En quoi les data centers sont-ils devenus des infrastructures de pouvoir, au cœur des rapports de force économiques, politiques et géopolitiques actuels ?
Détenus en bonne part par des géants numériques tels que Google, Microsoft et Amazon, les data centers révèlent les dépendances structurelles de l’Union européenne et de ses États membres.
Lorsqu’on parle de technologie, on peut imaginer un empilement. Chaque élément technique reposant sur un autre, l’ensemble forme une pile de briques. Tout en haut, il y a l’IA, qui repose sur le cloud, lequel s’appuie sur les data centers. Ces centres de données ont besoin de connectivité satellite, notamment par câble et radio. Tout cela dépend de composants tels que les puces, construits avec des semi-conducteurs et des matières d’origine bien lointaine. Chaque maillon de cette chaîne est indispensable, comme l’énergie, sans laquelle tout s’effondre.
La souveraineté numérique se joue donc à plusieurs niveaux. Des dépendances potentielles existent tout au long de la chaîne, laquelle inclut les data centers pouvant stocker des données critiques. Leur appartenance à des acteurs extra-européens constitue un levier mobilisable dans les rapports de force économiques, politiques et géopolitiques.
La concentration des data centers entre les mains d’acteurs extra-européens constitue-t-elle aujourd’hui une vulnérabilité stratégique pour l’Europe ?
L’arrivée de Donald Trump a fait prendre conscience des vulnérabilités stratégiques liées à ces dépendances, notamment vis-à-vis des États-Unis, qui n’étaient pas considérées comme une priorité stratégique pour beaucoup d’États membres de l’UE.
Des décisions avaient déjà été prises de manière unilatérale par les États-Unis, comme l’Inflation Reduction Act sous Biden, ou le renouvellement et le durcissement du FISA, qui permettent aux agences de renseignement américaines d’accéder à certaines données, y compris celles de citoyens ou d’organisations étrangères. L’UE avait encore tendance à s’abriter derrière l’idée naïve d’une alliance avec les Américains.
Mais les dépendances instrumentalisées par Trump dans des rapports de force plus larges, tels que la guerre économique, les tarifs douaniers et les pressions sur les régulations européennes, en lien étroit avec les géants de la tech, constituent de réelles menaces pour l’UE. D’où l’impérative nécessité d’un renforcement d’autonomie stratégique, notamment par la souveraineté numérique.
La sécurité des données dépend notamment de leur localisation et de la nationalité des fournisseurs qui les gèrent. Si les données sont hébergées en dehors du territoire, elles sont exposées à des juridictions étrangères. Notamment américaines ou chinoises, elles menacent la confidentialité des données, tout comme leur disponibilité, en cas de coupure de connexion au data center par exemple. Il est donc indispensable de disposer d’un minimum d’infrastructures en propre.
Quels sont les enjeux de sécurité et de résilience liés aux infrastructures hébergeant les données des services publics, des infrastructures critiques et des entreprises stratégiques ?
Les trois piliers de la sécurité informatique sont la confidentialité, l’intégrité et la disponibilité des données.
La confidentialité repose sur la seule accessibilité des données aux entités et appareils autorisés. Ces derniers sont essentiels pour éviter toute faille de sécurité importante.
L’intégrité se réfère à des données complètes, sans altération. Parce qu’elles peuvent être détruites, tronquées, chiffrées, bloquées…, les datas manipulées génèrent de fausses informations.
Et la disponibilité garantit l’accès aux données. Celles-ci peuvent être notamment l’objet d’attaques de déni de service qui visent à rendre inaccessible un serveur, en le saturant à l’aide de bots.
Lorsque ces 3 piliers sont mis à mal, il faut se demander si la faille est intentionnelle, telle qu’un incendie dans un data center, parce qu’il peut s’agir d’un accident ne touchant pas la couche logicielle, mais seule la couche physique.
Les États ont-ils un pouvoir de nuisance sur les données ?
Pour les procédures d’attaques, ils recourent généralement à une forme de mercenariat. La Russie est très connue pour ça. Les hackers travaillent pour le gouvernement sans le représenter officiellement.
La rétro-ingénierie permet d’identifier les attaquants, mais attribuer ce genre d’actions à un État reste très difficile.
Quelles garanties peuvent être apportées sans maîtrise nationale ou européenne des datacenters ?
Pour assurer la souveraineté numérique nationale ou européenne, il existe des certifications de sécurité, notamment attribuées aux data centers et au cloud. L’Agence nationale de la sécurité des systèmes d’Informations (ANSSI) prône par exemple la qualification SecNumCloud qui contient une clause de souveraineté pour la sécurité d’un service cloud. Mais des désaccords au sein de l’UE empêchent pour le moment de la mettre définitivement en place. Pourtant, les enjeux de sécurité imposent de prendre certaines mesures concrètes pour faire face aux potentielles attaques numériques. Les enjeux de résilience également, pour garantir le fonctionnement d’un système informatique en cas de panne.
Au niveau de la couche logicielle, les données doivent être chiffrées et accompagnées de mesures d’authentification, pour en empêcher l’accès. De plus, la redondance est indispensable, c’est-à-dire la sauvegarde des datas dans différents gisements.
Ces enjeux impactent également le choix des lieux d’implantation des data centers. Plusieurs critères le guident, à commencer par une bonne connectivité, avec plusieurs possibilités de fournisseurs d’accès internet. De plus, la volonté de résilience rend indispensable l’accès à l’énergie, pour une alimentation autonome du centre de données.
Les data centers participent-ils à la compétitivité économique des territoires, notamment en matière d’innovation, d’attractivité, et d’IA ?
Une étude de cas a été réalisée par Asta Vonderau, sur l’implantation d’un data center par Facebook dans la ville de Luleå, en Finlande. Cette région correspondait à tous les critères et les températures froides permettaient de limiter la consommation. Le projet semblait positif à l’échelle régionale, nationale et mondiale. Dans les faits, tous ces acteurs, à part Facebook, ont été assez déçus, pour de nombreuses raisons..
Les data centers ne contribuent pas vraiment à la compétitivité territoriale, les retombées économiques ne visant pas forcément le lieu d’implantation de l’infrastructure. L’installation crée peu ou pas d’emplois, la maintenance nécessitant peu de personnel, quand une partie peut être gérée à distance. Il n’y a pas de création de valeur non plus : peu d’impôts sont prélevés, à part le foncier. Enfin, l’infrastructure consomme beaucoup de ressources, notamment en termes de refroidissement.
Les conflits locaux autour de l’implantation des data centers révèlent-ils un problème d’acceptabilité territoriale ou un désaccord plus profond sur notre modèle de développement numérique et énergétique ?
Parmi les problèmes que soulève l’implantation d’un data center, il y a le lieu choisi qui était peut-être destiné à une autre utilisation ou dans certains cas, réservé à la biodiversité. La destruction d’habitats naturels génère de nombreux débats et mouvements locaux, tout comme l’empreinte paysagère, le manque de signalétique et les nuisances sonores.
Enfin, un point crucial est la consommation en ressources. D’importantes quantités d’énergie sont utilisées, et peuvent manquer à la population locale. Il peut par exemple y avoir des coupures d’électricité et l’accès à l’eau peut être détourné. Rien que le refroidissement représente 30 à 40% de la consommation énergétique du data center.
L’essor des IA induit-il une prise de conscience quant aux besoins en ressources ?
Depuis un an ou deux, on observe une évolution de la prise de conscience de l’impact des IA comme ChatGPT. Leur utilisation consomme 10 fois plus d’électricité qu’une recherche internet classique. Aussi l’impressionnante prédation énergétique est-elle de plus en plus sensible quant à la course effrénée à la technologie.
Y aurait-il des façons d’être plus économe en ressource, d’évoluer vers un modèle d’utilisation plus durable ?
Il faut peut-être arriver à sortir de la course imposée par les États-Unis et la Chine et continuer à développer la technologie mondiale mais d’une autre manière, plus raisonnée, raisonnable, plus durable et avec nos propres valeurs.
Certains modèles algorithmiques consomment moins de ressources que d’autres et représentent des alternatives simples. Les Good Enough AI par exemple, des intelligences artificielles « suffisantes », c’est-à-dire moins complexes, permettent de numériser toute l’industrie, sans être à la pointe de la technologie.
A horizon 2035-2040, et face aux enjeux de souveraineté, de sécurité et de transition écologique, la France et l’Europe doivent-ils renforcer leur contrôle sur les data centers, et selon quelles priorités à long terme ?
Afin de renforcer la souveraineté numérique, je propose 3 leviers : l’industrie, la recherche et le développement (R&D), ainsi que la régulation.
Premièrement, on peut renforcer notre souveraineté par la base industrielle et technologique, avec des acteurs ayant les capacités et les ressources nécessaires.. Mais en Europe, ils ont des difficultés à faire face aux géants américains.
Le deuxième levier consiste à encourager la recherche, le développement et l’innovation. En permettant d’enrichir et d’imaginer nous-mêmes nos technologies, nous pouvons y inscrire nos propres valeurs, tels que les modèles suffisants.
Enfin, nous devons essayer de contrôler et de renforcer notre maîtrise de toute la chaîne du numérique, y compris les data centers. Pour ce faire, une régulation peut être mise en place, avec des normes, des standards et des certifications.
Serait-ce plutôt le rôle de l'État, le rôle de l'Europe ou les deux en concertation ? N’y aurait-il pas des problèmes d'intérêts ?
Les États européens doivent accompagner cet élan-là. Mais leur problème est de ne pas détenir chacun les ressources suffisantes pour rivaliser avec les grands concurrents, notamment américains. Il est donc nécessaire de les mutualiser afin d’avoir plus d’impact. Mais en fonctionnant avec 27 États, les désaccords et les différences de priorités stratégiques se multiplient, comme pour la certification déjà évoquée.
Ceux d’Europe de l’Est par exemple, souvent moins numérisés, sont plus exposés aux attaques numériques et préfèrent y faire face avec les performantes solutions américaines parce que les entreprises européennes collaborent difficilement, et le processus amenant une solution serait très long, coûteux, et moins adapté.
L’arrivée de Donald Trump au pouvoir a permis aux États européens de prendre conscience de la nécessité de s’entendre face à cette nouvelle menace. Cependant, l’appareil réglementaire de l’UE en matière d’enjeu numérique reste dans un flou extrêmement préjudiciable, et il faut qu’on en sorte très vite.
