Orange, Capgemini et Microsoft, trois entreprises dont les locaux sont situés à quelques dizaines de mètres chacune, à Issy-les-Moulineaux, ont créé l’an passé une filiale commune, Bleu. Elle devrait proposer son offre de cloud dit « souverain » en 2024, sous réserve des approbations réglementaires. L’objectif est de proposer les services de Microsoft Azure tout en hébergeant les données sur le sol français afin qu’elles ne puissent pas être examinées par les autorités américaines dans le cadre du CLOUD Act.
Bleu fournira ses solutions aux Opérateurs d’Importance Vitale (OIV), aux Opérateurs de Services Essentiels (OSE), à l’Etat français, à la fonction publique, aux hôpitaux et aux collectivités territoriales requérant la mise en place d’un Cloud de Confiance adapté au degré de sensibilité de leurs données et à leur charge de travail.
L’idée derrière cette joint-venture – détenue à 100% par des actionnaires français – est de proposer les services de cloud computing de Microsoft (Microsoft Azure et Microsoft 365) mais d’héberger les données par Orange et Capgemini sur le territoire français. Les centres de données de Bleu seront ainsi séparés de manière stricte des centres de données internationaux de Microsoft, ce qui garantira son autonomie opérationnelle. De plus, Bleu sera exploité depuis la France par son propre personnel. Il s’agit d’empêcher les autorités américaines d’accéder aux données, comme le CLOUD Act le permet. Elles peuvent en effet exiger sous certaines conditions la divulgation des informations stockées sur le cloud d’une entreprise américaine quelle que soit leur localisation dans le monde.
« L’ambition est de pouvoir bénéficier des meilleures technologies opérées par des acteurs de confiance exclusivement soumis au droit européen, sans concessions en termes de sécurité« , résumait Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), à l’époque de la présentation de Bleu. C’est lui qui est chargé de délivrer le label « cloud de confiance ». Il nécessite de répondre aux exigences du visa de sécurité SecNumCloud qui . Celui-ci contient de nombreuses dispositions sur la protection aux lois extraterritoriales : le prestataire doit stocker et traiter les données du commanditaire au sein de l’Union européenne, il doit lister les risques résiduels liés à l’existence de lois extra-européennes ayant pour objectif la collecte de données ou métadonnées des commanditaires sans leur consentement préalable.
La future société Bleu devrait commencer à accompagner des clients dans la préparation de leur migration d’ici la fin 2022 sous réserve de l’obtention des autorisations réglementaires.