Avec l’opérationnalisation de ses règles et la maturité atteinte par ses espaces de données, Gaia-X a montré lors du sommet qui s’est tenu les 20 et 21 novembre, que les éléments propices à une montée en puissance étaient réunis.
Initiative privée européenne lancée en 2020 par des entreprises utilisatrices et fournisseurs de services numériques et des instituts académique et de recherche, l’association internationale sans but lucratif Gaia-X propose un cadre de confiance technique pour l’échange de données, associé à une labellisation de services fondée sur des critères de protection des données, de cybersécurité, d’environnement, de portabilité, ou encore de transparence. Les exigences reposent sur des déclarations attestées et vérifiables par des tiers. Aujourd’hui, Gaia-X regroupe des centaines de membres en Europe et sur d’autres continents, et facilite des projets à grande échelle au sein des différents espaces de données sectoriels.
L’Europe dispose désormais de standards de facto, reconnus et opérationnels, définis par Gaia-X, permettant d’évaluer un service ou une application cloud selon quatre niveaux de sécurité et de confiance !
Si les données courantes peuvent être hébergées chez tout fournisseur certifié, les données sensibles exigent de bénéficier du niveau de certification le plus élevé. Le cadre de confiance Gaia-X permet ainsi aux organisations de choisir le niveau de protection adapté à la sensibilité de leurs données et des traitements associés, sur la base de critères élaborés collectivement par les membres de l’association, européens et non européens. Ces critères reposent sur les valeurs européennes : ouverture à la concurrence, transparence des contrats, protection des données, sécurité, portabilité, impact environnemental maîtrisé et contrôle européen (immunité aux lois non européennes à portée extraterritoriale).
Tous les labels Gaia-X comportent des exigences en matière de confiance, protection des données, cybersécurité, portabilité, environnement et transparence contractuelle. La conformité est contrôlée par les Gaia-X Clearing Houses (GXDCH), qui attribuent les labels.
Le niveau “standard compliance” définit un socle minimal d’exigences attendues pour pouvoir participer à l’écosystème Gaia-X.
Le label level 1 complète le précédent par des exigences supplémentaires en termes de droit applicable (UE/EEA), de gouvernance et de transparence. Il est également obtenu sur la base d’une auto-certification.
Le label level 2 complète le niveau précédent en y adjoignant l’option obligatoire de pouvoir traiter les données en Europe uniquement et en exigeant la validation des critères par un organisme d’évaluation de la conformité, sur la base de standards reconnus comme ISO 27001, SecNumCloud, CISPE GDPR Code, CNDCP, etc…
Le label level 3 (European Control) y adjoint des critères pour assurer l’immunité aux lois extraterritoriales non européennes.
À Porto, CISPE a présenté le premier catalogue de services Gaia-X opérationnels, reposant sur sa propre Gaia-X clearing house opérée par Cloud Data Engine. Le catalogue compte déjà plus de 600 services localisés provenant de 15 fournisseurs. Les organisations peuvent ainsi choisir en fonction du niveau de sécurité et de confiance. L’objectif est d’étendre l’offre à environ un millier de services afin de créer un véritable marché concurrentiel.
Cinq fournisseurs, dont trois français — Cloud Temple, OVHcloud, Thésée Datacentre — ont obtenu un label pour au moins une de leurs offres, via le système d’onboarding de Cloud Data Engine. D’autres sont en cours de labellisation.
Ce cadre commun permet désormais d’établir des comparaisons objectives, de prendre des décisions éclairées et d’intégrer des exigences dans les appels d’offres, par exemple en demandant des services label 3 Gaia-X assurant l’immunité aux lois extraterritoriales, comme l’ont déjà fait EDF et Airbus.
La labellisation Gaia-X offre ainsi un environnement lisible, cohérent et exigeant, propice à l’innovation tout en garantissant sécurité, résilience et confiance.
Lors du sommet, Catherine Jestin, Présidente du Conseil d’Administration de Gaia-X et Executive Vice President Digital chez Airbus a affirmé que le cadre avait vocation à s’étendre à l’international et à « s’adapter à d’autres régions, car les chaînes d’approvisionnement de nos entreprises ne s’arrêtent pas à nos frontières. »
Parmi les futures innovations clés, figurent l’automatisation du contrôle de la conformité aux règles, ainsi que le principe BYOR (Bring Your Own Rules, c’est-à-dire « apportez vos propres règles »). Avec ce principe, les différents secteurs industriels et pays pourraient adapter le cadre à leurs lois et à leurs besoins, tout en restant compatibles entre eux.
Des projets concrets, des avantages mesurables
Gaia-X recense aujourd’hui 180 projets d’espaces de données en Europe, financés par la Commission ou par des États membres de l’UE. Pour les premiers projets lancés, l’essai devra être transformé en 2025-2026 avec des passages en production, des financements privés ou des modèles économiques pérennes. Le « passage à l’échelle opérationnelle » est essentiel.
EDF par exemple, coordonne actuellement la construction d’un espace de données Data4NuclearX pour permettre à la filière nucléaire (2 500 entreprises dont 80% de PME) de fluidifier la circulation d’informations dans un environnement sécurisé et de confiance, et ainsi d’être plus efficace dans ses opérations de maintenance des centrales existantes et dans la construction de six nouvelles centrales nucléaires. Le projet nécessite le niveau de sécurité le plus élevé, à savoir le niveau de label 3, car il s’agit d’une infrastructure critique.
La prochaine plénière du Hub France Gaia-X prévue le 9 avril 2026 à Bercy, sera l’occasion de présenter les avancées substantielles des différents projets d’espaces de données européens, également coordonnés par des membres du Cigref, ainsi que toute l’actualité de Gaia-X et de sa feuille de route.
La dimension mondiale de la confiance
Gaia-X n’est pas un projet européen fermé. Le Japon, la Corée, le Canada et le Brésil manifestent également leur intérêt pour des solutions similaires. Même la Chine a annoncé son intention de créer d’ici 2028 une centaine d’espaces de données « fiables » dans différents secteurs.
Si les principes développés par Gaia-X sont conçus pour respecter la législation européenne tout en permettant une coopération sécurisée avec des partenaires à l’international, les décisions stratégiques restent toutefois sous le contrôle total de l’Europe : seuls les représentants d’organisations européennes peuvent siéger au Conseil d’Administration.
