Un projet de cloud souverain entre Google et Thales

Publié par le dans , , , | Consulté 17 Fois

Google et Thales ont annoncé vouloir s’allier afin de pouvoir proposer une offre de cloud souverain français répondant également au label « cloud de confiance ». Pour comprendre les enjeux de l’alliance annoncée entre les deux entreprises, il faut d’abord rappeler la définition d’un cloud.

Un cloud est un espace de stockage. Cet espace de stockage est dématérialisé pour l’utilisateur. Mais la réalité est bien différente, en effet, les données qui sont entreposées dans le cloud par les utilisateurs sont stockées dans des datas centers quelque part dans le monde. Ces derniers sont des espaces de stockage de données situés sur des serveurs informatiques, regroupés dans des bâtiments ainsi appelés data centers.

Autrement dit, le cloud est un espace de stockage à distance, qui n’est pas situé sur le terminal de l’utilisateur comme de manière traditionnelle, mais situé sur des serveurs regroupés dans un même endroit appelé data center.
La confiance des futurs utilisateurs de cette offre de cloud pourra passer dans l’obtention du label « cloud de confiance » lancé le 17 Mai 2021 par le Ministre de l’économie, décerné aux offres offrant une sécurisation élevée des données conservées et pour des clouds hébergés en France.

Bien souvent ces data centers sont situés hors de l’Union Européenne, le plus souvent aux États-Unis, au plus proche des GAFA. Or, cela tend à être de moins en moins vrai car les utilisateurs des services numériques se soucient de plus en plus de la protection de leurs données personnelles et aussi de leur vie privée. Ainsi, les différents acteurs du secteur tendent à déplacer leurs datas centers dans des pays où la protection des données est plus importante afin de s’assurer que les utilisateurs continuent de consommer leurs services.

Un cloud dit souverain

Ici la notion de souveraineté doit s’entendre comme une souveraineté territoriale. Le concept de cloud souverain est de permettre de conserver les données stockées sur un cloud au sein du territoire national français ou tout du moins sur le territoire européen. De manière plus simple, il s’agit donc de créer un ou plusieurs data centers en France.

L’objectif de conserver des données sur le territoire de l’Union européenne est d’ainsi de permettre à ces données de bénéficier de la protection du règlement général sur la protection des données (RGPD). Lorsque les datas centers et les données qui y sont stockées sont situés hors du territoire de l’Union Européenne, les données ne sont alors plus soumises à la protection du RGPD.

L’article du 3 du RGPD, qui précise son champ territorial d’application, dispose que le règlement s’applique pour tout traitement de données à caractère personnel effectué sur le territoire de l’Union Européenne.

Malgré l’utilisation de technologies propre à Google dans le projet, puisque les données seront à priori stockées sur le territoire national français ou du moins européen, le RGPD s’appliquera aux données hébergées dans les datas centers et permettra donc d’assurer la protection des données. Effectivement, le fait de stocker les données sur le territoire européen permet que ces dernières soient soumises au RGPD car lors de leur transfert hors du champ d’application territoriale de ce dernier, les données ne sont plus sous la protection du RGPD même si elles trouvent leur origine dans le territoire d’application dudit règlement.

Ensuite, le principe dit de « privacy by design » contenu dans l’article 25 du RGPD permettra ainsi d’assurer dès la mise sur le marché de l’offre de cloud une protection optimale et maximale des données qui y seront envoyées. Ce principe peut permettre aux futurs utilisateurs d’avoir une réelle confiance quant à la sécurisation juridique de leurs données.

Les enjeux liés au partenariat avec Google

Thales et Google ont récemment annoncé la création d’une offre de cloud souverain.
Afin de pouvoir proposer cette offre de cloud dit souverain Google et Thales entreprennent de créer une société nouvelle, dans laquelle Thales serait l’actionnaire majoritaire et Google simple actionnaire. Cette position de force de Thales, entreprise française permettra d’assurer une certaine souveraineté économique et de direction de l’offre d’hébergement des données. La position d’actionnaire de Google au sein de la nouvelle entreprise peut questionner sur la réelle souveraineté du projet de cloud, car même minoritaire Google disposera d’une influence quant aux décisions de l’entreprise.

Comme dans beaucoup d’entreprises à actions, le futur actionnaire que sera Google pourrait disposer d’une minorité de blocage, ce qui peut interroger sur la réelle souveraineté du projet de cloud.

La volonté affichée par les deux parties est d’obtenir le label « cloud de confiance » du Gouvernement français. Présenté le 17 mai 2021 par Monsieur Le Maire, Ministre de l’économie, à l’occasion d’une conférence de presse, le label est délivré pour un haut niveau de sécurisation des données et lorsque ces dernières sont exploitées sur le territoire européen. Cependant, au vu du communiqué de presse de Thales du 6 Octobre 2021, le nouveau cloud doit avoir recours aux procédés techniques et logiciels de l’entreprise américaine.

Ce recours aux technologies de Google pose indéniablement la question de la réalité de la souveraineté du stockage et du traitement des données conservées dans le cloud souverain. Certes l’on peut arguer que cette utilisation de technologies sera soumise à la règlementation du RGPD mais il n’en restera pas moins que ces technologies seront utilisées pour le stockage et le traitement de données à caractère personnel. Or très régulièrement l’entreprise américaine est vivement critiquée pour son non-respect des données personnelles de ses utilisateurs. Le Conseil d’État le 29 Juin 2020 avait par exemple confirmé la décision de la CNIL d’infliger à Google une amende de 50 millions d’euro pour ne pas avoir assez informé les utilisateurs quant à l’utilisation de leurs données personnelles sur son système Android.

Pour sa part, l’entreprise française Thales a annoncé que les data centers seront hébergés en France tout comme le service client. Thales entreprise française de la défense et de l’aérospatial notamment, devrait apporter de son côté des clés de chiffrement, une expertise en cybersécurité, ou encore gérer les accès mais aussi et surtout la sécurité et la confiance en la souveraineté de la solution apportée.

Sources :

Communiqué de presse de Thales du 6 Octobre 2021 : https://www.thalesgroup.com/fr/group/investisseurs/press_release/thales-et-google-cloud-annoncent-partenariat-strategique

RGPD, article 3 : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article3

RGPD, article 25 : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article25

Piquard (A) et Fagot(V), Le Monde, édition du 6 Octobre 2021 https://www.lemonde.fr/economie/article/2021/10/06/google-et-thales-s-allient-dans-le-cloud-de-confiance_6097303_3234.html

Vergara (I), Le Figaro, édition du 6 Octobre 2021. https://www.lefigaro.fr/secteur/high-tech/securite-informatique-thales-et-google-cloud-concluent-un-partenariat-20211006

Jones (D), Les Echos Investir, 6 Octobre 2021. https://investir.lesechos.fr/actions/actualites/thales-et-google-cloud-vont-developper-une-offre-de-cloud-souverain-en-france-1983043.php