Headline

Pourquoi le nouveau label “cloud de confiance” du gouvernement n’est pas si souverain que ça

Pourquoi le nouveau label cloud de confiance du gouvernement n'est pas si souverain que ça
Pourquoi le nouveau label “cloud de confiance” du gouvernement n’est pas si souverain que ça © Numérique.gouv.fr

Ce lundi 17 mai, Bruno Le Maire, ministre de l’Economie, Cédric O, secrétaire d’Etat chargé de la transition numérique et des communications, et Amélie de Montchalin, ministre de la transformation et de la fonction publique, ont dévoilé la stratégie cloud du gouvernement.

Protéger les données
Principale annonce : la création d’un nouveau label “cloud de confiance” pour que les entreprises, les administrations et les citoyens puissent “bénéficier des meilleurs services cloud mondiaux” tout en protégeant les données. En d’autres termes, ce label doit garantir aux utilisateurs une mainmise complète sur leurs données. 

Le label reposera notamment sur le visa “SecNumCloud” délivré par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Ainsi, les fournisseurs de cloud souhaitant recevoir le nouveau label devront en premier respecter le référentiel technique de ce visa et les exigences du futur schéma européen connu sous le nom de “European Cybersecurity Certification Scheme for Cloud Services”.

De plus, “les infrastructures et les systèmes” devront être localisés en Europe. Enfin, “les portages opérationnel et commercial de l’offre” devront être assurés par une entité européenne détenue par des acteurs européens. 

L’objectif de cette grille de critères est de lutter contre le risque d’accès aux données du fait de l’application de réglementation extraterritoriale. Sans le dire, le gouvernement vise le CLOUD Act qui permet aux autorités américaines d’ordonner la divulgation de données stockées en Europe par des entreprises américaines.

Les entreprise extra-européennes sont les bienvenues
Or, la stratégie gouvernementale prévoit que les services cloud édités par “des entreprises extra-européennes” pourront également “être labellisés”. Pour cela, des conditions portant notamment sur l’entité opérant ces services et sur la localisation des données devront être remplies. En apparence, ces critères semblent être en conformité avec l’idée d’un cloud souverain. Mais en pratique, quelle que soit la localisation des données – aux Etats-Unis, en Europe ou dans le reste du monde – les autorités américaines ont accès aux données à partir du moment où elles sont stockées par une entreprise américaine en vertu du CLOUD Act. 

D’ailleurs, la légalité du stockage de données d’Européens par des fournisseurs américains est loin d’être assurée depuis l’invalidation du Privacy Shield. La Cour de justice de l’Union européenne avait justement décidé d’abroger ce texte à cause des lois américaines qui violent le Règlement général sur la protection des données (RGDP). 

La même problématique se pose avec l’association Gaia-X qui accueille des entreprises américaines et chinoises en son sein. Elle expliquait que ces sociétés ne recevront pas de facto le label nécessaire pour proposer ses services via le catalogue Gaia-X. Si elles ne respectent pas un ensemble de critères, elles deviendront des membres dormants. 

Une stratégie vouée à l’échec ?
La stratégie nationale rappelle un constat déjà connu depuis longtemps : il n’est possible de créer un cloud souverain français sans entreprise américaine car près de 70% du marché du cloud est détenu par Amazon, Microsoft et Google.

Leave a Reply

Your email address will not be published. Required fields are marked *