L’intérêt de travailler sur un cloud souverain
CHEOPS TECHNOLOGY est une entreprise française de cloud computing ; dans le contexte actuel de la prise de conscience collective de l’importance des données personnelles suite notamment aux jurisprudences « SHREMS » et « SHREMS II », les initiatives visant à la protection des données personnelles des français suscitent une attention accrue. Si, comme le dit le pdg de CHEOPS TECHNOLOGY, « les données sont l’or noir du 21e siècle », alors il convient d’analyser la problématique de la souveraineté des données à l’ère du cloud computing.
La dernière innovation de la société consiste en un service de messagerie instantanée sécurisé et non basé sur des serveurs américains, ce qui permet de compléter la solution cloud qui rendait possible le stockage d’informations sur des data center français situés en France (et donc non soumis à l’extra-territorialité du droit américain). Il est ainsi possible, et recommandé pour les entreprises traitant des données particulièrement sensibles comme les données de santé des français, de stocker leurs données et d’échanger de façon sécurisée et confidentielle, ce que ne permet pas l’usage de solutions américaines telles que « AMAZON » ou « Gmail ».
Les sociétés privées ne sont pas les seules à prendre conscience de l’importance de sécuriser l’accès à ses données pour un pays, même de pays alliés. Ainsi la directive de la Direction Interministérielle du Numérique (DiNum) interdit désormais aux administrations d’héberger leurs données de messagerie chez un tiers quand ce dernier n’est pas français. Cette directive tire les leçons qui s’imposent des jurisprudences « SHREMS » et refuse désormais que les données personnelles de ressortissant français puissent être consultables par le gouvernement américain si ces données sont hébergées par une société américaine.
La question de la conformité au rgpd des offres hybrides telles que S3NS proposées bientôt par Google et Thales est incertaine, mais on peut arguer qu’une implication même partielle d’une entreprise américaine dans les logiciels permettrait à l’exécutif américain de pouvoir potentiellement faire jouer le « Cloud Act ».
L’ajout d’une messagerie pour compléter la solution cloud
Si certaines entreprises ont compris l’importance de la sécurisation de leur espace cloud, nombre d’entre elles ne voient pas l’incohérence qu’il peut y avoir à sécuriser son environnement cloud tout en continuant à échanger en interne via une messagerie américaine telle que « Gmail ». Des initiatives telles que « Mail in France » visent à pallier cet état de fait et proposer un service de messagerie aux logiciels et serveurs non soumis à des législations étrangères et ainsi susceptibles de brèches de sécurité.
Pour certains, il s’agit d’un simple protectionnisme déguisé, mais les enjeux technologiques, politiques et financiers que représentent les données au 21eme siècle semblent justifier pour les pays leader dans le domaine de sécuriser intégralement leurs espaces cloud et messageries et de recourir à des infrastructures de préférences nationales pour les données sensibles. Cette solution semble être la plus adaptée en l’absence de garantie d’anonymisation des données par les principaux services de cloud (Google, Apple…) et de messagerie (Gmail, Yahoo…).
La problématique des modèles de cloud « hybrides »
Les entreprises françaises qui ont jusque-là recouru à des services de cloud et de messagerie étrangers n’offrant pas de niveaux de protection équivalent au RGPD (voir l’invalidation du Privacy Shield) sont fortement incitées, quand elles ne sont pas contraintes par la Direction Interministérielle du Numérique (DiNum), à favoriser des acteurs européens en matière de service de cloud et de messagerie professionnelle. Le problème étant que les acteurs américains captent une part déjà substantielle du marché européen, il faut alors concilier l’impératif européen de protection des données et la volonté pour les entreprises privées de travailler dans un environnement ergonomique et efficace. Le second critère est incontestablement le domaine d’excellence des solutions cloud commercialisées par les acteurs américains majeurs, et changer d’environnement de travail n’est pas une chose aisée, c’est pourquoi des entreprises européennes de premier plan telle que Thalès collaborent avec Google, l’objectif étant de proposer une solution cloud où les serveurs seraient français mais les logiciels et les data center américains. Le problème étant qu’en la pratique c’est désormais le serveur qui s’adapte au logiciel et non l’inverse, et que ce type de collaboration signifie en réalité que l’entreprise européenne en question achète des data center à google.
Une solution laissant à désirer si l’objectif est de promouvoir l’émergence d’acteurs européens majeurs dans le domaine du numérique, étant donné qu’ils ne font qu’utiliser des technologies américaines pré-existentes. Une solution qui laisse également à désirer du point de vue de la conformité RGPD, en effet la CNIL et l’ANSSI ne se sont pas encore prononcées sur la conformité de ce type de cloud « hybrides » mais s’il a été statué que l’usage du logiciel « Google Analytics » par les entreprises européennes n’était pas conforme aux exigences de protection du RGPD en vertu du fait que les données n’étaient pas anonymisées et que ces données étaient soumises au Cloud Act, il est envisageable que les solutions cloud hybrides connaissent les même difficultés devant les instances françaises et européennes de protection des données personnelles.