Au mois de septembre, Bruno Le Maire, ministre de l’Économie, mais aussi ministre de la Souveraineté numérique, a annoncé la mise en place d’un plan de soutien en faveur d’un écosystème français du cloud. Il a ainsi marqué le retour en force d’un concept épineux qui vous concerne, compte tenu que vous collectez probablement au quotidien les données confidentielles de vos clients, patients, usagers ou partenaires : celui du cloud souverain. Nous vous proposons de définir cette notion avant d’expliquer pourquoi son respect pose tant de difficultés.
Qu’est-ce que la souveraineté numérique ?
La souveraineté numérique est la faculté, pour un Etat (ou un regroupement d’Etats, dans le cas de l’Union Européenne), d’assurer la protection des données des agents de cet État, en évitant leur divulgation à toute entité relevant d’une puissance étrangère, et en les soustrayant à toute influence ou surveillance étrangère. Pour assurer cette souveraineté numérique, les États peuvent légiférer afin de fixer des restrictions sur les conditions d’hébergement de ces données, ou leur traitement logiciel.
Le Règlement Général sur la Protection des Données (RGPD) est un texte adopté par l’Union européenne. Il vise à protéger les citoyens européens contre les pratiques de profilage et d’espionnage et à sécuriser le traitement des données à caractère personnel.
Entre autres, il stipule que les données personnelles des citoyens européens ne doivent pas quitter le territoire de l’Union européenne. Il intègre ainsi un certain nombre de mesures destinées à assurer la protection des données personnelles et à maintenir une souveraineté des Etats membres sur les données personnelles de leurs ressortissants.
Comment définir la problématique de souveraineté dans le cloud ?
La souveraineté des données dans le cloud (cloud souverain) est une extension de la notion de souveraineté numérique à l’informatique en nuage. Elle consiste à protéger les données (critiques ou non) stockées sur les datacenters composant un cloud des tiers de nationalité étrangère.
Mais même si son énoncé théorique semble limpide de prime abord, cette notion est bien plus hypothétique dans la pratique.
En effet, dans un cloud, les données sont susceptibles d’être stockées ou transférées sur de multiples datacenters généralement éparpillés géographiquement.
Cet éparpillement est la clé de l’efficacité du cloud, puisqu’il lui permet d’optimiser sa consommation de ressources énergétiques (par exemple, en exécutant les tâches les plus énergivores dans les pays où le coût énergétique est le plus faible, ou dont le fuseau horaire correspond à une faible consommation locale.
De même, la dissémination des datacenters sur plusieurs zones différentes permet de sécuriser le système. Si l’un des centres de données est victime d’un aléa local (incendie, aléa climatique), les autres, demeurés intègres, pourront prendre le relai.
Mais bien sûr, cette répartition est incompatible avec la souveraineté numérique, puisqu’elle signifie que les datacenters d’un cloud situés dans un pays particulier peuvent collecter des données provenant d’un autre État.
Le RGPD et le Privacy Shield
Depuis les révélations d’Edward Snowden, il est de notoriété publique que les autorités américaines se livrent à une surveillance de masse des internautes du monde entier, grâce à la coopération des grandes firmes américaines de l’Internet.
C’est la raison d’être du RGPD : il vise (entre autres) à protéger la vie privée des citoyens européens en interdisant certaines pratiques. En particulier, il interdit le transfert de données de citoyens européens vers des pays non membres de l’Union européenne.
Mais pour maintenir les activités commerciales entre l’UE et les États-Unis, des aménagements ont été prévus. En particulier, jusqu’en juillet 2020, il était possible de transférer des données provenant de pays membres vers les États-Unis dans le dans le cadre du Data Privacy Shield (DPS).
Le DPS instituait une exception pour les données provenant de l’Union européenne, afin de limiter l’examen des autorités américaines et de préserver leur caractère privé. Mais ce dispositif a été invalidé par la Cour de justice de l’Union européenne le 16 juillet 2020.
Le Cloud Act
Une autre loi américaine, le Cloud Act, adopté en 2018 dans le cadre de la lutte anti-terroriste, est également susceptible de violer le Règlement européen.
En effet, elle confère un droit d’accès sur les données relatives à tout citoyen américain ou résident des États-Unis stockées par les prestataires de services cloud opérant sur le sol américain.
Les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) sont les premières firmes visées par cette loi, mais pas seulement. Les entreprises étrangères détenant des serveurs aux États-Unis, comme Orange, par exemple, y sont également soumises. Et ce, même si les données en question sont stockées dans ses centres de données établis hors des États-Unis (en France, par exemple).
Le Cloud Act constitue donc une remise en cause de la souveraineté numérique du pays dans lequel se trouve le datacenter dont les autorités américaines convoitent les données. En effet, il ouvre la porte à une interférence américaine, et pourrait même permettre l’espionnage industriel.
Les hyperscalers
Les 3 mastodontes de l’hébergement cloud (les “hyperscalers”), AWS (Amazon Web Service, fourni par Amazon), Azure fourni par Microsoft et Google Cloud Platform d’Alphabet sont tous 3 de nationalité américaine. À eux 3, ils représentent plus des 2/3 du marché européen de l’hébergement cloud, révèle une étude de Synergie Research Group. AWS concentre même à lui tout seul 46 % de ce marché.
La Cour européenne de justice a établi que les citoyens européens ne disposent d’aucun recours lorsque leurs données personnelles sont transférées aux États-Unis. C’est la raison pour laquelle le stockage de données personnelles de citoyens européens sur des serveurs établis sur le sol américain constitue une violation du RGPD.
Qu’à cela ne tienne : pour rassurer les Européens, les hyperscalers mettent en avant leurs datacenters basés sur le sol européen, et assurent que la confidentialité des données informatiques qui leur seront confiées sera respectée.
Mais comme nous l’avons vu, le Cloud Act ne retient pas le critère de territorialité, mais celui de la nationalité. Il s’impose donc à toute société américaine, quel que soit la localisation de ses serveurs. En clair, la possession d’un data center en Europe n’exonère pas l’hébergeur américain qui l’exploite de fournir les données réclamées par les autorités américaines.
Leur nationalité américaine pose donc une menace pour la souveraineté numérique française, et les hyperscalers ne peuvent donc pas prétendre qu’ils fournissent un cloud souverain.
La position du gouvernement français
Andromède et Gaïa-X
La nécessité de développer un cloud souverain français n’est pas une idée récente. En 2009, François Fillon, alors Premier ministre, avait déjà promu un projet en ce sens. Baptisé “Andromède”, ce cloud souverain, qui devait être conçu par une société émanant d’Orange, Thales et Dassault Systèmes, n’a finalement jamais vu le jour.
En octobre 2019, un projet de cloud européen a été initié par un collectif de 22 entreprises françaises et allemandes parmi lesquelles on trouvait Deutsche Telekom, Siemens, Bosch, OVHCloud , Orange et Safran, Gaïa-X. Depuis, plus de 150 autres sociétés européennes… ou non, les ont rejointes. Des firmes américaines ou même chinoises telles qu’Oracle, Saleforce, ou Huawei, s’y sont aussi associées.
La stratégie du cloud de confiance
Les problématiques de souveraineté numérique n’ont pas disparu pour autant. Ainsi, le 15 septembre 2021, Nadi Bou Hanna, directeur interministériel du numérique, a annoncé l’interdiction, pour les ministères du gouvernement français, d’utiliser Microsoft 365, parce qu’il conduit à héberger des données sensibles sur le cloud de Microsoft.
Fin 2020, il était déjà apparu que les données de santé de millions de Français, collectées dans une base de données du gouvernement, le “Health Data Hub”, étaient conservées dans le cloud de Microsoft Azure. De même, Doctolib, recommandé par le gouvernement pour gérer les rendez-vous de vaccination pendant la crise sanitaire, fait appel à AWS pour le stockage de ses données.
Au début de cette année, le gouvernement français semblait miser sur l’octroi de licences accordées par des fournisseurs de “cloud de confiance” (américains) détenteurs de la certification SecNumCloud décernée par L’ANSSI (Agence nationale de la sécurité des systèmes d’information) au bénéfice de sociétés françaises. OVHcloud et Thales ont ainsi conclu un accord de partenariat avec Google Cloud, tandis qu’Orange et Capgemini ont opté pour Microsoft Azure.
Mais selon l’étude d’un cabinet d’avocats américain, le Cloud Act sera tout de même valide dans cette configuration, et ces alliances ne permettront pas d’y échapper.
Cela explique les déclarations récentes en faveur d’un cloud français de Bruno Le Maire que nous évoquions dans notre introduction.
La souveraineté numérique à La Réunion
Vous pouvez considérer que la souveraineté des données que vous collectez est assurée si votre hébergement de données peut garantir la sécurité de vos données et le respect de la vie privée de vos clients, patients ou usagers, tout en assurant leur protection contre les tentatives d’intrusion, d’espionnage et de surveillance. Pour ce faire, vous devez pouvoir répondre par l’affirmative aux points suivants :
- L’infrastructure et les données des différents pans de votre système informatique sont localisées sur le sol français ;
- La société qui assure éventuellement la gestion de votre informatique en nuage (cloud) est une société de droit français. Ses datacenters sont localisés sur le territoire français.
- Les éditeurs d’applications ou logiciels (en mode SaaS) que vous utilisez sont eux aussi français au sens international, c’est-à-dire qu’ils ont leur siège social en France et sont enregistrés en France (notion “d’incorporation”). Ils utilisent exclusivement des data centers basés sur le sol français ou européen.
Mais cela ne suffit pas : vous devez en outre veiller à ce que votre prestataire de cloud computing ne fasse pas appel à un sous-traitant non-français pour le stockage des données.
Si vos données sont très sensibles, une solution consiste à renoncer aux clouds publics logés chez les hyperscalers et à opter pour un cloud privé hébergé par un prestataire français ou européen, que votre entreprise sera la seule à utiliser.
Le chiffrement systématique de vos données dans le cloud offre une autre alternative pour contourner ces difficultés. Selon certains experts, c’est même la meilleure solution, compte tenu que les fonctionnalités offertes par les clouds américains dépassent bien souvent celles de leurs homologues européens.
Vous vous posez des questions sur la confidentialité des données, le stockage des données personnelles de vos clients, la localisation des data-centers sur lesquels elles sont hébergées, ou sur la manière de protéger vos données sensibles ? Contactez Stor à La Réunion. Nos 2 centres de données sécurisés sont basés à Sainte-Clotilde, ce qui vous assure une réactivité maximum (oubliez les problèmes de câbles sous-marins) et votre conformité avec le RGPD. Regagnez la souveraineté sur vos données dans le cloud grâce à nous !
