Commençons par les définitions:
- Le cloud de confiance est une infrastructure privée qui allie sécurité avancée et conformité aux normes pour la protection des données françaises et européennes. Ces entreprises doivent obtenir une qualification SecNumCloud et ne pas être soumises à des lois non européennes comme le Cloud Act américain.
- Le cloud souverain est le fait d'héberger ses données dans un pays (France) ou une région particulière (Union Européenne). C'est l'ancêtre du cloud de confiance et se concentre sur la notion de souveraineté et de territoire.
Hébergement des données, stockage de fichiers, messagerie professionnelle en ligne : d'après la Commission européenne, 5,2 % des entreprises implantées dans l'Union européenne utilisaient un service cloud en 2023 contre 36 % en 2020. La France figure en queue de peloton avec seulement un quart de ses entreprises qui ont franchi le pas. Cette “cloudification”, entraînée par la transition numérique, devrait néanmoins s'accroître ces prochaines années en France et en Europe. La Commission européenne vise notamment les 75 % d'adoption d'ici à 2023.
Parmi les fournisseurs les plus influents sur le marché du cloud, on retrouve les géants et leurs solutions :
- Amazon avec Amazon Web Services (AWS),
- Microsoft avec Azure,
- Google Cloud Platform
En 2022, ces entreprises soumises à la loi américaine représentaient à eux seuls 70 % de la croissance de la dépense française en cloud, selon la société d'études Markess.
C'est dans ce contexte que s'inscrivent la réflexion autour du développement d'une offre de cloud souverain, notamment français, et le label cloud de confiance, dont les enjeux sont primordiaux pour renforcer la cybersécurité au sein de votre entreprise en France.
Entreprise française : faire face à la réglementation américaine
En utilisant des services cloud américains en tant que dirigeant d'entreprise, vous vous soumettez à deux lois :
- Le Patriot Act, qui vise à lutter contre le terrorisme et autorise les services de renseignement américains à éplucher les données personnelles.
- Le Cloud Act, qui permet au gouvernement américain de signer des accords bilatéraux avec d'autres États afin de faciliter l'accès aux données personnelles, et ce indépendamment de leur localisation.
Par conséquent, ces réglementations américaines, qui reposent sur le principe d'extraterritorialité de la législation, vont à l'encontre de ce qui est préconisé dans le Règlement général sur la protection des données en France, ou RGPD, à savoir l'encadrement du traitement des données basé sur la confiance des utilisateurs.
À la place, les données stockées - de votre entreprise mais aussi celles relatives à vos clients - peuvent être utilisées sans votre autorisation et soumises à de l'espionnage. De plus, tout changement dans les politiques américaines peut affecter le traitement des données des entreprises faisant appel aux services cloud américains.
La genèse du cloud souverain en Europe
Face aux réglementations américaines sur le traitement des données via le cloud, l'Union européenne a dessiné les contours d'offres de cloud souverain dès les années 2010 : un modèle d'hébergement qui se soumet aux lois du pays auquel il est rattaché. Si le cloud est opéré depuis la France, alors il doit être conforme aux normes juridiques françaises et plus globalement de l'Union européenne, et donc respecter le Règlement général sur la protection des données (RGPD).
Autrement dit, le cloud souverain français et européen a été créé pour répondre à un enjeu de sécurité dans la gestion des données, et plus globalement de cybersécurité. Cela permet de garantir son autonomie par rapport aux règles américaines, sans pour autant affecter la performance du service d'hébergement pour les entreprises.
Le concept du cloud souverain n'a toutefois pas abouti auprès des entreprises en France et en Europe ; le cloud américain restant le modèle de référence. À la place, l'idée d'une collaboration avec les acteurs américains a émergé pour créer un nouveau modèle se voulant plus pérenne : un cloud de confiance.
Ce nouveau modèle de cloud de confiance, encore en expérimentation, se veut protéiforme :
Le cloud de confiance est un label qui garantit la sécurité et la transparence dans l'utilisation des données.
Le cloud de confiance relève également d'une politique industrielle qui pousse les entrepreneurs à créer des technologies cloud dans l'UE.
En tant que professionnel, vous manipulez sûrement des données personnelles voire sensibles au quotidien. Or, les utiliser dans le respect du RGPD est une responsabilité qui incombe à tout dirigeant français.
En attendant la démocratisation du label "cloud de confiance", lancé par le gouvernement en 2021 pour faciliter l'identification des acteurs français du cloud, vous pouvez déjà adopter de bonnes pratiques préconisées en France par la Commission nationale de l'informatique et des libertés (CNIL) :
- Connaître la localisation géographique et l'infrastructure des serveurs où sont hébergées les données.
- Faire une analyse des risques de votre hébergeur via un logiciel ou un audit.
- Utiliser un service cloud certifié par l'ANSSI qui garantit un respect dans le traitement des données.
- Vous former sur les bons usages du cloud, et plus globalement sur la bonne hygiène numérique.
Avec la bonne coopération de partenaires public/privé, un cloud souverain français et européen, qui évolue vers un label cloud de confiance, pourrait à terme devenir un cloud garantissant la sécurité des données personnelles, la transparence et la performance des entreprises.