D'un réseau cloud souverain français ou européen à un label cloud de confiance, l'objectif principal est le même pour les entreprises : assurer la sécurité de nos données personnelles et le respect du RGPD face au monopole des services cloud américains.
Hébergement des données, stockage de fichiers, messagerie professionnelle en ligne : d’après la Commission européenne, 42 % des entreprises implantées dans l'Union européenne utilisaient un service cloud en 2021 contre 36 % en 2020. Cette “cloudification”, entraînée par la transition numérique, devrait encore s’accroître ces prochaines années en France et en Europe.
Parmi les fournisseurs les plus influents sur le marché du cloud, on retrouve les géants et leurs solutions, Amazon avec AWS ainsi que Microsoft avec Azur et Google Cloud. En tant qu’entrepreneur, vous utilisez très certainement les services de ces clouds pour votre activité en ligne ; vous devez donc savoir que les données qui y transitent sont soumises à la loi américaine.
C’est dans ce contexte que s’inscrivent la réflexion autour du développement d’une offre de cloud souverain, notamment français, et le label cloud de confiance, dont les enjeux sont primordiaux pour renforcer la cybersécurité au sein de votre entreprise en France.
Entreprise française : faire face à la réglementation américaine
En utilisant des services cloud américains en tant que dirigeant d’entreprise, vous vous soumettez à deux lois :
- Le Patriot Act, qui vise à lutter contre le terrorisme et autorise les services de renseignement américains à éplucher les données personnelles.
- Le Cloud Act, qui permet au gouvernement américain de signer des accords bilatéraux avec d’autres États afin de faciliter l’accès aux données personnelles, et ce indépendamment de leur localisation.
Par conséquent, ces réglementations américaines vont à l’encontre de ce qui est préconisé dans le Règlement général sur la protection des données en France, ou RGPD, à savoir l’encadrement du traitement des données basé sur la confiance des utilisateurs.
À la place, les données stockées - de votre entreprise mais aussi celles relatives à vos clients - peuvent être utilisées sans votre autorisation et soumises à de l’espionnage. De plus, tout changement dans les politiques américaines peut affecter le traitement des données des entreprises faisant appel aux services cloud américains.
La genèse du cloud souverain en Europe
Face aux réglementations américaines sur le traitement des données via le cloud, l’Union européenne a dessiné les contours d’offres de cloud souverain dès les années 2010 : un modèle d’hébergement qui se soumet aux lois du pays auquel il est rattaché. Si le cloud est opéré depuis la France, alors il doit être conforme aux normes juridiques françaises et plus globalement de l’Union européenne, et donc respecter le Règlement général sur la protection des données (RGPD).
Autrement dit, le cloud souverain français et européen a été créé pour répondre à un enjeu de sécurité dans la gestion des données, et plus globalement de cybersécurité. Cela permet de garantir son autonomie par rapport aux règles américaines, sans pour autant affecter la performance du service d’hébergement pour les entreprises.
Le concept du cloud souverain n’a toutefois pas abouti auprès des entreprises en France et en Europe ; le cloud américain restant le modèle de référence. À la place, l’idée d’une collaboration avec les acteurs américains a émergé pour créer un nouveau modèle se voulant plus pérenne : un cloud de confiance.
Ce nouveau modèle de cloud de confiance, encore en expérimentation, se veut protéiforme :
Le cloud de confiance est un label qui garantit la sécurité et la transparence dans l’utilisation des données.
Le cloud de confiance relève également d’une politique industrielle qui pousse les entrepreneurs à créer des technologies cloud dans l’UE.
En tant que professionnel, vous manipulez sûrement des données personnelles voire sensibles au quotidien. Or, les utiliser dans le respect du RGPD est une responsabilité qui incombe à tout dirigeant français.
En attendant la démocratisation d’un label cloud de confiance, vous pouvez déjà adopter de bonnes pratiques préconisées en France par la Commission nationale de l'informatique et des libertés (CNIL) :
- Connaître la localisation géographique et l’infrastructure des serveurs où sont hébergées les données.
- Faire une analyse des risques de votre hébergeur via un logiciel ou un audit.
- Utiliser un service cloud certifié par l’ANSSI qui garantit un respect dans le traitement des données.
- Vous former sur les bons usages du cloud, et plus globalement sur la bonne hygiène numérique.
Avec la bonne coopération de partenaires public/privé, un cloud souverain français et européen, qui évolue vers un label cloud de confiance, pourrait à terme devenir un cloud garantissant la sécurité des données personnelles, la transparence et la performance des entreprises.
Comment récupérer des données supprimées ?