La première décennie du XXIe siècle a été marquée par l’avènement de l’informatique en nuage (Cloud Computing). Digne héritier des concepts de l’Utility Computing (1961), de l’Application Service Provider (ASP – 1996), du Grid Computing (1997), du Server Farm (2000) et enfin de la Virtualisation (2001), ce nouveau modèle a révolutionné la manière dont nous consommons et utilisons les services numériques. L’informatique en nuage est l’aboutissement logique d’une succession de technologies arrivées à maturité et de l’expansion globale de l’internet. L’apparition des principaux fournisseurs de services en nuage bat alors son plein dans un marché du cyberespace dépourvu de législation forte et contraignante en matière de protection des données. Seul le traité transnational Safe Harbor fixe les règles, en matière de transfert des données, en s’appuyant sur un simple mécanisme d’auto-certification pour les entreprises basées aux États-Unis.
Ces multinationales américaines, les GAFAM, vont très rapidement se retrouver en position dominante si ce n’est hégémonique en matière de services numériques dans le nuage. Selon Statista entre 2010 et 2019, elles vont ainsi bénéficier d’une croissance à trois chiffres à la faveur d’un flux continu de données migrées en provenance d’une myriade d’entreprises ou tout simplement collectées via les réseaux sociaux. L’invalidation en 2015 du Safe Harbor (Schrems I) sonne le réveil tardif du Vieux Continent.
Les lois en matière de protection des données évoluent moins vite que les lignes de code.
L’UE adopte l’année suivante le Règlement Général sur la Protection des Données (RGPD). Sa mise en application en mai 2018 talonne de peu le CLOUD Act, voté par le Congrès américain, quelques mois auparavant. Si le RGPD souhaite s’attaquer et intimider les GAFAM, son approche en matière de souveraineté numérique protège davantage les utilisateurs au détriment des autres entreprises de l’UE assujetties et sous le joug de nouvelles contraintes légales. Pour preuve les lourdes sanctions financières successives, pour non-respect du RGPD, prises notamment contre Facebook, le laisse de marbre et s’avèrent au final contre productives.
Quelques pistes vers la souveraineté des données
Avant d’aborder ces pistes de réflexion, les traités Safe Harbor et Privacy Shield visant successivement à légitimer les transferts des données vers les entreprises américaines ont tous deux fait l’objet d’une annulation. Les décisions de la CJUE, communément appelée « Shrems I » et « Schrems II », sont sans appel. Les « garanties données » en matière de stockage, de traitement et de confidentialité des données demeurent insuffisantes et incompatibles avec le niveau d’exigence requis au titre du RGPD. Par ailleurs, le CLOUD Act laisse planer un risque juridique important sur toute entreprise désireuse de confier ses données à un service en nuage proposé entre autre par les GAFAM. En effet la donnée, actif numérique de l’entreprise publique ou privée, reste assujettie au respect de différents modèles de conformité (SEC 17-a-4, HIPAA, SOX, BASEL II…). Une bonne gouvernance des données passe en effet par des mécanismes d’audibilité et de traçabilité des données. Qui accède à la donnée ? Par qui et quand a-t’elle été modifiée ? Sont autant de questions à se poser surtout si l’on confie la donnée à un tiers, soit-il de confiance.
Considérez la donnée comme votre propre enfant et vous ne la confierez plus à n’importe qui.
Bonne nouvelle ! La donnée est vivante
Par ailleurs une donnée, à l’instar d’un être de chair et de sang, est vivante. Plus précisément, son cycle de vie comporte quatre grandes phases :
- la génération : nécessite une collecte manuelle ou automatique de la donnée, conformément à la réglementation en vigueur, en vue d’être stockée pour une utilisation future,
- l’exploitation : désigne le traitement de la donnée, dotée d’une dynamicité et d’une valeur économique, stockée sur un support de stockage primaire. On parle généralement de donnée de production. Le traitement peut se faire au sein de l’entreprise avec la meilleure garantie de souveraineté possible. Elle peut cependant décider de transférer la donnée vers un tiers devenant alors le responsable du traitement au sens du RGPD. Les mesures de protection durant le transfert de la donnée restent à la charge ou non de l’entreprise. Les mesures de chiffrement cryptographique des données restent une option salutaire. Le responsable du traitement doit pour sa part respecter les objectifs de sécurité requis. La confidentialité, l’intégrité et la disponibilité de la donnée font partie intégrante du « cahier des charges ». Il doit idéalement proposer des outils d’audibilité et de traçabilité. Toutes ces mesures visent à garantir les meilleures pratiques en matière de bonne gouvernance des données.
- l’archivage : intervient à l’issue du ou d’un ensemble de traitements réalisés durant la phase d’exploitation. La donnée se fige, s’immobilise, devient statique et reste accessible en consultation à des fins réglementaires (archivage à valeur probante), historiques ou statistiques. La conservation de toute donnée sans valeur économique et dépourvue d’objectif, en somme inutile, demeure une mauvaise pratique. En l’absence de tri ou d’une réelle politique d’archivage on parle de « Dark Data ». D’ailleurs selon une étude de Veritas [1], ces données dormantes représentent jusqu’à 52% du volume total des données de l’entreprise. Les coûts croissants et hors de contrôle en matière de stockage interne ou au moyen d’un service en nuage peuvent alors être astronomiques.
- la purge : cet acte salvateur vise à supprimer physiquement la donnée en fin de vie de son support de stockage. Paix à son âme… Ce processus nécessaire afin d’éviter une explosion des volumes s’intègre au niveau de la politique d’archivage de l’entreprise ou du responsable du traitement. Certains modèles de conformité exigent par ailleurs que la donnée ne soit pas conservée au-delà d’un délai légal ou jugé raisonnable car l’entreprise peut justifier de son inutilité.
Une souveraineté de la donnée implique pour l’entreprise la parfaite maîtrise de ses actifs numériques tout au long de son cycle de vie.
Souverain rime souvent avec régalien
La souveraineté des données pose un problème épineux aux États, aux entreprises voire par répercussion aux citoyens sur leurs libertés individuelles. L’émergence de ces multinationales pas comme les autres, les GAFAM, dotées de capacité financières à faire pâlir certains États, les fragilise dans certaines de leurs fonctions régaliennes. Nous pouvons citer encore une fois Facebook qui a tenté de frapper monnaie au moyen de sa crypto monnaie baptisée Libra. Par ailleurs, le retard technologique de l’Europe ou l’avancée incontestable des États-Unis dans les domaines de l’informatique en nuage ou de l’intelligence artificielle conduit certains États, ou pays dits développés comme la France, à pactiser avec le Diable. Le recours en 2016 à la société américaine Palantir afin d’équiper la Direction Générale des Services de l’Intérieur (DGSI) ou encore de confier en 2019 les données de santé des citoyens français à l’entreprise Microsoft, dans le cadre du Health Data Hub, sont les deux exemples les plus cinglants.
Ces choix plus que discutables, compte-tenu du caractère sensible ou stratégique des données, marquent une forme de vassalité numérique des États envers des multinationales privées étrangères.
Balle au centre
On peut néanmoins souligner la doctrine de l’État français avec sa doctrine du « Cloud au centre » [de l’Etat] avec comme prérequis, le « label » SecNumCloud dans l’obtention d’un Cloud de confiance. Cette notion vise à répondre au problème de la loi extraterritoriale posée par le CLOUD Act. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est en charge de la certification SecNumCloud rendant indépendant les prestataires du CLOUD Act. Cependant, cette doctrine ne peut avoir du sens qu’avec l’émergence d’un écosystème d’entreprises, désireuses d’accéder au Saint Graal, disposant d’un portfolio de solutions et services suffisamment attractifs et variés afin de réduire la captation des données par les GAFAM.
Le Cloud de confiance en est-il vraiment digne au final ?
Par forcément ! Tout dépend de ce que l’on entend par solution souveraine… Orange et CapGemini jettent en effet un sérieux doute avec leur offre Cloud de confiance. En effet, les deux protagonistes s’associent autour d’une offre commune baptisée « Bleu ». Sûrement une histoire de couleur vous allez me dire. On apprend qu’elle sera disponible à compter de 2024 avec une offre de services en nuage élaborée autour des services Microsoft Azure et Microsoft 365. Rassurons-nous les données seront hébergées exclusivement en France... mais elles restent donc assujetties au CLOUD Act. Comment peut-on établir une offre de confiance non-souveraine ? L’annulation successive par la CJUE de deux traités transnationaux établis ; faut-il le reconnaître ; sur la base d’une confiance mutuelle rend cette question parfaitement légitime. Les législations évoluent certes lentement mais elles s’appliquent toujours.
Cette offre illustre parfaitement l’ambigüité et l’absence de volonté politique, entretenues par le gouvernement français, entre les notions de Cloud de confiance, celle retenue, et Cloud souverain, celle attendue.
En conclusion, une cartographie des données sensibles et stratégiques, assurant les services régaliens de l’entreprise, demeure toujours un pré requis indispensable. Une migration éventuelle de ces données expose l’entreprise ou les États à des risques si les prestataires, en leur qualité de responsable du traitement, restent sous la coupe d’une loi extraterritoriale telle que le CLOUD Act.