Cloud et souveraineté : nos données sont-elles vraiment protégées ?
Envoyer un email, partager une photographie ou réserver un rendez-vous médical ne peut ainsi plus se faire sans recourir au Cloud.
En effet, les solutions cloud offrent au client une grande flexibilité, une optimisation des coûts, un espace de stockage évolutif, un modèle de paiement d’abonnement par lequel on ne paye que ce qu’on utilise et surtout l’accès à des solutions performantes, innovantes et sécurisées.
Demain dans tous les domaines de l’industrie, dans le secteur public, dans l’éducation ou encore dans la santé, l’usage du cloud sera nécessaire à la croissance de notre économie.
La souveraineté numérique peut être définie comme la capacité d’un État à pouvoir maîtriser l’ensemble des ressources numériques, tant d’un point de vue économique que social et politique, affranchie de tiers ou d’influences extérieures.
La souveraineté des données, quant à elle, étend cette notion aux organisations. Elle détermine leur capacité à protéger leurs données d’éventuelles interférences notamment étrangères et donc à agir de manière indépendante en particulier dans des domaines stratégiques à leur développement. La conformité à la réglementation européenne, laquelle limite les possibilités de transferts de données à caractère personnel en dehors de l’Union européenne, constitue en particulier un gage de souveraineté des données.
Quand on stocke des données dans le cloud (technologies d’informatique en nuage), la protection de ces dernières est soumise à la législation du pays dans lequel le fournisseur du service réside. Or, chaque pays a ses spécificités juridiques, notamment en matière d’accès aux données. Les entreprises doivent donc être vigilantes avant de choisir leur prestataire.
Choisir un hébergeur cloud, c’est choisir à quelle législation vos données seront soumises.
Le 17 mai 2021, le Gouvernement a présenté sa stratégie nationale pour un cloud souverain[1].
L’enjeu : garantir la protection et la maîtrise des données hébergées en France pour s’opposer à des lois extraterritoriales, comme le Cloud Act américain. Mais le marché étant dominé par Amazon, Microsoft et Google, la réalité économique impose à l’État de miser sur des accords de licence des technologies américaines.
C’est le paradoxe au cœur de la « stratégie nationale pour un cloud souverain », présenté ce 17 mai par Bruno Le Maire, ministre de l’économie, aux côtés de Cédric O, secrétaire d’État au numérique, et Amélie de Montchalin, ministre de la transformation et de la fonction publique.
« La France doit se doter d’un cloud de confiance car les données sont stratégiques. Une grande partie de la valeur économique au XXIe siècle passera par les données, c’est pourquoi il est essentiel de les protéger », a déclaré en guise de préambule Bruno Le Maire.
Un des piliers de cette stratégie est la création d’un label « Cloud de confiance » avec le visa de sécurité « SecNumCloud » pour bénéficier des meilleurs services cloud mondiaux tout en protégeant les données des français avec le support de l’ANSSI[2], l’autorité et le garant français de la souveraineté des données.
Car l’enjeu est de taille. Rien qu’en Europe, le marché du cloud computing – informatique en nuage – a enregistré une croissance de 27 % par an entre 2017 et 2019, selon un livre blanc publié en avril par le cabinet KPMG[3] et cofinancé par des acteurs français comme OVH et Talan.
Le marché, qui est estimé à 53 milliards d’euros pour 2020, devrait atteindre 300 à 500 milliards d’euros d’ici 2027-2030 et générer plus de 500 000 emplois directs.
Dans un contexte de concurrence mondialisée et de croissance exponentielle des volumes de données sensibles et stratégiques utilisées dans le cloud, la sécurité et la souveraineté des données constituent l’une des principales préoccupations des décideurs.
Les récents évènements de l’actualité ne nous rassurent pas mais nous démontrent l’urgence et la nécessité d’avoir un cloud souverain.
Par exemple des données de santé piratées dans les hôpitaux de Paris (AP-HP), la cybermalveillance des Russes vis-à-vis des parlementaires de l’UE (Ghostwriter), l’affaire Pegasus (espionnage au plus haut sommet de l’État, logiciel espion israélien intégré dans les téléphones portables), Proton Technologies, le service de messagerie chiffrée Suisse (la société Suisse ProtonMail transmet des données personnelles de messagerie à l’État français de citoyens Français activistes malgré le RGPD), etc.
Notre dossier se propose de traiter les enjeux et les perspectives de la souveraineté des données auxquels les organisations devront faire face dans les prochaines années.
Nous aborderons cette problématique sous l’aspect juridique avec les limites de la RGPD, sous l’aspect technique et enfin sous l’aspect stratégique avec les bonnes pratiques à mettre en place. [4]
[1] www.economie.gouv.fr/cloud-souverain-17-mai#
[2] ANSSI : Agence Nationale de Sécurité des systèmes d’information : www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-de-service-dinformatique-en-nuage-secnumcloud/
[3] Livre blanc KPMG : assets.kpmg/content/dam/kpmg/fr/pdf/pdt/fr-mv-1204-lcege.pdf
[4] Exemples de services cloud les plus connus : Gmail, Dropbox, GoogleDrive, Office 365, Spotify, Zoom, Salesforce, Slack, PayFit, DocuSign, OpenShift, Dataiku.
