Alors que la CNIL autorise Microsoft à héberger les données de santé des Français, la question de la souveraineté des données se pose plus que jamais. La France cherche à développer des solutions de cloud pour ne plus être dépendante des géants américains du numérique.
Une infographie de Marie-Emilie Compes et Agathe Thobie pour le club Cyber de l’AEGE
En ce début d’année 2024, la décision est tombée : Microsoft hébergera les données médicales des Français. Peu de temps après, une autre annonce a suivi : EDF a opté pour le stockage d’une partie de ses données chez AWS. Le PDG d’EDF, Luc Rémont, a déclaré que les informations stockées ne sont pas considérées comme confidentielles.
Cependant, il est primordial de noter que les services cloud de Microsoft et d’AWS sont soumis au droit américain, ouvrant ainsi la porte à un accès des autorités américaines à toutes les données qu’elles contiennent, en vertu du Cloud Act. Cette réalité remet en question non seulement la détermination des pouvoirs publics à protéger les données des Français, mais également la capacité de la France à développer un cloud souverain ou de confiance.
Cloud souverain, cloud de confiance, certifications de souveraineté : Quelles nuances ?
Le cloud computing, ou nuage informatique, offre la possibilité de stocker des données et des applications sur des serveurs répartis à travers le monde. Ainsi, ces informations ne résident plus sur un seul ordinateur, mais sont hébergées dans un réseau de serveurs interconnectés.
L’idée d’appliquer au cloud le concept de souveraineté nationale émerge avec la note d’information n° 2016/004 du 5 avril 2016, relative à l’informatique en nuage. Le cloud souverain est alors défini comme un service de stockage axé sur la protection des données. Il est géré par des prestataires nationaux, avec des infrastructures localisées dans le pays et conformes à la législation en vigueur, ce qui signifie que les données demeurent sous la juridiction du pays où elles sont stockées. À titre d’exemple, les données sont hébergées et traitées en France par un acteur de droit français en appliquant la loi française. Cette approche assure le contrôle des autorités nationales sur les données stockées. Les fournisseurs sont généralement des entités nationales ou des partenaires gouvernementaux.
Des acteurs du secteur numérique s’efforcent donc de créer des solutions offrant une alternative à la dépendance vis-à-vis des américains. Parmi ces solutions, il existe la certification cloud de confiance, créé par le gouvernement français en 2021 lors de l’annonce d’une stratégie nationale pour le cloud. Il doit garantir la sécurité des données par le biais de solutions techniques avancées. Ce label de cloud de confiance est délivré par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) via le référentiel SecNumCloud. Cette certification assure une excellente hygiène informatique des prestataires et une protection conforme au droit européen. Ce référentiel garantit aux entreprises que le service cloud utilisé dispose d’une infrastructure étanche tout en limitant l’accès aux seuls prestataires autorisés. Son objectif premier est d’assurer la souveraineté des données en restreignant l’utilisation de matériel non-européen ou non-français pour respecter les normes française ou européenne en vigueur. En outre, ce type de nuage informatique vise à être totalement transparent, sécurisé, confidentiel et fiable dans l’utilisation et la localisation des données. Cette solution permet de répondre aux enjeux de souveraineté tout en gardant la performance technologique du cloud.
Cependant, la réalité est tout autre : aujourd’hui, la notion de cloud de confiance est largement utilisée pour désigner un cloud hybride (combinant un cloud public et privé) qui établit une collaboration entre une entreprise française et un géant du cloud américain. À l’échelle européenne, l’ENISA a proposé l’EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) à la suite du Cyber Act de 2020. L’objectif de cette certification est de renforcer la souveraineté numérique en minimisant les risques fondamentaux d’incidents de cyberattaques.
Devant la difficulté de la France à faire émerger un hébergement souverain et à s’imposer sur le marché, les demandeurs de services de cloud informatique préfèrent souvent rester fidèles aux structures qu’ils connaissent, à savoir les géants du numérique américains.
Le Cloud Act : souveraineté et confiance dans l’hébergement de données américain
L’émergence régulière de solutions cloud dites de confiance, souvent issues de partenariats avec un géant américain, pose un problème sémantique : l’utilisation d’un hébergement américain ne permet pas l’application des normes françaises et européennes sur la protection des données. Même dans le cas où les données sont stockées en France, l’extraterritorialité du droit américain établie par le Cloud Act lui permet de s’y appliquer. Cette prérogative donne un accès complet de ces données à l’État américain.
Le Cloud Act ou Clarifying Lawful Overseas Use of Data Act, adopté aux États-Unis en 2018, autorise les autorités américaines à accéder aux données stockées par les fournisseurs de services informatiques, même à l’étranger. Cette législation impose aux organismes soumis à ces règles, l’obligation de transférer toutes les données demandées par les autorités américaines, sans délai et sans possibilité pour les personnes concernées de s’y opposer, ni d’être informées de la consultation. Pour les européens, le Cloud Act remet en question les principes de protection des données établis par le RGPD, soulevant des préoccupations majeures concernant la souveraineté des données et la confiance dans les services de cloud américains.
La seule réponse face au Cloud Act, en tant que français ou européen, est de garantir que le cloud ne soit pas utilisé, directement ou indirectement, par des personnes relevant de la juridiction américaine. Cependant, devant le constat que 71% des entreprises françaises préfèrent les solutions de cloud américaines, la question de la souveraineté des données reste largement en suspens. Cette situation permet aux autorités américaines d’accéder à des données stratégiques et sensibles, leur conférant un avantage concurrentiel certain.
La souveraineté numérique en France et en Europe : GAIA-X, le Cloud Act et les alternatives nationales
Face aux conséquences de cette dépendance, les Français s’efforcent de développer un hébergement souverain ou de confiance pour faire émerger plusieurs alternatives sur le marché national. Thalès et Orange ont par ailleurs tenté de monter ensemble un cloud souverain, sans succès. Cet échec est imputable au manque d’acculturation du marché. Les entreprises françaises n’étaient pas encore prêtes, et encore moins sensibilisées, à l’arrivée de ce cloud souverain.
Après cet échec, Orange s’associe avec Capgemini et Microsoft pour construire une offre de cloud de confiance : Bleu. Le but est de profiter de l’architecture de Microsoft tout en protégeant les données selon les réglementations françaises et européennes. Cette offre garantit que les données sont stockées en France et que les clients ont un contrôle total sur leurs données. Cependant, Microsoft est une entreprise américaine et reste donc toujours soumise au droit américain (Cloud Act). Cela signifie que les autorités américaines peuvent avoir accès aux données des français. Ainsi, l’offre de confiance Bleu ne parvient pas à garantir pleinement la protection des données contre les autorités américaines en raison de l’application du Cloud Act dans ce contexte.
Pour faire face à cette situation favorable aux Américains, la France et l’Allemagne avaient lancé en 2019 GAIA-X. Cette initiative européenne vise à mettre en place une infrastructure cloud sécurisée conforme aux règles du RGPD. Son but est notamment de relever les défis posés par le Cloud Act et de promouvoir différents principes tels que la transparence, la confidentialité, la portabilité des données et l’interopérabilité. Depuis 2021, GAIA-X ravive le débat sur la souveraineté des données, notamment après le retrait de Scaleway, une entreprise initialement impliquée dans le projet. Ce retrait fait suite à l’annonce du partenariat pour la gouvernance du conseil d’administration, impliquant des entreprises non européennes telles que Huawei, Alibaba, Microsoft et AWS (Amazon Web Services). Il est à noter que Scaleway faisait partie des trois premières entreprises françaises initialement prévues pour ce projet, aux côtés d‘OVH et d’Outscale. Une fois de plus, les géants américains sont au cœur du processus, ce qui pourrait leur permettre de mettre en œuvre le Cloud Act pour accéder aux données des européens. Cette situation soulève de nombreuses interrogations, notamment celle concernant la capacité des européens à créer une infrastructure adéquate sans l’aide des entreprises américaines.
Les Européens ripostent au Cloud Act avec leur projet e-evidence. Cette réglementation permettrait aux autorités de l’Union Européenne de demander un accès direct aux preuves électroniques, indépendamment de la localisation des données. Les données pourront être demandées de la même manière que pour le Cloud Act, à condition qu’une entreprise fournisse des services dans l’UE, qu’elles soient établies dans un État membre ou représentées par une entité concernée.
Les obstacles à l’adoption des solutions de cloud souverain en France
Plusieurs obstacles permettent d’expliquer la réticence d’adopter des solutions de cloud souverain ou de confiance en France. Tout d’abord, le manque de connaissance et de compréhension du concept d’hébergement souverain et de ses avantages constitue un défi majeur. La taille et la capacité des infrastructures des fournisseurs nationaux suscitent également des interrogations sur leur capacité à rivaliser avec les géants internationaux en termes de disponibilité et de fiabilité des services. Les performances des clouds souverains sont également examinées de près, avec des doutes sur leur capacité à fournir des performances équivalentes, voire supérieures, à celles des hyperscalers (géants du cloud, qui fournissent des services de cloud à grande échelle). De plus, les entreprises doivent tenir compte des bénéfices de leurs choix d’infrastructure, craignant que les coûts des solutions de cloud souverain ne soient trop élevés par rapport aux offres concurrentes des hyperscalers, ce qui pourrait impacter leur rentabilité et leur compétitivité.
Les barrières légales et réglementaires, notamment en ce qui concerne la souveraineté des données et les impératifs de conformité, représentent également des obstacles significatifs pour les organisations qui envisagent d’adopter ces solutions. Ces contraintes juridiques et réglementaires imposent des exigences strictes en matière de gestion et de protection des données. Ces exigences complexes peuvent engendrer des ralentissements dans le processus d’adoption en raison de la nécessité de se conformer à des normes spécifiques, ce qui peut parfois être perçu comme une charge administrative supplémentaire.
En outre, les entreprises ont tendance à rester fidèles à leurs fournisseurs de services cloud actuels plutôt que d’explorer de nouvelles options. Elles privilégient la relation établie et les investissements déjà réalisés. Cette fidélité peut découler de divers facteurs, tels que la familiarité avec les plateformes existantes, la confiance dans leur fiabilité et leur sécurité, ainsi que les investissements financiers et temporels déjà réalisés pour s’adapter à ces solutions. En conséquence, cette tendance freine parfois l’exploration de nouvelles options de cloud souverain ou de confiance.
Outre les considérations techniques et réglementaires, les décisions concernant l’adoption d’un cloud souverain sont également influencées par des facteurs commerciaux. Les entreprises doivent évaluer leur capacité à maintenir leur compétitivité sur le marché mondial, tenir compte des implications du libre-échange sur leurs opérations et répondre à l’exigence d’innovation constante. Ces aspects ajoutent une dimension supplémentaire aux défis potentiels de l’adoption du cloud souverain, soulignant l’importance de prendre en compte des considérations plus larges dans le processus de décision.
Marie-Emilie Compes & Malo des Cognets pour le club Cyber de l’AEGE
Pour aller plus loin :