Cloud souverain et confidentialité des données : une mise au point est nécessaire !
Les offres des géants US du cloud sont de qualité mais l'appellation de cloud souverain, cloud de confiance ou encore cloud sécuritaire, entretient une confusion dans l'esprit de nos entreprises.
Les géants américains du cloud investissent massivement dans leurs solutions. Celles-ci sont incontestablement de qualité mais l'utilisation du terme Cloud souverain nécessite une clarification importante pour nos entreprises françaises : une offre de cloud dit souverain d’une société américaine ne peut pas garantir la confidentialité des données de ses clients européens. Explications.
Les offres de cloud souverain européen vont bon train. Après Microsoft et le duo Orange-Capgemini , Thalès et Google Cloud, et plus récemment Oracle, c’est au tour d’Amazon Web Services d’annoncer le lancement de son offre de cloud souverain. Une offre qui couvrira dans un premier temps l’Allemagne mais qui s’adressera à tous les clients européens.
L’utilisation de l’appellation cloud souverain émanant d’offres de sociétés américaines peut faire bondir mais rien n’empêche légalement les géants américains de l’utiliser, de même que pour les appellations de cloud de confiance, cloud sécuritaires, etc. Elle créé en revanche une confusion importante sur la confidentialité des données. Il faut être clair sur les enjeux et conséquences de ces solutions pour que nos entreprises prennent des décisions technologiques en pleine connaissance : une filiale européenne d’une société américaine, qu’elle soit labelisée cloud de confiance ou certifiée SecNumCloud, ne peut pas garantir la confidentialité des données.
En effet, en tant que sociétés américaines, Google, Microsoft, Amazon, sont soumises au Cloud Act qui s’applique de manière extraterritoriale et qui de fait les oblige à transmettre les données de leurs clients européens aux autorités américaines si demande leur en est fait. Mais la plus grosse problématique - et on en parle moins - est la loi FISA… en effet l’article 702 de cette loi autorise la collecte d'information auprès de non-américains situés en dehors des États-Unis sans nécessiter de décision de justice… c’est un texte qui est sujet à beaucoup de débats sur la vie privée en particulier dans le contexte des révélations d'Edward Snowden en 2013 concernant les programmes de surveillance de la NSA… Que se passera-t-il si dans le futur les intérêts des États-Unis ou d’une des entreprises les plus puissantes du monde comme Amazon ne sont pas ou plus alignés avec nos intérêts nationaux ? Qu’adviendra-t-il de toutes les données des entreprises françaises et des citoyens français que nous aurons stockées dans ce cloud dit “souverain” ?
Soyons clair, ces acteurs ne sont pas responsables des lois de leur pays et ce cadre légal est sûrement une contrainte pour eux, mais ce cadre légal est clair et il doit être rappelé dans l’intérêt de nos entreprises et de nos citoyens.
Rappelons que les trois grands géants du cloud, Amazon (AWS), Microsoft (Azure) et Google (Cloud) détiennent 71% du marché du cloud européen. Leurs prises de position et annonces sont donc logiquement largement relayées. Ces acteurs se donnent du mal pour rassurer les entreprises et organisations, ce qui est finalement le signe qu’ils ont conscience que le sujet de la souveraineté et de la protection des données est désormais un vrai enjeu pour nos organisations. C’est finalement une bonne chose mais il est aussi important que les acteurs français et européens se rendent plus visibles afin que les entreprises bénéficient d’un choix plus large avec des options plus proches de leurs besoins…