Souveraineté numérique et logiciel libre Quelques pistes de réflexion (WIP / rien d’officiel à ce stade). Stéfane Fermigier Founder & CEO, Abilian - Enterprise Social Software
A presentation at Open Source Summit in December 2019 in Paris, France by Stefane Fermigier
Souveraineté numérique et logiciel libre Quelques pistes de réflexion (WIP / rien d’officiel à ce stade). Stéfane Fermigier Founder & CEO, Abilian - Enterprise Social Software
Plan
Ce que dit la Loi aujourd’hui “Les administrations mentionnées au premier alinéa de l’article L. 300-2 du code des relations entre le public et l’administration veillent à préserver la maîtrise, la pérennité et l’indépendance de leurs systèmes d’information. Elles encouragent l’utilisation des logiciels libres et des formats ouverts lors du développement, de l’achat ou de l’utilisation, de tout ou partie, de ces systèmes d’information.” Article 16 de la Loi République Numérique du 8 octobre 2016
TIO / Tio Libre (2008-2010)
GTLL Systematic - 2013
Point de départ (Open Cloud Manifesto) • les prestations de cloud doivent être pensées pour l’utilisateur, et qu’il doit être le premier à en détenir le contrôle ; • • • • l’ouverture des standards, systèmes et logiciels est une garantie pour l’utilisateur ; • que l’équilibre entre l’intérêt du consommateur et l’intérêt mercantile doit être préservé et sinon en faveur du consommateur ; • enfin que la sécurité est essentielle, et non point facultative. la transparence de la gouvernance est une condition de la confiance et de la fiabilité ; l’interopérabilité conditionne l’efficacité du cloud en tant que ressource publique ; toutes les parties doivent être équitablement représentées dans les processus de normalisation, qui doivent être coordonnés et collaboratifs, aussi peu mûr soit le marché ;
Contexte et objectifs (2013) Ces principes devront être étudiés, certainement complétés, sous l’angle des questions posées par les différents acteurs, en particulier les utilisateurs, notamment à la lumières des révélations et des débats qui ont eu lieu depuis la rédaction de l’Open Cloud Manifesto : • refus de la confiscation des données personnelles et professionnelles par les opérateurs du Cloud ; • refus de l’espionnage et de l’intelligence économique au profit de puissances ou d’acteurs étrangers ; • refus de la société de surveillance généralisée, de quelque origine qu’elle soit. À noter qu’un bon encadrement des captations administratives de données par l’État serait un avantage compétitif considérable pour les acteurs français du cloud ; • encouragement à utiliser les technologies les plus ouvertes et interopérables, notamment le développement de standards autour du cloud computing (à tous les niveaux : IaaS / PaaS / SaaS). • encourager la R&D sur les technologies ouvertes de cloud distribué, sur l’interopérabilité des clouds, sur la résilience, la sécurité, etc.
Livrables (2013) Ce travail pourrait aboutir : • à une version amendée, complétée, adaptée à la mentalité et au droit français et européen de l’Open Cloud Manifesto. Les opérateurs de cloud devront être fortement incités sinon contraints à s’engager sur ce manifeste. • à un label de confiance, associé à de la certification, qui prenne en compte ces différents principes et les formalise sous une forme vérifiable concrètement. Des normes françaises ou internationales pourront être invoquées, ou développées, dans le cadre du développement de cette certification ; • à définir une charte d’interopérabilité (ou charte de l’open cloud) et d’inscrire des clauses d’interopérabilité dans les commandes et actions de soutien public ; Dans tous les cas, une communication importante doit remettre au cœur du débat, et en particulier dans l’esprit des acheteurs, les principes que nous évoquons et qui seraient affirmés dans ce manifeste.
OSBA - 3 novembre 2019
Position récente de l’OSBA sur la souveraineté dans le Cloud (1/2) 1. Dans le cadre de sa stratégie d’informatique dans les nuages, l’État doit mettre l’accent sur les questions stratégiques (comme la souveraineté numérique) plutôt que sur les questions pragmatiques lors du choix des solutions et des fournisseurs. 2. Les responsables doivent être informés des implications juridiques de la protection des données et des implications stratégiques d’une décision pour les services dans les nuages. 3. Les décisions sur les stratégies de cloud computing doivent inclure le savoirfaire sur la technologie open source et les standards ouverts. Ce savoir-faire devrait être développé en interne ou intégré par l’intermédiaire d’experts de la région. 4. L’État devrait préférer des solutions totalement transparentes et mises en œuvre avec des interfaces ouvertes. 5. L’État devrait préférer les fournisseurs et les centres de données qui sont basés sur des approches totalement transparentes et ouvertes.
Position de l’OSBA sur la souveraineté dans le Cloud (2/2) 6. Pour les données critiques et sensibles, l’État devrait s’appuyer exclusivement sur des plates-formes de cloud computing construites à l’aide de technologies et de standards ouverts et qui permettent de changer facilement de fournisseur. 7. L’État doit promouvoir directement et indirectement le développement de technologies et d’offres appropriées. 8. L’État doit veiller à ce que ses propres données ne soient stockées que dans un environnement répondant aux normes européennes les plus élevées en matière de protection des données. 9. En tant que modèle, l’État lui-même doit appliquer des critères stricts lors de la mise en place de solutions de cloud computing tout en conservant son indépendance vis-à-vis des fournisseurs individuels.
CIGREF - 25 novembre 2019
CIGREF #SWIPO – Le Cigref et ses adhérents ne peuvent pas reconnaître, à ce stade, la légitimité des documents (codes de conduite, descriptif de la future entité légale de gouvernance de ces codes) qui devraient être remis, le 26 novembre 2019, à Helsinki, aux ministres de la présidence finlandaise du Conseil de l’Union européenne. Le Cigref fait le constat de l’échec du processus d’autorégulation du marché du cloud en Europe. Cet échec est essentiellement la conséquence d’une asymétrie systémique de compétences, de moyens et d’objectifs entre ceux de certains grands fournisseurs mondiaux de services cloud d’une part, qui défendent le cœur de leur activité commerciale et leur capacité d’enfermement de leurs clients, et d’autre part ceux des utilisateurs dont le lobbying dans ce domaine n’est pas le métier. Aucune des propositions formulées par les membres du Cigref pour améliorer le code de conduite SaaS et la gouvernance ultérieure des codes de conduite par l’entité légale n’a été prise en compte, au mépris des règles de gouvernance du SWIPO Working Group.