Startup : souveraineté des données, un pré-requis pour vous ?
Vous êtes vous déjà demandé quel était l’impact d’héberger les données de vos utilisateurs finaux aux Etats-Unis et si cela peut mettre en péril votre entreprise ?
L’écosystème startup mondial actuel n’aurait jamais pu voir le jour, et encore moins prospérer, sans le cloud. C’est d’ailleurs le cas d’un nombre incalculable d’éléments essentiels à notre société moderne et que nous tenons désormais pour acquis.
En effet, rares sont ceux qui cherchent à savoir où leurs données sont stockées et par qui. Et pourtant ce sujet fait de plus en plus parler et certaines entreprises cherchent à s’éloigner des principaux fournisseurs de cloud, ou du moins à se diversifier.
Amazon, Microsoft et Google sont tous trois basés aux États-Unis et relèvent donc de la législation américaine, en particulier le CLOUD Act.
Or, même dans le monde de la tech, les implications de cette loi sont encore méconnues. En effet, en raison du CLOUD Act, le gouvernement des États-Unis a accès aux données cloud des entreprises américaines, même si celles-ci sont implantées dans un autre pays. Étant donné qu’AWS, Microsoft Azure et Google Cloud Platform détenaient 63 % du marché du cloud au T2 2022, cela représente la majorité des données cloud mondiales.
La situation commence à sérieusement préoccuper les startups, les entreprises et les citoyens européens. En effet, le CLOUD Act met à mal les efforts du RGPD en matière de protection des données.
C’est pourquoi un nombre croissant d’entreprises et de startups choisissent de migrer leurs données chez des fournisseurs relevant uniquement de la législation européenne. Les standards très stricts de protection des données imposés par l’Europe garantissent en effet la sécurité des données sensibles de ces entreprises.
Cependant, l’Europe commence tout juste à prendre conscience de cette réalité, et se retrouve désormais face à un déséquilibre inquiétant : la part de marché de l’UE des fournisseurs cloud européens est passée de 27% à 13 %, et continue à diminuer. 87 % des données stockées en Europe sont donc potentiellement soumises aux lois extraterritoriales.
Les startups ont-elles lieu de s’inquiéter ? En ce qui concerne le cloud, leurs besoins sont avant tout l’agilité et la disponibilité à l’international, c’est pourquoi elles doivent choisir des fournisseurs présents partout dans le monde. Une fois ces critères remplis, elles peuvent se concentrer sur leur cœur de métier : leurs employés, leurs produits et leur financement.
Cela signifie-t-il que la souveraineté est tout en bas de leur liste de priorités ? Pas nécessairement. Selon une enquête récente d’EY pour France Digitale portant sur les startups françaises, 65 % des startups sondées se sentent trop dépendantes des GAFAM. En effet, le respect de standards rigoureux en termes de confidentialité et de protection, propriété et contrôle des données est un critère de plus en plus différenciateur.
Des startups comme Golem.ai ou Familink, par exemple, traitent des données publiques et privées extrêmement sensibles, c’est pourquoi la souveraineté des données est pour elles de la plus haute importance. Familink, une startup spécialisée dans la création de cadres de photos intelligents à destination des personnes âgées, a décidé de stocker ses données clients en France et de se séparer de ses anciens fournisseurs américains sur l’instigation de ses utilisateurs européens. Cela montre que l’impulsion nécessaire pour « se mettre à la souveraineté » peut d’abord venir des clients.
Les startups cherchant à protéger leurs données et celles de leurs clients peuvent effectuer une migration complète chez un fournisseur de services cloud basé en Europe. Ce n’est certes pas une mince affaire, mais la conteneurisation et la standardisation des solutions cloud rendent le projet plus accessible. De plus, les projets de migration sont souvent l’occasion de réévaluer l’infrastructure existante, de l’optimiser et de supprimer les dépenses superflues. Les économies réalisées contrebalancent donc avantageusement (et rapidement) les efforts investis. C’est ce qui s’est passé pour Familink, qui a ainsi pu diviser ses dépenses cloud par deux, tout en conservant le même niveau de performance.
Cependant, pour bien des startups, migrer chez un fournisseur européen n’est pas une option viable. La raison ? Un mythe persistant selon lequel l’offre cloud européenne serait en retard de plusieurs années par rapport aux États-Unis. Aujourd’hui, tout indique le contraire. Depuis quelques années, de nombreux fournisseurs cloud européens ont considérablement développé leur offre, et n’ont rien à envier à leurs homologues américains. On peut citer par exemple Hive de Scaleway, l’équivalent du stockage d’objet S3, une solution hyperscale et entièrement déployée en Europe.
Les startups n’ont plus à choisir la performance au détriment de la souveraineté. D’autant plus que 20 % des services cloud actuellement disponibles suffisent à répondre à 80 % des besoins.
Cela ne signifie pas pour autant que vous devez mettre tous vos œufs dans le même panier. Bien au contraire. Pour protéger leurs données et celles de leurs clients, les startups peuvent recourir au multi-cloud, c’est-à-dire héberger leurs données chez plusieurs fournisseurs cloud. Même s’il ajoute de la complexité, le multi-cloud apporte une réponse aux enjeux critiques liés à la gestion des risques, notamment ceux de sécurité, de régionalisation des données, de coût, de verrouillage technologique et de géopolitique. Le multi-cloud est tout simplement le futur de l’industrie, plus de 90 % des entreprises ayant déjà adopté une stratégie multi-cloud d’une façon ou d’une autre.
« Afin de bien répondre à leurs clients, les startups ont besoin d'utiliser dès à présent ou dans le futur des ressources cloud souveraines, afin de protéger leurs données ou technologies en fonction des besoins clients, pays par pays, et secteur par secteur, » affirme Gilbert Cabillic, CEO de ScaleDynamics, dont la plateforme Container-as-a-Service (CaaS) « permet à une startup d’utiliser et de changer simplement à tout moment leurs choix de ressources cloud, et d’appréhender et ajuster en continu leur besoin en souveraineté nécessaire pour prendre leurs parts de marché.»
Les enjeux de souveraineté prennent une dimension toute particulière dans le contexte géopolitique actuel. Nous devons voir dans les pannes accidentelles de services cloud (coupures d'électricité chez AWS en 2021) un avertissement sur les dangers de l'hyper-dépendance à quelques fournisseurs. Les trois géants du cloud venant tous des États-Unis, les conséquences d’une panne résultant de facteurs géographiques ou pire, politiques, seraient catastrophiques.
La politique « America First » de Donald Trump et son protectionnisme économique ont déjà affecté le secteur technologique, notamment quand la licence Android de Huawei a été révoquée du jour au lendemain. En cas de crise des puces électroniques, il est plus que probable que les intérêts des États-Unis passeront au premier plan. D’autre part, le conflit en Ukraine a mis en lumière le risque du « splinternet » : sitôt l’Ukraine envahie en février dernier, la Russie a limité l’accès de ses citoyens à Facebook et Twitter. Comment ? En se basant sur la loi de 2019 pour un Internet souverain. Ainsi, le chaos géopolitique actuel est un risque réel, dont toutes les entreprises européennes doivent être conscientes.
« Gérer une startup, c’est avant tout faire des choix. La souveraineté permet de choisir librement, sans influences extérieures, » explique Nathan Richard, fondateur et président de Memento Cloud. « Sans souveraineté des données, les startups sont limitées dans leur agilité et leur capacité à produire de la valeur. Pour une startup, la souveraineté des données est un investissement sur le long terme, tout comme la propriété intellectuelle ou le recrutement. L’écosystème startup est semblable à des sables mouvants. Il change en permanence et les startups doivent s’adapter rapidement. À long terme, si une entreprise n’a pas le contrôle sur ses données, la partie est perdue d’avance. Que pourra-t-elle faire si le contrat qu’elle a signé auprès d’un fournisseur étranger l’oblige à enfreindre la loi ? »
En fin de compte, rechercher la souveraineté revient à de la gestion de risques. En effet, le cloud est un élément essentiel de notre société et un court-circuit technique ou politique aux États-Unis, ou même en Chine pourrait paralyser l’Europe et menacer les droits de ses citoyens.
Actuellement, les fournisseurs européens sont capables de répondre à la demande de services cloud avec une offre d’une qualité égale, sinon supérieure à celle des fournisseurs américains et, en bonus, l’avantage de la souveraineté.
Les startups peuvent, elles aussi, contribuer à rétablir l’équilibre. Et elles le doivent. La croissance et la stabilité futures de la tech européenne en dépendent.
Scaleway s’engage à prendre en charge la majorité des frais de cloud initiaux de 100 startups européennes dans le cadre d’un nouveau programme appelé The Next 100 Startups Shaping Europe’s Future.
Vous êtes vous déjà demandé quel était l’impact d’héberger les données de vos utilisateurs finaux aux Etats-Unis et si cela peut mettre en péril votre entreprise ?
Pour mettre un terme à la crise climatique actuelle, il nous faut trouver des solutions immédiates. Nous partagerons quelques pistes dans cet article.