fbpx

L’épineuse problématique de la souveraineté des données

Souverainété des données

La première décennie du XXIe siècle a été marquée par l’avènement de l’informatique en nuage (Cloud Computing). Digne héritier des concepts de l’Utility Computing (1961), de l’Application Service Provider (ASP – 1996), du Grid Computing (1997), du Server Farm (2000) et enfin de la Virtualisation (2001), ce nouveau modèle a révolutionné la manière dont nous consommons et utilisons les services numériques. L’informatique en nuage est l’aboutissement logique d’une succession de technologies arrivées à maturité et de l’expansion globale de l’internet. L’apparition des principaux fournisseurs de services en nuage bat alors son plein dans un marché du cyberespace dépourvu de législation forte et contraignante en matière de protection des données. Seul le traité transnational Safe Harbor fixe les règles, en matière de transfert des données, en s’appuyant sur un simple mécanisme d’auto-certification pour les entreprises basées aux États-Unis.

Ces multinationales américaines, les GAFAM, vont très rapidement se retrouver en position dominante si ce n’est hégémonique en matière de services numériques dans le nuage. Selon Statista entre 2010 et 2019, elles vont ainsi bénéficier d’une croissance à trois chiffres à la faveur d’un flux continu de données migrées en provenance d’une myriade d’entreprises ou tout simplement collectées via les réseaux sociaux. L’invalidation en 2015 du Safe Harbor (Schrems I) sonne le réveil tardif du Vieux Continent.


Législations du cyberespace et croissance des GAFAM

Les lois en matière de protection des données évoluent moins vite que les lignes de code.

L’UE adopte l’année suivante le Règlement Général sur la Protection des Données (RGPD). Sa mise en application en mai 2018 talonne de peu le CLOUD Act, voté par le Congrès américain, quelques mois auparavant. Si le RGPD souhaite s’attaquer et intimider les GAFAM, son approche en matière de souveraineté numérique protège davantage les utilisateurs au détriment des autres entreprises de l’UE assujetties et sous le joug de nouvelles contraintes légales. Pour preuve les lourdes sanctions financières successives, pour non-respect du RGPD, prises notamment contre Facebook, le laisse de marbre et s’avèrent au final contre productives.

Quelques pistes vers la souveraineté des données

Avant d’aborder ces pistes de réflexion, les traités Safe Harbor et Privacy Shield visant successivement à légitimer les transferts des données vers les entreprises américaines ont tous deux fait l’objet d’une annulation. Les décisions de la CJUE, communément appelée « Shrems I » et « Schrems II », sont sans appel. Les « garanties données » en matière de stockage, de traitement et de confidentialité des données demeurent insuffisantes et incompatibles avec le niveau d’exigence requis au titre du RGPD. Par ailleurs, le CLOUD Act laisse planer un risque juridique important sur toute entreprise désireuse de confier ses données à un service en nuage proposé entre autre par les GAFAM. En effet la donnée, actif numérique de l’entreprise publique ou privée, reste assujettie au respect de différents modèles de conformité (SEC 17-a-4, HIPAA, SOX, BASEL II…). Une bonne gouvernance des données passe en effet par des mécanismes d’audibilité et de traçabilité des données. Qui accède à la donnée ? Par qui et quand a-t’elle été modifiée ? Sont autant de questions à se poser surtout si l’on confie la donnée à un tiers, soit-il de confiance.

Considérez la donnée comme votre propre enfant et vous ne la confierez plus à n’importe qui.

Bonne nouvelle ! La donnée est vivante

Par ailleurs une donnée, à l’instar d’un être de chair et de sang, est vivante. Plus précisément, son cycle de vie comporte quatre grandes phases :

  • la génération : nécessite une collecte manuelle ou automatique de la donnée, conformément à la réglementation en vigueur, en vue d’être stockée pour une utilisation future,
  • l’exploitation : désigne le traitement de la donnée, dotée d’une dynamicité et d’une valeur économique, stockée sur un support de stockage primaire. On parle généralement de donnée de production. Le traitement peut se faire au sein de l’entreprise avec la meilleure garantie de souveraineté possible. Elle peut cependant décider de transférer la donnée vers un tiers devenant alors le responsable du traitement au sens du RGPD. Les mesures de protection durant le transfert de la donnée restent à la charge ou non de l’entreprise. Les mesures de chiffrement cryptographique des données restent une option salutaire. Le responsable du traitement doit pour sa part respecter les objectifs de sécurité requis. La confidentialité, l’intégrité et la disponibilité de la donnée font partie intégrante du « cahier des charges ». Il doit idéalement proposer des outils d’audibilité et de traçabilité. Toutes ces mesures visent à garantir les meilleures pratiques en matière de bonne gouvernance des données.
  • l’archivage : intervient à l’issue du ou d’un ensemble de traitements réalisés durant la phase d’exploitation. La donnée se fige, s’immobilise, devient statique et reste accessible en consultation à des fins réglementaires (archivage à valeur probante), historiques ou statistiques. La conservation de toute donnée sans valeur économique et dépourvue d’objectif, en somme inutile, demeure une mauvaise pratique. En l’absence de tri ou d’une réelle politique d’archivage on parle de « Dark Data ». D’ailleurs selon une étude de Veritas [1], ces données dormantes représentent jusqu’à 52% du volume total des données de l’entreprise. Les coûts croissants et hors de contrôle en matière de stockage interne ou au moyen d’un service en nuage peuvent alors être astronomiques.
  • la purge : cet acte salvateur vise à supprimer physiquement la donnée en fin de vie de son support de stockage. Paix à son âme… Ce processus nécessaire afin d’éviter une explosion des volumes s’intègre au niveau de la politique d’archivage de l’entreprise ou du responsable du traitement. Certains modèles de conformité exigent par ailleurs que la donnée ne soit pas conservée au-delà d’un délai légal ou jugé raisonnable car l’entreprise peut justifier de son inutilité.

Une souveraineté de la donnée implique pour l’entreprise la parfaite maîtrise de ses actifs numériques tout au long de son cycle de vie.

Souverain rime souvent avec régalien

La souveraineté des données pose un problème épineux aux États, aux entreprises voire par répercussion aux citoyens sur leurs libertés individuelles. L’émergence de ces multinationales pas comme les autres, les GAFAM, dotées de capacité financières à faire pâlir certains États, les fragilise dans certaines de leurs fonctions régaliennes. Nous pouvons citer encore une fois Facebook qui a tenté de frapper monnaie au moyen de sa crypto monnaie baptisée Libra. Par ailleurs, le retard technologique de l’Europe ou l’avancée incontestable des États-Unis dans les domaines de l’informatique en nuage ou de l’intelligence artificielle conduit certains États, ou pays dits développés comme la France, à pactiser avec le Diable. Le recours en 2016 à la société américaine Palantir afin d’équiper la Direction Générale des Services de l’Intérieur (DGSI) ou encore de confier en 2019 les données de santé des citoyens français à l’entreprise Microsoft, dans le cadre du Health Data Hub, sont les deux exemples les plus cinglants.

Ces choix plus que discutables, compte-tenu du caractère sensible ou stratégique des données, marquent une forme de vassalité numérique des États envers des multinationales privées étrangères.

Balle au centre

On peut néanmoins souligner la doctrine de l’État français avec sa doctrine du « Cloud au centre » [de l’Etat] avec comme prérequis, le « label » SecNumCloud dans l’obtention d’un Cloud de confiance. Cette notion vise à répondre au problème de la loi extraterritoriale posée par le CLOUD Act. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est en charge de la certification SecNumCloud rendant indépendant les prestataires du CLOUD Act. Cependant, cette doctrine ne peut avoir du sens qu’avec l’émergence d’un écosystème d’entreprises, désireuses d’accéder au Saint Graal, disposant d’un portfolio de solutions et services suffisamment attractifs et variés afin de réduire la captation des données par les GAFAM.

Le Cloud de confiance en est-il vraiment digne au final ?

Par forcément ! Tout dépend de ce que l’on entend par solution souveraine… Orange et CapGemini jettent en effet un sérieux doute avec leur offre Cloud de confiance. En effet, les deux protagonistes s’associent autour d’une offre commune baptisée « Bleu ». Sûrement une histoire de couleur vous allez me dire. On apprend qu’elle sera disponible à compter de 2024 avec une offre de services en nuage élaborée autour des services Microsoft Azure et Microsoft 365. Rassurons-nous les données seront hébergées exclusivement en France... mais elles restent donc assujetties au CLOUD Act. Comment peut-on établir une offre de confiance non-souveraine ? L’annulation successive par la CJUE de deux traités transnationaux établis ; faut-il le reconnaître ; sur la base d’une confiance mutuelle rend cette question parfaitement légitime. Les législations évoluent certes lentement mais elles s’appliquent toujours.

Cette offre illustre parfaitement l’ambigüité et l’absence de volonté politique, entretenues par le gouvernement français, entre les notions de Cloud de confiance, celle retenue, et Cloud souverain, celle attendue.

En conclusion, une cartographie des données sensibles et stratégiques, assurant les services régaliens de l’entreprise, demeure toujours un pré requis indispensable. Une migration éventuelle de ces données expose l’entreprise ou les États à des risques si les prestataires, en leur qualité de responsable du traitement, restent sous la coupe d’une loi extraterritoriale telle que le CLOUD Act.

Pseudonymisation, anonymisation et chiffrement des données autour d'un café

Un rituel très particulier

Chacun de mes déplacements en Europe fait l'objet d'une longue escale et agréable à l'Aéroport international de Dubaï. Rien de tel pour se dégourdir les jambes après les 6 heures d'avion qui me sépare de Maurice mon port d'attache. C'est également l'occasion rêvée pour prendre une dose de caféine au Starbucks® du Terminal et de consentir à son rituel traditionnel. Les initiés de la célèbre enseigne de Seattle savent de quoi je parle. Si la carte des cafés placardée soigneusement au mur derrière le comptoir n'a rien de suspect les novices apprendront ce qui suit. Après scrutation des différents breuvages proposés par la marque il est l'heure de faire son choix, l'heure de passer commande comme dans n'importe quel bar ou café traditionnel.

C'est à cet instant précis qu'une équipe parfaitement taylorisée dans son organisation se mobilise pour assouvir votre soif de caféine. Votre interlocuteur griffonne alors frénétiquement les consignes cabalistiques de préparation de votre café à l'arrière du gobelet vide, répondant à s'y méprendre à un QCM, tout en vous questionnant sur vos préférences. A la suite de quoi on vous demande systématiquement de communiquer une donnée à caractère personnel : votre prénom. Il l'inscrit alors à la hâte avec sa plus belle écriture au-devant du gobelet, centré au-dessus du logo Starbucks®, avec une orthographe parfois singulière... et vous remercie de votre commande. Tel lors d'un passage de relai un autre employé saisi au vol le récipient vide et applique la recette à la lettre. Votre café est désormais prêt. Le préparateur, un parfait inconnu, énonce alors à haute voix votre prénom. Un rapide coup d'oeil avisé sur le gobelet lui suffit pour réaliser ce tour de passe-passe avec l'aplomb d'un magicien. Vous acquiescez alors, puis vérification faite, réceptionnez le café tant attendu. Une fois votre commande payée vous repartez alors fièrement avec votre gobelet personnalisé, à la vue de toutes et de tous, pour aller déguster vote café.

Le prénom : une donnée discriminante

Le Règlement Général sur la Protection des Données (RGPD&nbp;UE 2016/679) soufflera bientôt ses cinq premières bougies. Votre prénom demeure néanmoins une donnée à caractère personnel (DCP) dite discriminante. Dans le brouhaha et l'apparente frénésie du Terminal de l'aéroport cette information fait parte du processus de collecte des données afin de vous identifier en tant que personne physique. Par analogie au RGPD, l'enseigne Starbucks® agit ici en qualité de responsable du traitement avec comme mission de protéger vos données dès la conception conformément aux mesures de l'Article 32 - Sécurité du traitement.

Chère lectrice, cher lecteur, mon propos n'est pas de faire un procès d'intention, ni même de juger d'une quelconque infraction au RGPD, mais davantage d'illustrer ce traitement de manière pédagogique. Le rituel amical instauré par l'enseigne existe depuis de très nombreuses années bien avant toute réglementation en matière de traitement des données.

Dans mon précédent article, j'invite les entreprises à mettre en œuvre des mesures de protection des données sensibles entre autre durant leur transfert vers une service en nuage. Ainsi, les contre-mesures à la divulgation des données font appel aux différentes techniques suivantes : l'anonymisation, la pseudonymisation et le chiffrement au moyen d'outil de sécurité cryptographique. Ces mesures en matière de sécurité périmétrique, permettent de prévenir des conséquences faisant suite à une intrusion et un accès non autorisé à des données. Elles n'éliminent pas les risques de fuite de données (Data Leak) mais complexifient leur exploitation et rendent parfois caduque toute tentative de revente des données piratées en l'état.

Le Café Anonymisé

La première technique dite d'anonymisation ou de masquage des données vise à appliquer un processus de transformation des DCP sans possibilité de réidentification a posteriori d'une personne physique. Dans notre exemple, le préparateur à l'énoncé de votre prénom inscrit en clair les trois dernières lettres de celui-ci, masques les toutes premières lettres et les oublie volontairement. Cette mesure rend impossible toute identification. On retrouve ce procédé par exemple au niveau du numéro d'identification de votre carte bancaire. Seuls les quatres derniers chiffres s'affichent rendant impossible toute utilisation de la carte de son propriétaire par un tiers non autorisé. L'anonymisation des données peut également se faire au moyen d'un floutage. Le principe vise à permuter aléatoirement la donnée discriminante avec celle d'un autre enregistrement désignant une autre personne physique.

En résumé, l'anonymisation de la donnée rend la réidentification impossible. Elle prend tout son sens par exemple avec des jeux de données en phase d'archivage à des fins statistiques. Selon la nature du traitement, l'anonymisation des attributs discriminants (prénom et patronyme complet) prend du sens si les statistiques portent sur des attributs, tels que l'âge ou le sexe, des personnes concernées stockées dans le jeu de données.

Le Café Pseudonymisé

La pseudonymisation connue également sous le nom d'anonymisation inversée a pour objectif de modifier en l'occurrence le prénom de telle sorte qu'il ne puisse plus être attribué à une personne concernée précise (moi en l'occurrence). Dans l'exemple trivial ci-dessous, le prénom a été remplacé par un identifiant unique par le responsable du traitement. Lui seul conserve dans un autre fichier informatique la correspondance entre mon prénom et mon identifiant. Conformément à l'Article 4 paragraphe 5 du RGPD, ce dernier prend soin de conserver séparément lesdites informations. Le responsable du traitement doit également les soumettre à des mesures techniques et organisationnelles visant à garantir que la DCP (mon prénom), soumise à un processus pseudonymisation, ne soit pas attribuée à une personne physique identifiée ou identifiable.

Contrairement à l'anonymisation, la pseudonymisation dispose d'un mécanisme de réversibilité du processus. La connaissance de ce mécanisme par un tiers non autorisé lui permet de retrouver la correspondance avec la donnée originelle. Au regard du cycle de vie de la donnée, elle s'impose comme une technique de choix pour les données en phase de production.

Le Café Chiffré

Les techniques de chiffrement cryptographique existent depuis l'Antiquité avec le Chiffre de César. A l'heure moderne, le chiffrement s'intègre naturellement dans la stratégie globale de protection des données à des fins de confidentialités. Le fondement du chiffrement repose sur un calcul mathématique visant à rendre illisible une donnée informatique ou plus globalement une information, à l'exception de toute personne disposant de la clé de décodage. Une illustration de mon propos vise ici à utiliser ici la fonction Blowfish, un algorithme de chiffrement symétrique ou dit à clé secrète. D'autres méthodes dites asymétriques offrent davantage de sécurité au détriment d'une complexité et de la nécessité d'une puissance de calcul accrue.

Blowfish(LAURENT) = $2y$07$h8VlCdvjQXcnlXEXPJWnduzxVftelOnSZ7sdQuvMulU/oOXg6aLGq

L'application de mesures cryptographiques prend par conséquent une place prépondérante durant le transfert des données. Cette mesure de chiffrement en transit de la donnée garantit la confidentialité des données entre deux lieux géographiques distincts. Les bonnes pratiques visent dans certaines situation à utiliser le chiffrement de bout en bout de la donnée (End-to-End Encryption - E2EE). Le chiffrement de la données intervient au tout début et s'applique dès la phase de génération jusqu'à son stockage sur un support de donnée.

Rien n'interdit d'utiliser cette technique sur des données assujetties à un processus d'anonymisation ou de pseudonymisation.

Le Café RGPD

Enfin pour clore ce propos, la collecte de DCP doit faire fait l'objet d'un consentement éclairé de la part de la personne concernée. Le responsable du traitement doit pouvoir garantir que les données collectées respectent entre autres le principe de minimisation et d'indiquer les finalités du traitement. Si l'on convient qu'il n'est nullement nécessaire de connaître le prénom d'un client pour lui servir son café il peut être agréable dans le contexte d'une relation client de ne pas être un simple numéro de table.

Ainsi, le dos du gobelet conforme RGPD dispose d'unE case à cocher décrivant les finalités de la collecte de votre prénom. On pourrait trouver par exemple :

Les informations recueillies sur ce gobelet sont enregistrées dans un fichier informatisé par Starbuck® pour nous permettre de traiter votre commande. Elles sont conservées pendant tout la durée de notre relation commerciale. En communiquant mon prénom, j’accepte que cette information soit utilisée exclusivement afin de me servir mon café.
Conformément à la législation en vigueur, vous pouvez exercer votre droit d'accès, de rectification et d'effacement de vos données en nous contactant.

La boîte de Pandore de l'informatique en nuage

Boîe de Pandore

Le Cloud Computing ou l’informatique en nuage, clé de voute la transformation numérique des entreprises, a marqué en profondeur la stratégie numérique d’une multitude d’entreprises. Notre Joueur de Flute de Hamelin 2.0, clé de voute de cette transformation, a sans conteste joué un rôle prépondérant et créé un réel changement de paradigme en matière de stockage, de traitement et de transport des données. Les premières réflexions sur le nouveau sujet de la « souveraineté numérique », émergent au début des années 2000. Elles invitent les États à ouvrir la boîte de Pandore de l’informatique en nuage. En effet, d’une centralisation historique des données au sein des entreprises (On Premise) on observe rapidement une dispersion des données aux quatre coins du globe avec une opacité, sur leur traitement éventuel, savamment entretenue à l’époque. Durant ces mêmes années 2000, un nouvel acronyme fait son apparition, avec une étonnante synchronicité ou simple coïncidence : les GAFAM (Google, Apple, Facebook, Amazon et Microsoft).

Le nouvel or noir du XXIe siècle, la donnée, coule à flot et les vannes sont grandes ouvertes.

Des multinationales pas comme les autres

Les GAFAM, en l’absence de mécanismes forts de régulation au niveau du traitement et de l'exploitation des données, vont profiter en toute impunité d’un marché en forte croissance au début de la première décennie du XXIe siècle. Il y a du Big Data dans l’ère. Ces multinationales aux pouvoirs rapidement tentaculaires vont voir leur capitalisation boursière croître de manière exponentielle. A titre d’exemple, la hausse affichée par Amazon entre le premier janvier 2010 et le 11 décembre 2019 est de 1348 %. Le poids lourd du e-commerce et fournisseur du service AWS S3 pèse désormais 865 milliards de dollars contre 60 milliards au début de la décennie. Facebook ferme la marche avec une capitalisation à hauteur de 577 milliards, soit une hausse « timide » de 454 % traduisant ses ennuis des deux  dernières années [1]... En moyenne, sur la même période, la capitalisation des GAFAM fleurete avec les 610 % sans qu’aucune réaction ne se fasse entendre ou interroge des États avec un PIB « au niveau des pâquerettes ». Comment expliquer une telle progression de multinationales qui peuvent rivaliser désormais avec les États ? L’affaire Snowden en 2013, avec son lot de révélations, jette néanmoins un sérieux pavé dans la marre. La collusion de certaines de ces entités privées avec la NSA, à des fins d’espionnage ou de surveillance de masse, renforce la nécessité absolue de réguler le marché du cyberespace sous la forme d’une meilleure gouvernance des données. CLOUD Act vs RGPD La problématique de territorialité des données se pose alors avec l’adoption, en mars 2018, par le Congrès américain de la loi du CLOUD Act (Clarifying Lawful Overseas Use of Data Act). En effet, le Règlement Général sur la Protection des Données (RGPD - UE 2016/679), adopté en 2016, prend son envol en grandes pompes au niveau des pays européens au mois de mai 2018. Si la loi fédérale américaine ressemble à s’y méprendre à la réponse du berger à la bergère, on apprend qu’elle tire son origine d’un contentieux entre les autorités fédérales américaines et l’une des entités de Microsoft, basée à l’époque en Irlande. Celle-ci, sous prétexte de sa territorialité, refusant de communiquer des informations au Département de la justice américaine s’est vue attirer les foudres de l’Oncle Sam. Le CLOUD Act s’apparente en effet à un véritable outil de perquisition et d’ingérence étrangère dans les données présentes sur le marché du cyberespace. Son principe d’extraterritorialité exerce un contrôle complet des données selon la nationalité de l’entreprise (américaine) et non plus sur la base de sa géolocalisation.

Même pas peur

Plus de quatre ans après l'entrée en application du RGPD un constat en demi-teinte se pose. Ce règlement présenté comme l’Armageddon de l’Union Européenne contre les GAFAM pénalise davantage les entreprises entrant dans son champ application que les firmes ciblées. Cette réglementation s’avère très contraignante auprès des entreprises. Elles ont bien souvent ni les moyens financiers, ni les compétences en interne, ni même la volonté, de se mettre en complète conformité. Elles perçoivent en effet le RGPD comme un frein, un obstacle, une montagne insurmontable, à leur développement dans un contexte économique compliqué et tendu. Les amendes au titre du RGPD, véritable épée de Damoclès, pleuvent néanmoins et sont très concrètes. Si elles affectent ces entreprises elles se retournent néanmoins parfois vers leur cible originelle. Pour en revenir aux GAFAM, la firme de Menlo Park (Facebook/Meta) écope d’ailleurs d’une troisième condamnation au mois de janvier 2023 avec une amende à hauteur de 390 millions d’euros. Cette dernière sanction lui fait passer le cap symbolique du milliard d’euros d’amende, en cinq mois, sans même sourciller. Je vous renvoie à son niveau de capitalisation expliquant probablement son absence de réaction au niveau de sa politique de protection des données.

Le RGPD, un acte de souveraineté numérique européenne inefficace

Il est temps de comprendre ce que l’on entend réellement par souveraineté numérique. La souveraineté numérique demeure avant tout un sujet de société brûlant. Il ne s'agit pas d'une méthode ou d'une technique à proprement parler, mais d'une réelle réflexion à mener, et à intégrer au cœur d'un plan stratégique. Ses enjeux diffèrent en tout point pour le simple citoyen, une entreprise privée ou un État. Les objectifs varient également selon les sensibilités territoriales ou nationales, notamment en matière de respect de la vie privée, cet aspect pouvant aller de la simple notion, à un droit inaliénable et sacré gravé dans la Constitution du pays. La souveraineté au sens strict du terme désigne une autorité ou un pouvoir qui l'emporte sur tous les autres. Si toutes ces notions sont concrètes et bien établies la définition de souveraineté numérique n’en demeure pas moins floue mais trois grandes approches [2]se dégagent .

L’approche juridique vise à rétablir la souveraineté des États. Les États-Unis l’ont retenue. Le CLOUD Act traduit manifestement leurs intentions de conserver une hégémonie totale sur le cyberespace tout en revendiquant le prolongement de leur pouvoir de réglementation sur les réseaux, le respect de leur autorité, et l’égalité dans les instances de gouvernance.

La deuxième approche est davantage politique et économique. Elle met sur un piédestal la souveraineté des opérateurs économiques. Les GAFAM disposant d’une position dominante sur le marché exercent un véritable pouvoir de commandement et de réglementation du cyberespace. Les conditions générales d’utilisation de leurs services les autorisent au moyen d’algorithmes internes totalement opaques et propriétaires de décider des informations qui peuvent être diffusées ou non sur leur réseau, d’en restreindre la diffusion, voire de proscrire certaines publications. Les critères peuvent comprendre la présence de mots clés ou s’appliquer spécifiquement à certains comptes utilisateurs. Selon leurs conditions générales (ou leurs « lois ») ils disposent ainsi de la liberté totale de supprimer des contenus d’information, de fermer le profil d’un utilisateur, de conserver ou de vendre les données personnelles dont elles ont la charge du stockage. Ces entités, toutes américaines, ont émis par deux fois le vœu pieux de se conformer, au moyen d’une certification délivrée par le Département américain du Commerce, à des accords signés avec l’Union Européenne afin d’en valider les transferts de données. Dans les faits, les accords du Safe Harbour et du Privacy Shield ont fait l’objet d’une invalidation de la part de la Cour de Justice de l’Union Européenne (CJUE). La dernière décision en date est l'arrêté majeur du 16 juillet 2020. Tout transfert de données vers une entité américaine au titre du Privacy Shield est donc illégal. Nous devons à Max Schrem, cofondateur de l'association de protection de la vie privée NOYB (None Of Your Business), d’avoir porté au niveau de la cour de justice les irrégularités en matière de traitement des données des GAFAM. Le rôle de gardien de nos données étant par définition tenu par les autorités de contrôle compétentes ces actions posent toute de même questions... que font-elles< >?

La dernière approche davantage libérale est la souveraineté numérique des utilisateurs. Elle correspond au droit des personnes de s’autodéterminer et le RGPD va dans le sens de cette approche en conférant des droits et des garanties au niveau de la protection des données personnelles. On peut citer entre autres le droit à la portabilité des données, le droit à l’oubli ou encore au déréférencement sur le cyberespace d’informations qui seraient préjudiciables ou non souhaitées pour la personne concernée. Ainsi, les approches de la souveraineté numérique des utilisateurs, visant à les protéger de l’approche politique et économique pratiquées par les GAFAM sont inconciliables au moyen de traités ou d’accords tant les enjeux et objectifs sont diamétralement opposés. Si les États-Unis pour leur propre survie ont tout intérêt à contenir le pouvoir des GAFAM, au moyen de lois antitrust, ils n’ont aucun intérêt à brider le transfert des données. Aucun accord ou traité ne viendra résoudre ce problème.

Ce n’est pas avec ceux qui ont créé les problèmes qu’il faut espérer les résoudre. - Albert Einstein

Sources :
[1] https://www.cnetfrance.fr/news/600-c-est-la-croissance-en-moyenne-des-gafam-au-cours-de-la-derniere-decennie-39895929.htmy
[2] https://www.vie-publique.fr/parole-dexpert/276125-definition-et-enjeux-de-la-souverainete-numerique

Comment le Joueur de Flute de Hamelin 2.0 s'est emparé de vos données

Le joueur de flute de Hamelin 2.0

Tout nouveau tout beau

Les promesses du cloud n'engagent que ceux qui les écoutent. En effet, l'introduction d'une nouvelle technologie, à l'instar d'un produit pharmaceutique, nécessite une période d'observation scrupuleuse afin d'en comprendre les avantages et inconvénients, voire les effets indésirables. La génèse de l'informatique en nuage (cloud) remonte à 1961, avec le discours de John McCarthy, professeur au MIT, sur l'Utility Computing.

Il faudra pas moins de quarante années pour voir en 2001 les premiers balbutiements de la virtualisation émerger dans le monde x86. A cette époque, le mariage entre le client et son fournisseur de stockage est bien souvent de mise. Nous sommes encore dans l'Age d'Or du stockage en réseau (NAS) et du réseau de stockage (SAN). Avec une plus grande mobilté et un accroissement phénoménal des données, cette technologie et son modèle économique ont en à peine une décénie montré leurs limites :

  • manque de flexibilité,
  • complexité de mise en oeuvre,
  • évolutivité limitée à celle du fournisseur de stockage (Vendor Lock-In),
  • coûts d'acquisition (CAPEX) et coûts d'exploitation (OPEX) élevés...
  • haute disponibilité toute relative.

Il s'en suit naturellement un lot d'insatisfactions de la part de clients sortis de la lune de miel estimant avoir été trompés par de basses promesses.

L'informatique en nuage prend réellement son essor en 2008. Le nouvel étalon bellâtre vient avec une déconcertante facilité séduire quelques'uns de nos mariés en pleine rupture. La suppression des coûts d'acquisition et des coûts d'exploitation, un déploiement trivial en quelques clics de souris, une facturation adaptée aux besoins de stockage (Pay-As-You-Go), une évolution des capacités de stockage sans limite et un niveau de disponibilité à faire pâlir un cluster à 3 nœuds, sont autant d'arguments persuasifs pour finaliser le divorce.

Le nouveau prétendant a tout pour plaire tant sur le plan technique que sur le plan financier. La feuille de route est toute tracée. Il faut donc faire place neuve et vite... Les baies de stockage se vident alors peu à peu de leur substance. Ce Joueur de flûte de Hamelin 2.0, entraine alors derrière son sillage des flots de données, disparaissant au loin dans les nuages, au rythme d'un orchestrateur de données.

Retour sur Terre

Le Cloud Lock-In existe bel et bien. Il vient désormais se substituer au Vendor Lock-In et le retour sur terre promet d'être difficile. En effet, si la feuille de route du joueur de flute semble attractive, la réalité issue des retours sur expérience en est toute autre. Par ailleurs, le verrouillage s'effectue désormais au niveau des données de l'entreprise et non au niveau du matériel qui historiquement est la propriété du client. Le modèle de responsabilité partagée de ce nouveau fournisseur enchanté crée un nouveau paradigme pour les entreprises.

Modèles de responsabilité

En 2017, une enquête [1] réalisée lors du Gartner Symposium/ITxpo tire déjà la sonnette d'alarme. En effet, 95 % au plus des dirigeants d'entreprises et responsables informatiques déclarent que la facturation dans le nuage est l'aspect le plus déroutant quand il s'agit d'adopter les services des plus grands fournisseurs de services cloud (AWS, Google, Azure).

Cloudflare à son tour lors d'une étude menée en 2021 estime que la marge stratosphérique réalisée par AWS sur les « frais de trafic descendant » (Egress Fees) ou frais de sortie avoisinne les 8000 %. Cette marge injustifiable est réalisée sur le flux de données sortant des serveurs situés en Europe ou aux Etats-Unis.

Plus récemment, en septembre 2022, une nouvelle étude de marché [2] de l’Autorité néerlandaise des consommateurs et des marchés (ACM) vient enfoncer le clou. Elle démontre la complexité des utilisateurs ayant recours à un service cloud désireux de « changer de crèmerie ». En effet, les obstacles visant à verrouiller le client sont particulièrement pregnant lors du passage d'un service cloud à un autre ou en combinant différents services (multi-cloud). Les frais de trafic descendant particulièrement élevés imposés par les leaders du marché, battant tous pavillon américain, représentent un obstacle de taille, voire s'apparente à une réelle prise d'otage des données.

Une tarification éthique

Le cloud reste néanmoins un support de stockage particulièrement intéressant mais sa tarification n'est pas toujours un exemple de transparence. Les coûts indirects imposés par les frais descendant ou frais de sortie doivent être scrupuleusement étudiés avant toute migration de données. Avec des garanties de service analogues aux autres fournisseurs de services cloud, une réduction des coûts de 80 % par rapport à AWS S3, Wasabi Technologies Inc. propose une tarification exempte de ces frais indirects.

Opter pour un fournisseur de service cloud compatible S3 sans « Egress Fees », c'est choisir Wasabi Hot Cloud Storage.


Sources :
[1] Cloud billing: Cutting through the complexity
[2] « Egress fees », ou frais de sortie sur le marché Cloud : Un outil puissant de verrouillage


Profitez de 1 To de stockage gratuit pendant 1 mois

Protection des données de l'entreprise