont plus de chance de se démarquer sur le marché de l’Europe dans le cadre du RGPD21.
Encore aujourd’hui en février 2019, de nombreux sites et services en ligne américains ou autres ne sont pas accessibles aux Européens, car ils ne sont pas conformes aux exigences de la loi. L’entrée en vigueur du nouveau règlement a aussi signalé (via l’article 77) le « droit d’introduire une réclamation auprès d’une autorité de contrôle », droit dont s’est notamment prévalue en France La Quadrature du Net pour attaquer les GAFAM en justice au nom de 12 000 personnes22. En janvier 2019, des sanctions étaient déjà tombées contre Google et d’autres étaient à prévoir23. Il ne faudrait pas se réjouir trop vite : l’adoption par les États-Unis du Clarifying Lawful Overseas Use of Data (CLOUD) Act en mars 2018 (camouflé dans un projet de loi omnibus de 2 323 pages) nous indique clairement que la bataille pour la souveraineté numérique n’est pas terminée. Avec cette loi, les Américains vont plus loin que jamais dans l’affirmation d’un pouvoir unilatéral qui ne reconnaît aucune frontière géographique24.
Regardons maintenant quelques aspects du cas allemand. En octobre 2014, Amazon annonçait l’ouverture de plusieurs centres de données à Frankfurt afin de se conformer pleinement à la législation allemande (réputée sévère) en matière de protection de la vie privée. En novembre 2015, Microsoft annonçait de son côté la disponibilité dès 2016 de ses services infonuagiques (Azure, Office 365, etc.) aux Allemands en partenariat avec T-Systems, une filiale de Deutsche Telekom, agissant comme fiduciaire des données de ses clients en sol allemand25. Quoiqu’innovant et astucieux, ce partenariat n’aura duré que 2 ans26. Aujourd’hui, à l’ère post RGPD, Microsoft et les autres grands fournisseurs d’infonuagique prétendent tous offrir des services conformes à la loi et, sur demande des clients, exclusivement à partir de centres de données situés en Allemagne. À l’image de ce que font souvent les grandes multinationales, Amazon et compagnie jouent plusieurs parties à la fois : elles vantent leur conformité aux lois sévères de l’Allemagne, s’en servent même comme d’un argument de vente pour attirer dans leurs installations allemandes des clients internationaux, pendant qu’elles rémunèrent des légions de lobbyistes pour défaire les lois nationales sur la résidence géographique des données, qui menacent évidemment de donner une chance aux plus « petits » fournisseurs d’infonuagique de concurrencer les « gros27 ». L’État fédéral allemand a légiféré sur le recours à l’infonuagique du secteur public en 2015 : les grands fournisseurs d’infonuagique publique ont été globalement rejetés. Le ITZBund, qui est responsable des services numériques pour toute l’administration publique fédérale, a choisi de construire son propre nuage privé (le Bundes Cloud), de donner la priorité aux logiciels libres, d’héberger et de traiter toutes les données sensibles en territoire allemand28 et de ne recourir qu’à des fournisseurs externes capables de se conformer aux exigences du catalogue C5 du Bundesamt für Sicherheit in der Informationstechnikle (BSI), l’agence nationale de sécurité informatique, et prêts à signer un accord de confidentialité interdisant explicitement l’accès aux données par des juridictions étrangères29. En 2018, le ITZBund préférait NextCloud, une plateforme sécurisée de partage de fichiers et de collaboration entièrement faite de logiciels libres, aux solutions concurrentes des GAFAM30. La stratégie nationale sur le numérique 2016-2025 accorde une grande importance à la sécurité des données et à l’« autonomie informationnelle » des citoyens allemands31.
Ce n’est pas tout ce qu’il y a à dire à propos de l’Allemagne, mais ça donne une idée du sérieux avec lequel les enjeux de souveraineté ont été traités dans ce pays, qui est souvent préféré à d’autres pays européens pour la protection de la vie privée.
Voyons la France maintenant. Même avant Snowden, la souveraineté numérique a été beaucoup agitée dans ce pays. En 2009, le premier ministre François Filion rêvait d’un « cloud souverain » capable de concurrencer en France et en Europe les géants nord-américains. C’est sous le nom de code « Andromède » que le gouvernement allait de l’avant avec ce projet en 2011. C’est finalement deux fournisseurs au lieu d’un seul, Cloudwatt et Numergy, qui se lanceront dans le commerce en 2012 avec l’aide d’une subvention de quelque 150 millions d’euros. Deux ou trois ans plus tard, c’était le constat d’échec : la demande n’était apparemment pas encore au rendez-vous32 !nbsp;! En septembre 2014, le « développement d’une filière du cloud français et européen pour renforcer notre souveraineté numérique sur les données personnelles, tout en dynamisant la compétitivité de nos entreprises » était toujours un objectif du gouvernement dans le cadre des 34 plans de « reconquête » du programme intitulé La Nouvelle France industrielle33. Pour faire oublier le gaspillage en subvention publique du projet Andromède, une dizaine de mesures visant « à accroître la confiance envers ses solutions [infonuagiques], grâce notamment à la création d’un label » et à promouvoir une réglementation européenne plus protectrice. C’est sous le nom « SecNumCloud34 » qu’est apparu, en décembre 2016, le nouveau référentiel de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) applicable aux prestataires de services infonuagiques. Inspiré de la norme ISO 27017, mais plus sévère qu’elle, il est comparable au catalogue C5 de son homologue allemand le BSI. La qualification pour l’un ou l’autre par des prestataires permet d’utiliser le label European Secure Cloud (ESCloud)35. Le référentiel français a été mis à jour en 2018 suite à l’entrée en vigueur du RGPD. Il est trop tôt pour dire si ces actions produiront des effets conséquents36.
On voit que, de manière générale dans l’Union européenne, on a répondu à l’enjeu de la souveraineté numérique en tentant de favoriser l’émergence de fournisseurs de services infonuagiques nationaux, en mettant à jour le cadre juridique concernant l’hébergement et le traitement des données et en se donnant des normes de sécurité supérieures à celles proposées à l’international par l’ISO37.
La cybersécurité et la vie privée interviennent naturellement dès qu’on parle d’infonuagique ou de souveraineté numérique. Glissons maintenant quelques mots sur ces deux enjeux connexes.
Les fournisseurs d’infonuagique publique vantent naturellement leurs compétences supérieures en sécurité. Qu’en est-il vraiment ? Vaste question à laquelle nous ne pourrons répondre que très partiellement dans le cadre de cet article.
Règle générale, à moins qu’une organisation se reconnaisse elle-même comme ultra-incompétente et incapable de le devenir un jour (par exemple en raison de sa taille), il n’y a aucune bonne raison pour elle de faire confiance à la parole d’un fournisseur tiers quel qu’il soit pour assurer la sécurité de ses propres données. Pour accepter de faire confiance à un tiers, quel qu’il soit, il faut non seulement des garanties techniques et juridiques solides, mais aussi une stratégie de reprise de contrôle dans les cas où la confiance est rompue ou simplement si on a trouvé mieux ailleurs.
La plus haute garantie technique actuelle est le chiffrement des données de bout en bout. Les données chiffrées de la sorte peuvent transiter sur Internet et être stockées au fond n’importe où, même chez un fournisseur d’infonuagique publique, car vous êtes le seul à pouvoir les déchiffrer grâce à votre propre clé privée38. La généralisation de ce type de chiffrement est malheureusement problématique pour à peu près tous les services applicatifs qui effectuent du traitement de données côté serveur : ce n’est donc pas ce type de chiffrement qui est préféré par les fournisseurs d’applications et de plateformes. C’est encore moins le cas pour les plateformes et applications « gratuites » dont les modèles d’affaires reposent sur la captation et la valorisation marchande des données. Dès que le chiffrement de bout en bout n’est pas praticable, il faut accepter de faire confiance à un tiers qui a possiblement la capacité technique de lire, copier et manipuler vos données dans ses propres systèmes avec ou sans votre consentement39. C’est déjà un pas en avant lorsque ledit tiers n’a pas intérêt à le faire en vertu de son modèle d’affaires. C’en est un autre lorsque les lois et les contrats protègent adéquatement les clients. Mais les humains sont corruptibles et les systèmes informatiques sont faillibles, donc la sécurité est toujours un enjeu même face à un fournisseur exemplaire.
Là où les grands fournisseurs d’infonuagique publique ont peut-être le plus raison de se vanter, c’est lorsqu’ils parlent de cybersécurité face à des attaques massives perpétrées par des vilains travaillant pour leur propre compte ou pour des tiers, qui peuvent être des États ou des entreprises qui s’adonnent à de l’espionnage industriel. Cet argument est surtout vrai lorsqu’on compare les mégas installations des principaux fournisseurs d’infonuagique publique avec de simples salles des serveurs sur site (on premise) ou de petits centres de données, comme les fameux 457 centres de traitement informatique (CTI) de l’État québécois que le ministre Caire veut consolider (ce qui est très souhaitable).
L’argument est néanmoins fallacieux à double titre.
Premièrement, les fournisseurs d’infonuagique publique ne sont pas les seuls à disposer d’une forte expertise en sécurité : les fournisseurs d’infonuagique privée, communautaire ou hybride ne sont pas en reste et il existe de plus en plus d’entreprises et de professionnels indépendants dans ce secteur en forte croissance. La mise en commun d’expertise est également possible en la matière : c’est déjà le cas dans le secteur privé québécois avec le collectif CyberEco de Desjardins, Banque Nationale, Deloitte et Groupe THEA40.
Deuxièmement, et d’une manière beaucoup plus importante, les grands hébergeurs de données et d’applications en ligne doivent forcément s’armer jusqu’aux dents contre les attaques massives précisément parce qu’ils centralisent Internet et offrent des cibles de choix aux attaquants !nbsp;! Lorsqu’on peut espérer accéder aux informations de 200 000 clients d’un coup, le jeu en vaut la chandelle. Par contre si les informations des mêmes 200 000 clients sont éparpillées dans différents systèmes (carrément à la maison, sur nos appareils, ou chez un fournisseur local de confiance, à but lucratif ou sans but lucratif, de petite ou de moyenne taille) ou carrément distribuées dans le réseau et protégées par du chiffrement de bout en bout, les cibles deviennent diffuses et l’attaque massive devient bien moins praticable ou carrément impraticable.
Conclusion : professionnaliser la cybersécurité dans tous les milieux de la société est plus intelligent que déménager tous en masse dans les installations centralisées les plus attaquées du monde sous prétexte que leurs fortifications sont les plus hautes. La cybersécurité n’est pas simple, elle l’est encore moins dans les environnements infonuagiques41, et nous devrons accepter de tous faire notre part pour améliorer la situation actuelle, qui est proprement désastreuse avec des fuites massives de données sensibles et moins sensibles annoncées chaque semaine.
Vie privée. Dans les milieux des hackeurs et des libristes, on est pas trop optimiste face à la capacité des sociétés démocratiques actuelles de produire un droit capable de suivre les changements sociaux rapides qu’entraîne l’informatique, surtout dans un contexte où il faut se battre à la fois contre l’État sécuritaire et les plus puissantes multinationales que le monde ait jamais connues. Beaucoup se sentent plus utiles et compétents sur le terrain de la réponse technologique, qui doit nécessairement accompagner la réponse politique à la centralisation et à la surveillance de masse qu’elle facilite. Ainsi, de nombreuses initiatives visant à « réparer » Internet sont apparues depuis l’été 2013.
On peut citer en exemple nul autre que l’inventeur du Web, le britannique Tim Berners Lee, qui se consacre depuis 2015 à un projet nommé Solid, dont l’objectif est de redécentraliser son invention, qu’il considère à la dérive depuis que les GAFAM ont réussi à organiser une terrifiante centralisation organisationnelle et même sociale des usages d’Internet sur les fondations pourtant techniquement décentralisées d’Internet. Ce projet, comme tous les autres projets de redécentralisation du genre, mise par principe sur les logiciels libres, les normes et les standards libres et ouverts, la démocratisation de la cryptographie forte et ultimement la reprise de contrôle par les citoyens et citoyennes de leurs données et de leurs identités numériques. Le calcul et le stockage distribués qui sont au cœur de l’infonuagique (comme nous l’avons vu plus haut) servent ici une autre fin, plus compatible avec nos libertés individuelles et collectives. Ces initiatives sont pour l’heure à la marge, mais elles sont peut-être promises à un bel avenir dans le contexte de l’entrée en vigueur en Europe du RGPD, qui crée, comme nous l’avons indiqué précédemment, un droit à la portabilité des données. Par le Consumer Privacy Act voté à l’été 2018, la Californie s’est engagée dans le même sens que l’Europe sur la question du contrôle par les citoyens des usages de leurs données. Que fera le Québec ?
Les différents organismes du secteur public sont évidemment consommateurs de produits et de services numériques. Partout sur Terre, ils peuvent être amenés à entrer trop fortement dans la dépendance quotidienne des GAFAM comme le sont déjà la plupart de citoyens, en particulier en Amérique du Nord. Au Québec, comme partout ailleurs, une nouvelle génération de politiques publiques relatives au numérique doit voir le jour pour non seulement mettre fin à la surveillance de masse, réduire considérablement la collecte des données permettant le pistage et le profilage, mais aussi soutenir concrètement le mouvement qui veut réparer Internet en le redécentralisant.
Dans la partie suivante de cet article, nous traiterons de ce qui se fait ailleurs dans le monde en fait de recours à l’infonuagique publique dans le secteur public.
4. Ce qui se fait déjà ailleurs dans le monde
L’État québécois n’est pas le premier État à parler d’un recours prioritaire à l’infonuagique publique. C’est effectivement, comme l’affirme le ministre Caire, une tendance mondiale, mais ce n’est pas la seule. Il y a d’un côté une tendance forte à l’infonuagique privée, communautaire et hybride, et de l’autre, comme nous l’avons montré dans la section précédente, une tendance radicalement contraire à la redécentralisation (et même à la pure distribution via le pair-à-pair) du traitement et du stockage de données sur Internet.
Comment se font les choses chez les États qui sont en avance sur le Québec ? Prenons pour exemples la France, le Royaume-Uni et le Canada (niveau fédéral)42.
France. Nous l’avons indiqué en introduction, la République française, par la bouche de Mounir Mahjoubi, alors secrétaire d’État au numérique, annonçait sa stratégie en matière d’infonuagique à l’été 201843 et en précisait la doctrine dans une circulaire de novembre 2018. « L’utilisation du cloud computing, en raison du recours à des prestataires externes, implique des problématiques de maîtrise des données, de réversibilité, de sécurité informatique et de souveraineté. », résume la circulaire. Ces problématiques sont résolues en rendant « accessible aux administrations une offre hybride composée en trois cercles de solutions à utiliser en fonction de la sensibilité et du niveau de pérennité des données, des traitements ou des applications. » Le 3e cercle, qui correspond à l’infonuagique publique qui a séduit Éric Caire, ne doit être utilisé que pour « accueillir des données, des traitements et des applications peu sensibles ».
Cette approche peut sans doute être critiquée, mais elle tombe largement sous le sens. Il est par exemple plutôt inoffensif de recourir à l’infonuagique publique pour développer des logiciels et effectuer des tests de toutes sortes (déploiement, mise à jour, optimisation, assurance-qualité, recherche et développement, etc.) Dès qu’on parle de manipuler des données qui ne sont pas les véritables données de citoyens hébergés par les véritables systèmes en production, les légitimes inquiétudes relatives à la cybersécurité et à la vie privée des nuages publics s’estompent considérablement.
On pourrait également choisir de recourir à l’infonuagique publique pour décharger, temporairement, en période de pointe, les serveurs de production qui résident dans notre nuage privé. On pense ici à un réseau de livraison de contenu (Content Delivery Network). Les enjeux de sécurité et de vie privée sont alors relativement faibles si on se limite à diffuser des contenus dits statiques. Cependant, l’État québécois doit-il dépendre de tels grands réseaux planétaires ? Pour des services numériques destinés à une population concentrée sur un territoire géographique donné, on voit mal pourquoi on aurait besoin de toute la puissance de systèmes coûteux conçus d’abord pour répondre aux besoins d’entreprises en croissance qui ont des clients partout dans le monde. Pour des raisons de géographie, d’économie et de vie privée, on aura tout intérêt à décharger ses serveurs à l’aide de solutions de cache libres bien connues comme Varnish.
Quoi qu’il en soit, pour la France, le recours à l’infonuagique publique doit non seulement se limiter aux données et aux applications « peu sensibles », mais aussi demeurer périphérique et maîtrisé de telle sorte qu’on puisse revenir en arrière, changer de fournisseur ou tout rapatrier en interne au besoin.
États-Unis. L’État fédéral américain est le premier État important à adopter une approche « infonuagique d’abord » (Cloud First) en 2010-201144. C’est globalement un constat d’échec qui a été fait quelques années plus tard. Les départements et les agences de l’État ont été lents à adopter l’infonuagique et ceux qui l’ont fait ont rencontré des problèmes importants : manque de compétence interne, confusion concernant le partage des responsabilités entre les fournisseurs externes et les départements ou agences, et la découverte que pour tirer pleinement avantage de l’infonuagique, il ne suffit pas de migrer des applications existantes dans un nuage, il faut en bonne partie les réécrire à grands frais, notamment pour assurer une meilleure sécurité des données45. La nouvelle stratégie fédérale en matière d’infonuagique de 2018 abandonne ainsi le Cloud First pour le Cloud Smart46, qu’on pourrait traduire par « l’infonuagique intelligemment ». D’emblée, la politique reconnaît que toutes les applications ne sont peut-être pas susceptibles d’être déménagées immédiatement dans les gros ou petits nuages du secteur privé et que le passage à l’infonuagique implique de combler un important déficit d’expertise interne en investissant massivement dans la formation et le recrutement des jeunes talents. Aussi, on reconnaît que les offres du marché de l’infonuagique ont considérablement évoluées depuis 2010 et l’on tient compte des nombreuses solutions entièrement basées sur les logiciels libres, de la diversité des stratégies de déploiement (publique, mais également privée, communautaire ou hybride) et de l’approche multinuagique, qui consiste à éviter de s’enfermer dans les services et les produits non standards d’un seul fournisseur.
Royaume-Uni. Le Royaume-Uni avait une approche « infonuagique d’abord » (Cloud First) depuis 2013 avant de la faire évoluer en 2017 en une approche dite Cloud Native, qu’on pourrait traduire par « conçu pour l’infonuagique ». Peut-être plus encore que pour les États-Unis, l’adoption de l’infonuagique publique par le secteur public britannique s’est avérée plus lent que l’aurait voulu le Trésor de Sa Majesté. En plus des problèmes de migration cités plus haut, il faut ajouter la forte réticence des Britanniques à confier leurs données à des entreprises américaines47. D’une manière comparable à la France, le Royaume-Uni distingue des niveaux de sensibilité des données et des applications, qui sont au nombre de trois : « officiel », « secret » et « top secret ». Tout ne peut pas être balancé chez des fournisseurs externes et la manière de le faire importe pour beaucoup lorsqu’on décide de le faire !nbsp;! L’approvisionnement en services infonuagiques par le secteur public britannique passe par un cadre réglementaire nommé « G-Cloud », qui sert à approuver tous les fournisseurs de manière centralisée (notamment en fonction de critères de sécurité supérieurs aux normes internationales) et à les mettre en concurrence loyale à l’intérieur d’un « Marché numérique » (GOV. UK Digital Marketplace). Le cadre réglementaire semble produire des résultats intéressants : les statistiques de ventes mises à jour régulièrement48 montrent qu’une part importante des dépenses publiques effectuées via le Marché numérique profitent aux petites et moyennes entreprises.
Le Royaume-Uni n’abandonne pas tout à l’infonuagique ni à la simple logique du marché, qui est si facilement défaillante. Le gouvernement a mis sur pied dès 2013 un fournisseur de centre de données nommé Crown Hosting Data Centres Limited, une coentreprise qui appartient à l’État et à Ark Data Centres Limited, une entreprise privée britannique spécialisée dans la construction et la gestion de centres de données. La sécurité des installations, au-dessus des normes internationales, est assurée par des agences publiques qui relèvent ultimement de la Défense49. En 2015, le gouvernement a lancé sur le Marché numérique du secteur public sa propre plateforme (GOV. UK Platform as a Service), reproduisant en quelque sorte ce qu’Amazon a fait en 2006 avec les Amazon Web Services (AWS). Soulignons avec emphase que cette plateforme est construire sur la base de Cloud Foundry, une collection de logiciels libres qui est gérée comme une ressource commune par l’organisme sans but lucratif Cloud Foundry Foundation. Actuellement hébergée au Royaume-Uni, dans les infrastructures infonuagiques d’Amazon UK50, la plateforme gouvernementale pourrait aisément changer de fournisseur puisque Cloud Foundry ne dépend aucunement des spécificités des AWS51.
Peut-être plus important que tout ce qui précède, le Royaume-Uni a compris dès 2012 que la meilleure façon d’éviter les nombreux pièges de l’infonuagique publique est de donner la priorité aux logiciels libres et aux normes et standards libres et ouverts, comme il le fait notoirement pour les services publics numériques de gov.uk. En développant à l’interne une telle culture informatique, le secteur public britannique est plus susceptible de véritablement tirer avantage des technologies de l’infonuagique pour le bien général de la société que de simplement s’ajouter à la longue liste des clients des GAFAM qui ne sauraient pas par où commencer pour entreprendre de changer leurs fournisseurs.
Canada. L’État fédéral canadien a une stratégie d’adoption de l’infonuagique semblable à celle du Royaume-Uni depuis 201852. Cette stratégie s’inscrit dans le cadre d’un plan stratégique général (2017-2021) qui prévoit notamment la création d’un nuage communautaire du secteur public canadien (NCSPC) et l’instauration prochaine (vraisemblablement en 2019) d’une stratégie sur l’utilisation et le développement prioritaire des logiciels libres53. Le Canada se considère comme le petit frère du Royaume-Uni en matière de numérique, et regarde principalement en direction du Commonwealth et des États-Unis quand il cherche son inspiration54.
Le survol de quelques stratégies et politiques relatives au recours à l’infonuagique par la France, les États-Unis, le Royaume-Uni et le Canada montre assez les faiblesses potentielles de l’approche québécoise annoncée très sommairement le 4 février 2019. L’approche du recours prioritaire à l’infonuagique publique, qui a produit peu de résultats positifs au bout de quelques années, a été supplantée (aux États-Unis et au Royaume-Uni) par une approche beaucoup plus réaliste qui consiste principalement à augmenter l’expertise interne nécessaire pour faciliter la migration dans des environnements infonuagiques hybrides adaptés aux besoins variés et variables du secteur public et aussi accélérer le développement d’une nouvelle génération d’applications conçues pour tirer le meilleur parti de ces environnements55.
Dans la prochaine partie, nous allons tirer quelques conclusions générales concernant les options du secteur public face aux offres commerciales d’infonuagique (publique, communautaire, privé, hybride), conclusions qui pourront servir à esquisser une politique adéquate aux besoins de l’État québécois comme à ceux des autres acteurs de notre secteur public.
5. Conclusions et esquisse d’une politique
Dans cet article, nous nous sommes posé quelques-unes des questions auxquelles il faut tâcher de répondre dans l’établissement d’une politique sur l’utilisation de l’infonuagique par l’État. Des questions auxquelles un ministre délégué à la Transformation numérique gouvernementale doit forcément donner des réponses claires. On trouve rapidement en ligne toute la documentation utile à la compréhension des politiques américaine, canadienne, française et britannique sur l’utilisation de l’infonuagique, mais on ne trouve à peu près rien sur les politiques québécoises. Le ministre Caire se lance dans la transformation numérique en communiquant avec les citoyens comme s’ils étaient des consommateurs avides de services numériques « simples » et « performants ». Tout est décidé sans vraie discussion publique, sans partage d’information. On apprend dans la presse qu’il y a des projets en cours, mais ils ne sont ni expliqués ni évalués dans aucun document public substantiel.
Le débat public québécois sur les enjeux du numérique, qui est règle générale d’un niveau intellectuel plutôt navrant, progressera-t-il un peu sous les années Legault ? Nous ne le savons pas, mais nous croyons qu’il est de notre devoir de contribuer à éclairer, au mieux de nos connaissances, nos concitoyens du Québec sur ces questions importantes. À la lumière des sections précédentes de cet article, voici quelques éléments qui devraient faire partie d’une politique québécoise sur l’utilisation de l’infonuagique dans le secteur public :
Critères du secteur public. L’utilisation de l’infonuagique par le secteur public doit être pensée autrement que son utilisation par le secteur privé. Le rôle et les grandes responsabilités de l’État et de l’administration publique vis-à-vis du bien commun, de la démocratie, de la justice, de la sécurité, de l’éducation, etc., impliquent une évaluation en fonction de critères qui vont au-delà des considérations (bien sûr importantes) de l’efficacité, l’optimisation, de la saine gestion financière et de la satisfaction des « clients ». La politique relative à l’utilisation de l’infonuagique par l’État québécois n’est qu’un élément à insérer dans le cadre d’une politique globale sur le numérique qui se doit d’être ambitieuse. Cette politique globale doit viser non seulement à garantir la liberté informatique de l’État, mais aussi à favoriser celle de la nation toute entière.
Vision globale. Le problème numéro un d’Internet est celui de la centralisation (infrastructures, équipements, données, expertise) et de ses conséquences néfastes sur nos droits fondamentaux et sur la redistribution du pouvoir, de la connaissance et de la richesse. Si les logiciels libres, les services décentralisés et distribués et le chiffrement de bout en bout font nécessairement partie de la solution à ce problème, leur adoption massive n’est pas écrite dans le ciel et comme partout ailleurs il faudra accepter de se battre sur les terrains politique, social, économique et culturel pour gagner. Avec des politiques conséquentes, les États et les administrations publiques peuvent jouer un rôle important dans toutes les batailles en cours et à venir.
Bordel informatique. Une enquête publique sur l’informatique est toujours nécessaire contrairement à ce qu’en pense le ministre Caire. On ne peut pas tout ramener à de simples problèmes de collusion, de corruption ou de mauvaise gestion : il y a un grave déficit de compréhension des enjeux politiques du numérique à Québec, au gouvernement comme au Parlement. L’influence des lobbyistes des GAFAM et de leurs partenaires sur nos politiques est disproportionnée par rapport à l’influence que peuvent avoir les citoyens désintéressés, les experts indépendants ou les organismes sans but lucratif, qui ne sont motivés que par la recherche du bien commun56.
Infonuagique privée. Des économies d’échelle importantes doivent être attendues du simple regroupement des centres de données du secteur public, sans même recourir à l’infonuagique dite publique. L’État québécois est bien assez gros pour se doter d’un nuage privé sur lequel il exercera un maximum de contrôle (législatif, physique, logique, administratif). Constitué entièrement de logiciels libres et limité à des centres de données situés en sol québécois – du moins pour tout ce qui relève du traitement et du stockage de données sensibles, ce nuage pourrait être déclaré « communautaire » en l’ouvrant à d’autres organismes du secteur public québécois.
Infonuagique publique. Bien que maîtriser ses infrastructures, ses plateformes et ses applications à l’interne soit toujours avantageux dès que le budget le permet, on aurait tort de rejeter d’emblée toutes les offres d’infonuagique publique : elles sont très diversifiées, ne proviennent pas toutes de géants américains, et certaines d’entre elles, qui reposent entièrement sur les logiciels libres et les normes et standards libres et ouverts, ne comportent pas de ces verrous juridiques ou technologiques qui nous empêchent de migrer aisément d’un fournisseur à l’autre ou de tout rapatrier dans son nuage privé au besoin.
Réversibilité. En une phrase, on pourrait dire que la première condition d’entrée dans le nuage d’un tiers doit être la capacité d’en sortir aisément. On ne sort pas aisément des logiciels qu’on ne peut pas exécuter, copier, distribuer, étudier, modifier et améliorer librement, qu’ils se trouvent au niveau de l’infrastructure, de la plateforme ou de l’application. On ne sort pas plus aisément de systèmes qui produisent des données dont les formats ne sont pas libres et ouverts. Donner la priorité aux logiciels libres et aux standards libres et ouverts est la meilleure façon d’éviter les nombreux pièges de l’infonuagique publique et la seule vraie bonne façon de favoriser la mise en concurrence de plusieurs prestataires de services informatiques (installation, configuration, développement, formation, hébergement, etc.) dans les marchés publics.
État producteur. L’État québécois, qui offre des services numériques sur mesure à destination des citoyens, n’est pas qu’une grande organisation consommatrice de produits et de services numériques. À la fois consommateur et producteur de ressources numériques, il doit nécessairement accroître considérablement son expertise interne en développement, maintenance, sécurité et opération d’infrastructures, de plateformes et d’applications. Des organisations considérablement plus petites que l’État québécois y sont parvenues et l’entreprise Amazon n’a pas fait autre chose que de se doter en interne d’une forte expertise en infrastructures et plateformes numériques avant de se tourner vers le marché pour offrir ses services commerciaux. La montée en compétence du secteur public passe autant par des salaires concurrentiels par rapport au secteur privé (comme le demande le SPGQ) que par la participation directe des organismes publics aux communautés de logiciels libres.
Hybridité. Les besoins importants, variés et variables du secteur public de même que la responsabilité de la protection de renseignements personnels et confidentiels qui incombent à de nombreux organismes publics, pointent naturellement vers une utilisation mesurée, contrôlée de l’infonuagique dite publique. En se gardant de dépendre d’un seul fournisseur d’infonuagique publique grâce à une approche multinuagique (plusieurs fournisseurs d’infonuagique à la fois) et en intégrant plusieurs stratégies de déploiement en se bâtissant un nuage hybride, le secteur public pourra mieux profiter des offres du marché, éviter ses nombreux pièges et s’adapter à ses évolutions futures.
Souveraineté numérique. À l’instar de nombreux États (notamment en Europe), le Québec a intérêt à favoriser l’émergence de fournisseurs de services infonuagiques nationaux, à mettant à jour le cadre juridique concernant l’hébergement et le traitement des données sur son territoire et à se donner des normes de sécurité supérieures à celles proposées à l’international par l’ISO.
Cybersécurité et vie privée. Professionnaliser la cybersécurité dans tous les milieux de la société est plus intelligent que déménager tous en masse dans les installations centralisées des GAFAM, qui sont les plus attaquées du monde. Face au scandale de la surveillance de masse et aux fuites de données massives qui défraient les manchettes chaque semaine, on peut sans exagération parler d’un besoin d’éducation massive à la cybersécurité pour tous les internautes. Comme la Californie, le Québec a intérêt à s’inspirer du Règlement général sur la protection des données (RGPD) de l’Europe qui introduit plusieurs nouveaux droits, notamment un droit à la portabilité des données. L’objectif visé par ce droit est double : 1) aider les citoyens à reprendre le contrôle sur leurs données et 2) stimuler la concurrence entre les responsables de traitement de données. L’État devrait suivre de près les avancées des projets de prochaine génération qui cherchent à réparer Internet par la décentralisation et la distribution du traitement et du stockage de données sur le réseau.
PME. Le Royaume-Uni semble être un cas d’école avec le cadre réglementaire de son Marché numérique, qui redistribue une bonne part des contrats publics de services infonuagiques aux petites et moyennes entreprises. Cela dit, une étude comparative aiderait à mieux voir ce qui produit les meilleurs résultats parmi les modèles d’approvisionnement les plus intéressants à l’international.
Investissements. Les dépenses du secteur public en matière de numérique sont déjà considérables en 2019 et l’utilisation de ressources informatiques (puissance de calcul, quantité de mémoire, capacité de stockage, débit du réseau) qui ira forcément en augmentant partout sur la planète au courant du 21e siècle est un enjeu de taille pour les Québécois comme partout ailleurs. L’enjeu mérite au moins une étude sérieuse portant sur tous les moyens à la disposition de l’État pour transformer nos dépenses publiques récurrentes en investissements publics qui profiteront à notre économie sans sacrifier l’environnement.
Glossaire
Bordel informatique – Cette expression québécoise renvoie aux nombreux scandales de dépassement de coût, de retards de livraison et de ratés multiples en matière de projets informatiques financés par les contribuables. En plus des problèmes de gestion, de maîtrise et de suivi des projets, de faible concurrence lors des appels d’offres ou de refus d’aller en appel d’offres, on compte quantité d’allégations de corruption et de collusion qui ont débouché sur quelques rares arrestations et poursuites.
Centre de données – Les centres de données sont des lieux physiques dédiés à l’hébergement des équipements informatiques qui permettent le calcul, la mémoire, le stockage et le réseau.
Chiffrement – Le chiffrement consiste à réécrire un message de sorte qu’il devienne incompréhensible lorsqu’il est intercepté par toute personne ou tout organisme ne disposant pas de la clé permettant son déchiffrement.
(Biens) communs – Les (biens) communs sont des ressources partagées par une communauté, qui ne sont ni des biens privés au sens du droit à la propriété privée ni des biens publics au sens qu’ils sont la propriété de l’État ou d’une municipalité.
(Biens) communs numériques – Les (biens) communs numériques sont des (biens) communs produits, gérés, partagés, développés et préservés au moyen de l’ordinateur et des technologies numériques en général.
Cryptographie – Discipline de la cryptologie (la science du secret) qui englobe l’étude et la pratique du chiffrement et du déchiffrement des données à des fins de confidentialité, d’authenticité et d’intégrité.
Décentralisation – Processus par lequel on réduit la centralisation d’un système client-serveur en multipliant les nœuds serveur. Dans le contexte du mouvement qui prône la redécentralisation d’Internet, l’objectif de la décentralisation technique est l’accroissement de la participation des internautes dans les prises de décision qui affectent leur vie numérique.
Donnée ouverte – Définie négativement, une donnée ouverte est une donnée affranchie des restrictions légales et techniques qui freinent son utilisation, son partage et son amélioration par tous les humains, partout sur la planète et pour tous les usages. La définition positive mise de l’avant par l’Open Knowledge Foundation donne une liste de 11 critères : http://opendefinition.org/od/1.1/fr/
Démocratie ouverte – L’expression « démocratie ouverte » est utilisée par ceux et celles qui veulent aller au-delà de la simple amélioration de la démocratie représentative par le numérique, ce dont il est question dans la définition canonique du « gouvernement ouvert » promu par de nombreux États du monde. La démocratie ouverte s’intéresse ainsi à l’amélioration de la démocratie dans tous les milieux et organismes de la société en complémentarité (ou en rupture) avec la démocratie représentative « traditionnelle ».
Domaine public – On dit qu’une œuvre de l’esprit appartient au domaine public lorsqu’elle n’est pas ou n’est plus exploitée de manière exclusive en vertu du droit d’auteur. La vocation initiale du droit d’auteur apparu au 18e siècle était de rémunérer les auteurs de sorte qu’ils puissent se consacrer à l’écriture d’œuvres pour l’enrichissement du domaine public.
Fossé numérique – L’écart entre les riches et les pauvres est reflété dans l’accès, l’utilisation et la maîtrise des technologies de l’information et de la communication (TIC). Comme il fallait malheureusement s’y attendre, les populations des États les plus riches de la planète, de même que les personnes les plus riches dans tous les États, sont avantagées. D’autres inégalités sont visibles : celle des aînés par rapport aux plus jeunes, des hommes par rapport aux femmes, des résidents des milieux urbains par rapport aux résidents éloignés des centres. On parle de fossé (ou fracture) numérique (angl. digital divide) pour décrire ces inégalités apparues avec l’expansion d’Internet dans les années 1990.
GAFAM – Google, Apple, Facebook, Amazon et Microsoft, cinq grandes entreprises du numérique dont l’influence déborde largement le territoire des États-Unis d’où elles sont issues.
Gouvernement ouvert – Selon la définition avancée par l’Open Government Initiative de l’administration Obama (2009), le gouvernement ouvert repose sur trois principes : la transparence de l’information (notamment par l’ouverture des données d’intérêt public), la participation des citoyens aux processus consultatifs et décisionnels et la collaboration entre l’État et les organismes de la société civile. Dans le cadre de l’Open Government Partnership lancé à l’international en 2011-2012, des dizaines de pays (dont le Canada) ont adhéré à une démarche de rénovation de la démocratie représentative qui prétend s’appuyer globalement sur ces principes.
Hackeur – Le hackeur (anglais : hacker) de l’informatique est une personne qui a l’esprit d’ingénieur, de bricoleur, de « bidouilleur », comme disent les Français, ou de « patenteux », comme on dit chez nous. Il ou elle a une passion dévorante : explorer les possibilités des ordinateurs, leur faire faire des choses qui n’ont jamais été faites auparavant, par amusement ou par défi.
Logiciel libre – Un logiciel est dit libre lorsque ses utilisateurs ont la liberté de l’exécuter, de le copier, de le distribuer, de l’étudier, de le modifier et de l’améliorer. La protection de ces libertés est assurée par les licences de logiciels libres, dont les plus emblématiques sont celles du projet GNU soutenu par la Free Software Foundation américaine. Grâce aux licences de ce type, les logiciels ont des auteurs sans avoir de propriétaires. La définition formelle du logiciel libre est en ligne sur le site de GNU : https://www.gnu.org/philosophy/free-sw.fr.html
Libriste – Le libriste est la personne qui se reconnaît comme adepte du logiciel libre et de sa philosophie.
Infonuagique – « Modèle informatique qui, par l’entremise de serveurs distants interconnectés par Internet, permet un accès réseau, à la demande, à un bassin partagé de ressources informatiques configurables, externalisées et non localisables, qui sont proposées sous forme de services, évolutifs, adaptables dynamiquement et facturés à l’utilisation. » (OQLF, 2017)
Infonuagique privée – Stratégie de déploiement de ressources informatiques dématérialisées par laquelle une organisation n’a recours qu’à sa propre infrastructure infonuagique complète, qu’elle opère et héberge elle-même en partie ou en totalité. Les fournisseurs d’infonuagique privée offrent des services pour aider les organisations à bâtir leur propre nuage dans le centre de données de leur choix.
Infonuagique communautaire – Variante de l’infonuagique privée dans laquelle l’utilisateur n’est plus une seule organisation, mais un regroupement d’organisations.
Infonuagique hybride – Stratégie de déploiement qui fait interagir une diversité de stratégies de déploiement de ressources informatiques dématérialisées. On aura typiquement un nuage privé (ou communautaire) interconnecté à des nuages publics fournissant des ressources et des services complémentaires.
Infonuagique publique – Stratégie de déploiement de ressources informatiques dématérialisées par laquelle un fournisseur offre à des clients toutes sortes de services en ligne à partir de sa propre infrastructure infonuagique. Outre des services en ligne, les fournisseurs offrent souvent des services connexes : conseil, formation, etc.
Multinuagique – Approche qui consiste pour un utilisateur d’infonuagique publique à éviter de s’enfermer dans les services et les produits non standards d’un seul fournisseur, gardant ainsi la porte ouverte au déménagement total ou partiel chez un concurrent ou à la reprise de contrôle en interne (dans son propre nuage privé).
Neutralité du réseau Internet – Principe qui vise à garantir l’égalité de traitement de tous les flux de données sur Internet. Pour respecter cette neutralité, les opérateurs des infrastructures réseau doivent transmettre les données sans distinction de la source, de la destination ou du contenu. L’inspection des paquets, le filtrage, la priorisation discriminante des flux ne doivent pas avoir lieu sur le réseau Internet public.
Réseau centralisé, décentralisé ou distribué – En topologie des réseaux informatiques, on distingue les réseaux centralisés, décentralisés et distribués. Dans les réseaux centralisés, les participants au réseau dépendent d’un nœud central (serveur), tandis que dans ceux qui sont dits décentralisés, les nœuds centraux sont multiples et les participants peuvent conséquemment choisir leur serveur (par exemple le plus proche géographiquement, le plus performant, le moins cher, celui qui est communautaire, celui qui nous appartient, etc.). Dans les réseaux distribués, il n’y a pas de nœuds centraux du fait que tous les participants se distribuent les fonctions de serveur (tous les clients sont des serveurs).
Science ouverte – Le mouvement pour la science ouverte englobe les initiatives de libre accès aux publications scientifiques et de libre réutilisation des données de recherche, et va au-delà en intégrant, suivant les courants, d’autres questions comme la meilleure collaboration entre chercheurs, la participation citoyenne, la réforme de l’évaluation scientifique, les défis posés par les inégalités (Nord-Sud, homme-femme, langues et autres), la crise de reproductibilité ou la fraude scientifique, etc.
Serveur – Dans une architecture client-serveur, le logiciel serveur est la partie du système qui répond aux requêtes des clients. On aura par exemple un navigateur web (client) qui fait une requête à l’adresse https://action-nationale.qc.ca (serveur) pour obtenir la page d’accueil du site de la revue L’Action nationale.
Souveraineté numérique – Dans le débat public, surtout après les révélations d’Edward Snowden de 2013, ce concept a surtout été mobilisé en référence à la capacité des États de faire appliquer des politiques sur le numérique compatibles avec les droits constitutionnels des citoyens et les intérêts des nations face à la réalité de l’Internet sans frontières et de ses dérives.
Transformation numérique – La transformation numérique est le fait pour une entreprise de réformer sa culture organisationnelle et ses processus d’affaires afin de tirer le meilleur parti des possibilités du numérique pour innover, créer de la valeur, être plus compétitif ou mieux encore « disruptif » (de l’anglais disruption) sur le marché. Cette expression est promue par l’industrie du numérique qui vend des services et de produits permettant de réaliser ladite transformation.
Virtualisation – « Ensemble des techniques logicielles ou matérielles qui permettent de regrouper sur un seul support physique des ressources informatiques, afin qu’elles puissent effectuer séparément des tâches spécifiques, comme si elles étaient exécutées sur des supports physiques distincts. » (OQLF, 2008)
2 Nous vous renvoyons au glossaire à la fin de ce dossier pour tout le jargon qui sera employé dans ce texte.
5 Voir les très nombreux articles et lettres aux médias en réaction à cette annonce le jour même et dans les quelques jours suivants. Les annonces subséquentes des ministres Caire et Dubé, en février, mars et avril 2019, n’ont rien fait pour améliorer les choses : le remplacement du CSPQ par deux nouveaux organismes (ITQ et CAG) dont le fonctionnement est entièrement inconnu (21 mars), des mégas chantiers numériques non chiffrés (4 avril), une loi on ne peut plus laconique pour « faciliter » la « transformation numérique » (4 avril) et une consultation en ligne portant principalement sur ce qui a déjà été décidé d’avance (11 avril).
6 https://www.tresor.gouv.qc.ca/nouvelles/?tx_ttnews%5Btt_news%5D=514&L=2&cHash=19bc0c8b89af97e6950ee4b40b6ade7b
7 https://www.numerique.gouv.fr/espace-presse/le-gouvernement-annonce-sa-strategie-en-matiere-de-cloud/
9 La propagande officielle des grands fournisseurs d’infonuagique publique parle de paiement à l’usage des ressources, mais il est plus exact de parler de paiement pour la réservation de ressources que l’on utilisera ou pas selon les cas. Voir : https://www.youtube.com/watch ? v=oYK9y8rEhKI
10 À tort ou à raison, Amazon s’est bâti la mauvaise réputation de prendre beaucoup plus qu’elle ne redonnait aux communautés de logiciels libres dont elle commercialise les produits sous forme de services en ligne. Du moins, en comparaison avec Google et Microsoft sur les projets hébergés sur GitHub.com en 2017-2018. Voir : https://medium.freecodecamp.org/the-top-contributors-to-github-2017-be98ab854e87
11 On aurait le goût de dire que c’est presque le contraire qui est vrai : c’est en important la culture et les méthodes du monde du logiciel libre et des petites et moyennes entreprises technologiques que de grandes organisations peuvent espérer se défaire de la culture des silos informationnels et de l’administration bureaucratique des projets numériques qui affectent autant le privé que le public.
12 Le philosophe Bernard Stiegler emploie le concept grec de pharmakon pour décrire tout objet technique (ou technologique) : un objet qui est autant le remède et le poison. Avec l’industrie mondialisée du numérique dominée par les GAFAM, nos systèmes sociaux absorbent des gadgets jetables et de fausses solutions technologiques comme des pilules qui ne peuvent que nous rendre malades. Nous serions donc en manque de posologie ? Ou est-il venu le temps de la désintoxication technologique intégrale ?
13 https://www.tresor.gouv.qc.ca/fileadmin/PDF/effectif_fonction_publique/portrait_main_dœuvre_ti_2017.pdf
14 Le recours exclusif aux logiciels libres est la meilleure stratégie pour éviter les nombreux pièges de l’infonuagique publique, comme celui qui consiste à entrer dans la dépendance de logiciels qui sont la propriété exclusive d’un seul fournisseur. Voir : https://www.techrepublic.com/article/why-public-cloud-r-d-is-making-lock-in-worse-not-better/
15 La majeure partie des revenus de la Fondation Wikimedia provient des internautes qui effectuent des dons de l’ordre de 15 USD en moyenne lors de campagnes annuelles de financement.
16 https://451research.com/images/Marketing/press_releases/10.17.16_Private-v-Public-Sep-2016_Press_Release_Final.pdf
17 https://www.techrepublic.com/article/private-cloud-can-be-cheaper-than-public-cloud-says-451-research/
20 Nous avons trouvé ce texte de réflexion de la CERNA française fort intéressant sur les enjeux éthiques de la souveraineté numérique : http://cerna-ethics-allistene.org/digitalAssets/55/55708_AvisSouverainete-CERNA-2018.pdf
21 https://ici.radio-canada.ca/nouvelle/1151913/donnees-personnelles-rgpd-europe
22 https://gafam.laquadrature.net/
23 https://www.laquadrature.net/2019/01/21/premiere-sanction-contre-google-suite-a-nos-plaintes-collectives/
24 https://www.eff.org/fr/deeplinks/2018/02/cloud-act-dangerous-expansion-police-snooping-cross-border-data
25 https://techcrunch.com/2016/03/15/microsoft-launches-azure-preview-in-germany-and-canada-announces-dod-specific-regions-in-u-s/
26 https://www.datacenterdynamics.com/news/report-microsoft-to-launch-azure-regions-in-germany-switzerland-and-the-uae/
27 https://aws.amazon.com/fr/blogs/security/addressing-data-residency-with-aws/
28 https://www.insideprivacy.com/cloud-computing/germanys-criteria-for-federal-use-of-cloud-services/
29 https://www.accesspartnership.com/public-procurement-and-cloud-service-providers-in-germany/
30 https://www.zdnet.com/article/open-sources-big-german-win-300000-users-shift-to-nextcloud-for-file-sharing/
31 https://www.de.digital/DIGITAL/Redaktion/EN/Publikation/digital-strategy-2025
32 https://www.latribune.fr/technos-medias/informatique/20150113triba29598d73/le-cloud-a-la-francaise-histoire-d-un-flop.html
33 https://www.economie.gouv.fr/files/files/PDF/nouvelle-france-industrielle-sept-2014.pdf
34 https://www.ssi.gouv.fr/actualite/secnumcloud-la-nouvelle-reference-pour-les-prestataires-dinformatique-en-nuage-de-confiance/
35 https://www.ssi.gouv.fr/actualite/escloud-un-label-franco-allemand-pour-les-services-informatique-en-nuage-de-confiance/
36 https://www.nextinpact.com/news/102493-cloud-confiance-anssi-sort-son-referentiel-et-lance-label-avec-allemagne.htm
37 Ces mesures vont-elles vraiment favoriser les entreprises européennes ? Certains le croient assez pour investir massivement de nouveau en 2018 : https://www.usinenouvelle.com/article/orange-a-la-man-uvre-pour-relancer-son-cloud-souverain-cloudwatt.N655984
38 Rien n’est pas parfait : on a trouvé et on continuera de trouver des failles de sécurité dans les implémentations logicielles des algorithmes de chiffrement. Aussi, un adversaire déterminé qui ferait une copie de vos données chiffrées dans ses propres systèmes aurait tout le loisir d’essayer toutes les combinaisons possibles une par une jusqu’à ce que votre secret cesse d’en être un. Les seules limites seraient alors la puissance de calcul à disposition de l’attaquant.
39 Évidemment, tout est fait pour mitiger cette possibilité par des techniques d’isolement appelées « conteneurisation » et « virtualisation ».
40 https://ici.radio-canada.ca/nouvelle/1123423/desjardins-banque-nationale–cybercriminalite-
41 https://www.alertlogic.com/assets/industry-reports/Cloud-Security-Spotlight-2018.pdf
42 Le cas allemand a été traité sommairement dans la section précédente.
43 https://www.numerama.com/politique/392780-souverainete-numerique-la-france-precise-ses-plans-dans-le-cloud.html
44 https://obamawhitehouse.archives.gov/sites/default/files/omb/assets/egov_docs/federal-cloud-computing-strategy.pdf
45 https://www.cio.com/article/3061941/5-years-into-the-cloud-first-policy-cios-still-struggling.html
46 https://cloud.cio.gov/strategy/
47 https://www.cbronline.com/wp-content/uploads/dlm_uploads/2019/01/Central-Gov-1_1805_cloud-adoption-whitepaper.pdf
48 https://www.gov.uk/government/collections/digital-marketplace-sales
49 https://www.gov.uk/guidance/the-crown-hosting-data-centres-framework-on-the-digital-marketplace
50 Les centres de données d’Amazon au Royaume-Uni peuvent être utilisés dans le respect des 14 principes de sécurité de l’infonuagique (14 Cloud Security Principles) du National Cyber Security Centre (NCSC) et dans le contexte du traitement de données classifiées comme « officielles ».
51 https://www.cloud.service.gov.uk/features
52 https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/technologiques-modernes-nouveaux/informatique-nuage/strategie-adoption-information-nuage-gouvernement-canada.html
53 https://www.canada.ca/fr/secretariat-conseil-tresor/services/technologie-information/plan-strategique-2017-2021.html
54 Le Canada et le Royaume-Uni ont signé un protocole d’entente concernant le « gouvernement numérique » en 2017 : https://www.canada.ca/fr/secretariat-conseil-tresor/services/innovation/protocole-dentente-concernant-gouvernement-numerique.html
55 Les stratégies de déploiement hybrides sont clairement dominantes dans la grande entreprise privée depuis plusieurs années. Voir cet article pour une perspective sur le temps « long » dans l’histoire (très courte) de l’infonuagique : https://www.forbes.com/sites/moorinsights/2018/08/06/the-evolving-enterprise-calculus-of-public-cloud-versus-private-infrastructure/
56 https://www.lapresse.ca/affaires/economie/quebec/201902/08/01-5214118-amazon-pret-a-investir-1-milliard-au-quebec.php
* Informaticien, président de FACiL.