Souveraineté européenne et protection des données : qui mène la danse ?
À l'heure où la protection des données et la souveraineté européenne sont des enjeux phares du numérique, les entreprises doivent évoluer dans un paysage réglementaire complexe qui n'est pas sans défis.
La protection de la donnée est devenue un enjeu stratégique majeur. L'externalisation croissante des données sensibles vers des solutions cloud tierces contraint les entreprises, et plus particulièrement celles en Europe attentives à leur souveraineté numérique, à sélectionner leurs fournisseurs avec prudence. La multiplication des offres cloud annonçant leur caractère européen soulève une question importante : qu'en est-il vraiment de la souveraineté numérique liée à la protection des données en Europe, et comment les réglementations impactent-elles les entreprises ?
Protection et propriété des données : vers une “guerre froide” technologique ?
La recrudescence des cyberattaques et le durcissement des exigences en matière de cybersécurité font de la protection des données un facteur clé pour les sociétés privées. De plus, la sécurité informatique se complexifie face à la diversité des normes qui s’appliquent selon les zones géographiques, particulièrement entre les Etats-Unis et l’UE. Le Cloud Act, loi américaine qui permet aux autorités du pays d'accéder aux données stockées sur le cloud d’entreprises américaines, quelle que soit leur localisation, met en évidence l’intérêt à porter à l’emplacement des données, mais surtout à l'origine des entreprises qui les détiennent. En Europe, le RGPD protège les données personnelles, en définissant les règles applicables à leur collecte, leur traitement et leur utilisation, y compris pour leur monétisation, et ce même lorsque ces données sont traitées en dehors de l'Union européenne (sous réserve du respect de certaines conditions).
La tension entre le RGPD et, par exemple, la plupart des réglementations américaines fragilisent la cohérence du paysage juridique numérique. Le Cloud Act et le RGPD sont deux lois qui ne s’accordent pas, complexifiant les opérations (et le positionnement) des entreprises qui utilisent des services cloud. Alors que le RGPD prescrit des règles strictes pour la protection des données personnelles, le Cloud Act permet aux autorités américaines d'accéder à ses données stockées dans l'UE si le fournisseur ou la société mère du fournisseur est basé aux États-Unis. Ceci ajoute une couche de complexité supplémentaire pouvant donner lieu à une forme de « guerre froide technologique » où les législations sur l’accès aux données s’accumulent et s’opposent.
Le concept de souveraineté, traditionnellement associé à l'État-nation, s'étend donc désormais aux entreprises, et repose ici sur deux facteurs : le traitement des données, et l’origine du propriétaire de l'entreprise qui gère ces données. Gérer un centre de données implique des coûts et des défis croissants liés à l'évolution des technologies, des réglementations et des attentes clients, expliquant l’externalisation croissante de cette gestion. La complexité réglementaire s'accroît avec les réglementations locales, européennes, les partenariats et les normes mondiales en devenir. Pour les petites entreprises, cela peut s'avérer fatal, car elles n’ont pas toujours les moyens de suivre - favorisant par conséquent l’hégémonie des big tech et limitant la compétition.
Big tech aux manettes : un danger pour la souveraineté européenne ?
Certaines pratiques des GAFAM, qui peuvent s’apparenter à du "sovereignty-washing" (promesses de souveraineté des données sur leurs plateformes), soulèvent de nombreuses questions. Leurs stratégies visent généralement à rassurer les clients tout en conservant un accès potentiel aux données.
L’annonce de la création d’un cloud souverain européen par Amazon via AWS est un exemple intéressant d’un point de vue commercial. En effet, si l'argument économique a longtemps dominé le cloud computing, la souveraineté devient une condition sine qua non pour les clients. De l’autre côté, l'utilisation d'un cloud Amazon pose la question de la véritable souveraineté des données, et de la capacité des entreprises à mettre en œuvre des mesures de sécurité suffisantes pour préserver la confidentialité de leurs secrets d'affaires dans un environnement tiers.
Il est essentiel d'envisager des alternatives européennes à ces offres. L'enjeu est d'éviter la concentration des données entre quelques mains, qui pourrait conduire à des fuites massives, de l'espionnage, de la revente de données et même à leur utilisation à des fins politiques. Un sondage récent du Cesin le démontre, avec 75% des décideurs interrogés se disant inquiets face aux récentes acquisitions de nombreux fournisseurs de solutions de cybersécurité par le fonds d’investissement américain Thoma Bravo. C’est pourquoi la préférence européenne en matière de fournisseurs de solutions est cruciale pour les entreprises. Elle assure un niveau de sécurité supplémentaire contre l'accès externe dans le cadre du Cloud Act, ou par d'autres influences externes qui pourraient compromettre la sécurité des informations et des communications sensibles des entreprises.
La réglementation doit cependant être équitable pour favoriser la compétitivité. Si un grand acteur mondial tel que AWS ou Microsoft peut assumer les coûts de conformité aux différentes normes, les petites entreprises européennes, elles, se trouvent désavantagées, limitant ainsi la concurrence et favorisant une concentration du marché. Cette situation est d'autant plus injuste que les fournisseurs européens doivent non seulement se conformer aux normes internationales (ex : SOC 2 et ISO 27001), mais aussi à un patchwork de réglementations nationales (ex : SecNumCloud, BSI-C5 en Allemagne), complexifiant considérablement le déploiement de leurs services à l'échelle européenne.
L'Union Européenne doit construire son rempart numérique avec les entreprises
Les initiatives récentes de l’UE, bien que louables, ne prennent pas suffisamment en considération les enjeux auxquels les entreprises sont confrontées en matière de visibilité sur la transmission de leurs données.
Si l'Union Européenne se positionne comme un fervent défenseur de la protection des données, elle doit également continuer à trouver l’équilibre entre la promotion de l'innovation et la protection des citoyens et des entreprises. La réglementation n'est pas seulement une culture : c'est un cadre nécessaire qui doit inclure la compétitivité.
La souveraineté européenne et la propriété des données resteront des défis centraux pour les entreprises et les gouvernements. L'enjeu principal consistera à trouver un juste milieu entre les niveaux législatifs, en respectant les limites politiques, économiques et de cybersécurité. Trouver un équilibre entre flexibilité et protection en Europe sera clé pour établir un environnement numérique dynamique et bénéfique pour tous.