Desde hace algunos años, los grandes proveedores de servicios en la nube de Estados Unidos han intensificado considerablemente sus esfuerzos promocionales, lanzando diversas iniciativas y ofertas bajo el marco de lo que denominan “cloud soberano.” Oracle EU Sovereign Cloud entró en funcionamiento en junio de 2023, y en octubre del mismo año, Amazon Web Services (AWS) presentó el esquema de su AWS European Sovereign Cloud. Microsoft, en 2022, lanzó su Cloud for Sovereignty, mientras que Google había adelantado su plan “Cloud. On Europe’s Terms” en 2021. Sin embargo, esta incursión de las gigantes tecnológicas estadounidenses en el mercado europeo de datos sensibles no ha estado exenta de controversias.
La emulación de estas ofertas, etiquetadas como “soberanas”, ha sido objeto de críticas en Francia, donde el uso del término por parte de empresas extranjeras ha generado un notable debate. Henri d’Agrain, delegado general de Cigref, una asociación dedicada al desarrollo digital en grandes empresas y servicios públicos, es uno de los más críticos: “Las denominaciones de cloud soberano de Microsoft, AWS… son puramente marketing, ya que no tienen nada que ver con la noción de soberanía”. Esta postura encuentra respaldo en varios sectores, aunque los proveedores implicados defienden sus propuestas.
El problema principal radica en la definición misma de soberanía. La “soberanía digital” es una expresión frecuentemente utilizada por medios y políticos, entre ellos, Marina Ferrari, la nueva secretaria de Estado de Digitalización en Francia. Sin embargo, la vaguedad del término hace que su interpretación varíe significativamente. La definición tradicional, según el Centro Nacional de Recursos Textuales y Lexicales, establece la soberanía como la “calidad propia del Estado que posee el poder supremo y la exclusividad de competencia en su territorio,” lo que no resuelve necesariamente las discrepancias en torno a su aplicación en el ámbito digital.
Damien Rilliard, director de Oracle EMEA especializado en soberanía, resalta las múltiples interpretaciones del término según su contexto nacional. A juicio de muchos expertos en seguridad digital, como el Club de Expertos en Seguridad de la Información y Digitalización (CESIN), la soberanía digital es una preocupación significativa, con un 55% de sus miembros situando este aspecto entre sus prioridades.
En 2021, el ministro de Economía francés, Bruno Le Maire, presentó una estrategia nacional para el cloud, y junto con ella, el sello “cloud de confianza” basado en los rigurosos criterios de la certificación SecNumCloud 3.2 de la Agencia Nacional de la Seguridad de los Sistemas de Información (ANSSI). La intención de este sello es garantizar que los datos almacenados estén protegidos contra legislaciones extraterritoriales, como el CLOUD Act y la sección 702 del FISA en Estados Unidos.
Sin embargo, ni Oracle ni AWS han priorizado aún obtener esta certificación, aunque destacan la robustez y seguridad de sus servicios en la nube. Oracle subraya que sus nubes europeas están completamente aisladas operativa y legalmente del resto de sus servicios globales. AWS, por su parte, se apoya en su herramienta de cifrado Nitro para afirmar que la empresa no puede acceder a los datos de sus clientes sin su consentimiento.
Microsoft y Google han adoptado un enfoque diferente para el mercado francés, formando asociaciones con compañías locales para cumplir con los requisitos de la certificación SecNumCloud. Microsoft se ha aliado con Bleu, una empresa creada conjuntamente por Orange y CapGemini, mientras que Google ha establecido una joint-venture con Thales para crear S3NS, asegurando una mínima participación estadounidense en sus proyectos.
La búsqueda de autonomía estratégica en el ámbito digital es un objetivo antiguo de Francia que ahora se proyecta al cloud computing. Aunque las soluciones locales aún dependen en cierta medida de tecnologías y capitales no europeos, la clave será determinar un nivel aceptable de dependencia y garantizar una gestión adecuada de los datos sensibles. El gobierno francés, mientras tanto, intenta trasladar esta estrategia a un marco europeo mediante el esquema de certificación EUCS.