Le consortium Bleu créé par Capgemini et Orange, un projet officialisé en mai 2021, ne commercialisera pas les services Microsoft Azure et Microsoft 365 dans son Cloud avant… 2024. Le temps pour lui d’obtenir la qualification « Cloud de confiance » et le label SecNumCloud de l’Anssi ? La société ne sera créée elle que fin 2022.
Un an après l’annonce en mai 2021 par la SSII Capgemini et l’opérateur Orange de la cocréation prochaine de « Bleu, une société qui fournira un Cloud de Confiance en France », ces mêmes acteurs nous apprennent ce 22 juin 2022 que ni la société, ni ses datacentres censés héberger les instanciations Microsoft Azure et MS365 ne sont créés ou opérationnels… Une annonce qui survient quelques semaines après les élections présidentielles et législatives en France.
La société Bleu ne serait créée qu’au second semestre 2022 et son DG est seulement « pressenti »
Capgemini et Orange confirment seulement les points suivants 13 mois après leur annonce commune initiale, sans donner de date précise à chaque fois. Ainsi, la société Bleu serait créée au second semestre 2022. Jean Coumaros, l’actuel directeur de la Transformation de Capgemini, « a été choisi par les deux actionnaires comme directeur général pressenti de la future joint-venture Bleu ».
Capgemini nous confirme aussi, à nouveau, que « Bleu sera une société française indépendante gérée de manière indépendante, avec son propre personnel, dont le siège social sera en France et qui sera détenue à 100 % par des actionnaires français ». On ne sait toujours pas un an après par qui exactement – toujours Capgemini et Orange apparemment – et quelle part du capital détiendront-ils chacun ?
Il semble aussi se confirmer que Microsoft ne sera pas actionnaire de Bleu, comme nous l’avais indiqué en novembre 2021 Bernard Ourghanlian, directeur Technique et Sécurité de Microsoft France : « Ainsi, les données de ses utilisateurs dans notre Cloud ne tombent donc pas sous le coup de lois étrangères sur l’extra territorialité au niveau juridique » (voir avant-dernier paragraphe).
Le lancement de Bleu retardé pour obtenir la qualification « Cloud de confiance » et le label SecNumCloud de l’Anssi ?
Capgemini et Orange se disent d’ailleurs confiants quant à l’obtention prochaine de la qualification « Cloud de confiance ». Ils expliquent qu’ils satisferont à tous les critères du nouveau label SecNumCloud 3.2 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et aux dispositions juridiques réclamées dans ce cadre. Certes, mais tous les fournisseurs et prestataires Cloud qui ont décroché ce précieux Sésame expliquent qu’il faut environ deux ans pour obtenir cette certification.
D’ailleurs, les cofondateurs de Bleu contactés nous expliquent que « nous n’avons pas à ce jour d’estimation de date pour la certification SecNumCloud, qui dépendra notamment de l’ANSSI, avec qui nous travaillons déjà de manière à ce que les services de Bleu soient entièrement conformes à cette qualification ».
Bleu ne commercialisera pas les services Microsoft Azure et Microsoft 365 avant… 2024
Ce qui explique sont doute pourquoi Capgemini et Orange indiquent que Bleu ne sera pas en mesure d’offrir des services Microsoft Azure et les principaux services de Microsoft 365 avant… 2024. Selon ses créateurs, « Les datacenters seront la propriété de Bleu. La plateforme Bleu sera lancée sur un ensemble de centres de données distribués géographiquement en France et répondant à de très hautes exigences en matière de résilience et de disponibilité ».
Bleu n’utiliserait donc pas les datacentres conséquents de ses deux fondateurs et ne ferait pas appel à ceux des grands colocateurs (Equinix, Interxion, etc.) ? Surprenant quand on connaît les coûts et les délais de construction de datacentres censés respecter les normes pour obtenir la qualification « Cloud de confiance ».
Un retard qui amuse quelque peu une partie de l’écosystème Cloud français, dont David Chassan, le directeur de la stratégie de 3DS Outscale, la filiale Cloud de l’éditeur Dassault Systemes : « Nous nous retrouvons une nouvelle fois et 1 an après avec une autre annonce qui promet une activité en 2024 et sous certaines conditions. Une annonce qui a pour but de cristalliser le marché alors que des acteurs français proposent déjà des solutions conformes aux besoins et attentes du marché à l’image de 3DS Outscale ».
Le Cigref accueille bien l’annonce mais reste vigilant
L’extraterritorialité des données est un sujet épineux pour Bleu et pour tous les projets similaires utilisant les plateformes Cloud des Gamma comme Microsoft. Henri d’Agrain, délégué général du Cigref, l’association des DSI des grands groupes français, dit « accueillir avec intérêt l’annonce de Capgemini et d’Orange, car les instanciations des outils Cloud de Microsoft sont hébergées dans un cadre protégé des lois extraterritoriales américaines. Si les données hébergées par Bleu n’étaient pas protégées contre la section 702 du Foreign Intelligence Surveillance Act (Fisa) de 1978, ce projet n’intéresserait pas les adhérents du Cigref ».
Toutefois, son organisation appelle ses membres à la vigilance : « Le Cigref souligne que le cloud, dans sa dynamique exponentielle sur le marché européen, et par la captation de celui-ci par quelques acteurs, offre à des autorités étatiques non européennes un moyen, sans équivalent dans l’histoire, pour accéder massivement aux données sensibles de l’économie de notre continent ». Il invite donc l’Union européenne, l’Etat français et l’écosystème numérique européen à se doter de solutions Cloud autonomes à l’état de l’art.
Un impact sur le Health Data Hub (HDH) français basé sur la plateforme Cloud de Microsoft ?
En parallèle, il reste à l’État français à transformer, ou pas, le Health Data Hub (HDH) français, comme Cédric O, l’ex-Secrétaire d’État au Numérique, s’y était engagé avant de quitter son ministère ce printemps. En effet, si le Conseil d’État a bien autorisé fin 2020 Microsoft à héberger le Health Data Hub sur son Cloud, une polémique était née sur le choix du Cloud d’un Gamma et sa décision d’héberger au démarrage les données en partie sur ses datacentres européens, donc hors de France.
Les responsables du Health Data Hub et de Microsoft se sont engagés contractuellement « à refuser tout transfert de données de santé en dehors de l’Union européenne ». Pour information, un arrêté ministériel du 9 octobre 2020 interdit tout transfert de données à caractère personnel dans le cadre de ce contrat.