Stanislas de Rémur (Oodrive) : « oui, la souveraineté a du sens »

Qu’est est l’activité de l’éditeur français Oodrive ?

Nous sommes une entreprise de 360 personnes pour un chiffre d’affaires de 40 millions d’euros. Nous avons trois gammes de produits autour de la gestion des données sensibles : le partage, la signature et la sauvegarde associées dans une plate-forme unifiée. En 2021, nous avons vendu notre activité d’identité numérique pour nous recentrer sur les services autour des données sensibles.

Mais que signifie exactement ce terme, « données sensibles » ?

Aucune définition des données sensibles n’est aujourd’hui consensuelle et c’est d’ailleurs un problème. Elles incluent, pour moi, les données personnelles avec en particulier les données de santé mais aussi les données relatives à la propriété intellectuelle ou aux informations commerciales.

Si on prend le cas des données de santé, on voit vite que la gestion des données sensibles est loin d’être satisfaisante. Le fait que le Health Data Hub soit géré sur un cloud américain a généré beaucoup d’amertume chez les industriels européens.

Comment vos solutions sont-elles installées chez vos clients ?

En très grande majorité, nous avons des clients qui utilisent les ressources mutualisées de notre offre en SaaS. Nous proposons aussi un hébergement en cloud privé. C’est toujours un SaaS, géré par nous mais sur des infrastructures dédiées munies d’un boîtier physique de chiffrement. Même un développeur d’Oodrive ne peut pas avoir accès aux données.

Nous faisons un tout petit peu d’on premise en mode licence avec maintenance mais c’est complexe à gérer pour les nécessaires mises-à-jour régulières. Clairement, nous n’acceptons l’on premise que lorsque nous ne pouvons pas faire autrement, que le client l’exige absolument.

Vous êtes donc un éditeur français de solutions cloud. Aujourd’hui, le terme de « souveraineté » a-t-il encore du sens ?

Oui, la souveraineté a du sens, bien sûr. Il est indispensable de rééquilibrer le cloud européen par rapport aux clouds américains et chinois. Beaucoup de pays (Chine, Russie, Turquie…) se protègent d’acteurs étrangers se proposant de gérer des données sensibles. Pas l’Europe. Tous les pays développent et protègent leurs industries stratégiques et le cloud est une industrie stratégique car transverse à toutes les autres. Pas l’Europe.

Il faut pouvoir réserver la gestion de nos données sensibles aux seuls acteurs du cloud européens. Si nous ne le faisons pas, nous le paierons très cher. Il semblerait qu’il y ait une certaine prise de conscience des décideurs politiques mais j’attends des vraies prises de décision. En France, la Direction Générale des Entreprises, à Bercy, est assez moteur sur la question des données sensibles.

Le problème ne serait-il pas plutôt que les entreprises françaises ne sont pas, elles, à la hauteur ?

Même le Cigref est agacé par les augmentations délirantes de tarifs des acteurs américains ! Ni OVH, ni Outscale, ni aucun autre acteur européen n’est en capacité d’offrir la totalité des fonctionnalités d’un AWS ou d’un GCP. Mais la question n’est pas là, ce n’est pas l’objectif. Plus de 90 % des utilisateurs n’utilisent même pas la totalité des fonctionnalités présentes par les clouds européens.

Dans certains cas, des groupes ont des partenariats industriels larges avec des hyperscalers américains simplement parce qu’ils n’ont pas le choix. Par exemple, pour la voiture connectée, vous avez un système Apple et un système Google. Point.

Dans ces conditions, que peut-on faire ?

Il faut de la législation. Il faut définir clairement le concept de données sensibles et obliger leur stockage dans des clouds européens. En disant cela, je ne prêche pas pour ma paroisse : nous ne sommes pas hébergeurs d’infrastructures et je n’ai donc aucun conflit d’intérêt à dire qu’il faut aller chez OVH, T-Systems ou d’autres.

Mais il faut reconnaître qu’il y a un très très fort lobbying des acteurs américains ou chinois pour nous empêcher de défendre nos intérêts.

Dans le cycle de vie des données, comment éviter les pertes en cas d’attaque, par exemple, par ransomware ?

Normalement, la possession de sauvegardes avec des conservation des versions permet de remonter dans le temps et de récupérer les données avant leur corruption. Trop souvent on confond la synchronisation, qui vise à avoir ses données partout, et la sauvegarde, qui permet de remonter dans le temps.

Et si une entreprise doit remonter des données, cela peut prendre des semaines. Enfin, c’est évidemment problématique si la politique de sauvegarde ne couvre pas tous les serveurs ou tous les postes de travail.