Par Mohammed Amine Abdelmoula
On entend beaucoup parler de souveraineté numérique. Le terme est revenu sur le devant de la scène après les dernières cyberattaques visant plusieurs institutions nationales.
Bien que les préoccupations liées à l’essor d’Internet et à la protection des données ne datent pas d’hier, l’expression « souveraineté numérique » ne s’est imposée que récemment.
Au début des années 2010, l’Europe prend conscience de sa dépendance à l’égard des GAFAM. Un mouvement s’organise, et plusieurs intellectuels et responsables politiques appellent à réduire cette dépendance.
Pierre Bellanger publie entre 2011 et 2014 une série d’articles et un livre sur le sujet.
Les révélations d’Edward Snowden, en 2013, sur les programmes de surveillance de masse de la NSA ne font qu’accentuer ces inquiétudes. Elles installent un climat de suspicion vis-à-vis des technologies américaines.
C’est ainsi que plusieurs textes sont adoptés, dont le Règlement général sur la protection des données (RGPD).
Ces législations encadrent le traitement et le transfert des données personnelles hors de l’Union européenne. Elles protègent les citoyens et garantissent des principes clés, tels que le droit à l’oubli et le consentement explicite.
Au Maroc, des dispositifs similaires ont été mis en place pour encadrer l’usage de technologies comme le cloud et l’IA, ainsi que le traitement des données personnelles. L’enjeu est de faciliter leur adoption tout en protégeant les intérêts vitaux du pays et les droits des citoyens.
Le gouvernement marocain entend aussi renforcer la souveraineté numérique du pays. Dans le cadre du plan Maroc Digital 2030, il encourage l’émergence d’acteurs locaux du cloud souverain. Cette impulsion a favorisé, ces dernières années, le développement de plusieurs offres, proposant aux entreprises des solutions d’hébergement, notamment en IaaS et en PaaS.
S’il est nécessaire d’œuvrer pour davantage d’indépendance technologique dans un contexte d’instabilité géopolitique et de cybermenaces bien réelles, il est tout aussi important de garantir aux entreprises un cadre propice à l’adoption du cloud et de l’IA, y compris via des solutions de cloud non souverain lorsque l’offre locale ne couvre pas encore l’ensemble des besoins du marché.
Dans les faits, le déploiement des projets cloud reste complexe. Entre la loi 09-08 sur la protection des données, la loi 05-20 relative à la cybersécurité et les décrets d’application, les directions informatiques et juridiques peinent à s’y retrouver.
D’après plusieurs retours de clients, il est difficile d’établir une cartographie claire des données sensibles et non sensibles. Il n’existe pas de définitions claires fournies par le législateur et admises par les entreprises.
De plus, le cadre législatif actuel pourrait décourager certains acteurs mondiaux du cloud et de l’IA de s’implanter au Maroc. En l’état, le décret n° 2-24-921 relatif au recours aux prestataires cloud pour la gestion des systèmes et des données sensibles au sein des infrastructures d’importance vitale (IIV) impose plusieurs conditions contraignantes : une infrastructure d’hébergement uniquement locale, un actionnariat majoritairement marocain, ainsi qu’une administration des systèmes assurée uniquement par des Marocains.
Si ces mesures sont légitimes dans des fonctions régaliennes comme la défense ou la sécurité nationale, elles peuvent paraître plus contraignantes pour des secteurs privés, comme la finance ou les transports. Une revue de la définition des IIV serait peut-être la bienvenue. On pourrait, par exemple, s’inspirer de l’approche française, qui classe ces acteurs comme des opérateurs de services essentiels, et adapte les exigences au degré de criticité des activités.
Bien que la souveraineté numérique soit un enjeu majeur, il ne faut pas la réduire à une dimension uniquement territoriale ou réglementaire. Disposer de centres de données locaux n’est pas suffisant : on reste dépendant du propriétaire de la technologie, qui peut la rendre obsolète et vulnérable en suspendant les mises à jour.
La véritable souveraineté technologique se construit par la capacité à innover, en favorisant l’émergence de start-up capables de créer des ruptures, comme on le voit dans la Silicon Valley, à Shenzhen ou à Hangzhou.
Les événements récents au Moyen-Orient ont aussi montré les limites d’une approche d’hébergement purement locale. Certaines banques et institutions ont connu des interruptions de service prolongées lorsque des centres de données principaux et secondaires ont été touchés. Cela a conduit plusieurs acteurs à repenser la souveraineté à l’échelle régionale afin de limiter l’effet d’un choc sur un pays.
Les cyberattaques récentes montrent aussi que l’hébergement sur site ne garantit pas, à lui seul, un niveau de protection suffisant. Dans de nombreux cas, les environnements cloud offrent des standards de sécurité plus élevés, grâce à des investissements et des dispositifs de protection mutualisés.
La souveraineté est un objectif légitime, mais elle doit rester réaliste. Dans un monde interdépendant, aucun pays ne se développe seul, et il est naturel de s’appuyer sur des partenaires internationaux. Le risque d’un réflexe protectionniste est de ralentir l’accès aux technologies les plus avancées et de décourager certains partenaires clés. Dans un domaine comme l’IA, où les cycles d’innovation se comptent en mois, perdre quelques années se traduit par un vrai retard technologique. L’enjeu est donc de se protéger, sans se pénaliser.
Rejoignez-nous sur WhatsApp
Rejoignez-nous sur telegram
Suivez-nous sur Google News
