Recevez chaque jour toute l'actualité du numérique

x

Pourquoi le nouveau label "cloud de confiance" du gouvernement n'est pas si souverain que ça

Le gouvernement souhaite lancer un nouvel label "cloud de confiance" permettant de certifier des services sur lesquels pourront se reposer les entreprises, les administrations et les citoyens. Le but : garder la main sur les données hébergées. Pourtant, la stratégie prévoit que les entreprises non françaises pourront également recevoir ce label, à condition de respecter certaines règles telle que la localisation des données en Europe, en commercialisant leurs offres via des fournisseurs de cloud français. Cette pratique a pour objectif d'outrepasser le CLOUD Act qui permet aux autorités américaines d'accéder aux données stockées par des entreprises américaines. 
mis à jour le 18 mai 2021 à 12H05
Twitter Facebook Linkedin Flipboard Email
×

Pourquoi le nouveau label cloud de confiance du gouvernement n'est pas si souverain que ça
Pourquoi le nouveau label "cloud de confiance" du gouvernement n'est pas si souverain que ça © Numérique.gouv.fr

Ce lundi 17 mai, Bruno Le Maire, ministre de l'Economie, Cédric O, secrétaire d'Etat chargé de la transition numérique et des communications, et Amélie de Montchalin, ministre de la transformation et de la fonction publique, ont dévoilé la stratégie cloud du gouvernement.

Protéger les données
Principale annonce : la création d'un nouveau label "cloud de confiance" pour que les entreprises, les administrations et les citoyens puissent "bénéficier des meilleurs services cloud mondiaux" tout en protégeant les données. En d'autres termes, ce label doit garantir aux utilisateurs une mainmise complète sur leurs données. 

Le label reposera notamment sur le visa "SecNumCloud" délivré par l'Agence nationale de la sécurité des systèmes d'information (Anssi). Ainsi, les fournisseurs de cloud souhaitant recevoir le nouveau label devront en premier respecter le référentiel technique de ce visa et les exigences du futur schéma européen connu sous le nom de "European Cybersecurity Certification Scheme for Cloud Services".

De plus, "les infrastructures et les systèmes" devront être localisés en Europe. Enfin, "les portages opérationnel et commercial de l'offre" devront être assurés par une entité européenne détenue par des acteurs européens. L'objectif de cette grille de critères est de lutter contre le risque d'accès aux données du fait de l'application de réglementation extraterritoriale. Sans le dire, le gouvernement vise le CLOUD Act qui permet aux autorités américaines d'ordonner la divulgation de données stockées en Europe par des entreprises américaines.

Les entreprise extra-européennes sont les bienvenues...
Or, la stratégie gouvernementale prévoit que les services cloud édités par "des entreprises extra-européennes" pourront également "être labellisés". Pour cela, des conditions portant notamment sur l'entité opérant ces services et sur la localisation des données devront être remplies. En apparence, ces critères semblent être en conformité avec l'idée d'un cloud souverain.

Mais en pratique, quelle que soit la localisation des données – aux Etats-Unis, en Europe ou dans le reste du monde – les autorités américaines ont accès aux données à partir du moment où elles sont stockées par une entreprise américaine en vertu du CLOUD Act. 

...Mais devront passer par des prestataires français
Pour éviter cette situation, le gouvernement prévoit que les entreprises américaines devront commercialiser leurs offres sous licence accordées à des fournisseurs français, à l'image du partenariat passé entre OVH et Google Cloud en novembre dernier. Ainsi, les données seront stockées sur des serveurs français appartenant à des fournisseurs français. Il reste à savoir comment ces rapprochements s'effectueront en pratique et s'ils empêcheront réellement l'application de la loi américaine. 

En effet, la légalité du stockage de données d'Européens par des fournisseurs américains est loin d'être assurée depuis l'invalidation du Privacy Shield. La Cour de justice de l'Union européenne avait justement décidé d'abroger ce texte à cause des lois américaines qui violent le Règlement général sur la protection des données (RGDP). 

La même problématique se pose avec l'association Gaia-X, qui accueille des entreprises américaines et chinoises en son sein. Elle expliquait que ces sociétés ne recevront pas de facto le label nécessaire pour proposer ses services via le catalogue Gaia-X. Si elles ne respectent pas un ensemble de critères, elles deviendront des membres dormants. 

Une stratégie vouée à l'échec ?
La stratégie nationale rappelle un constat déjà connu depuis longtemps : il n'est pas possible de créer un cloud souverain français sans entreprise américaine, car près de 70% du marché du cloud est détenu par Amazon, Microsoft et Google. L'échelle de ces acteurs hyperscale rend la compétition pratiquement impossible pour de nouveaux entrants. La restriction de l'accès au marché national pourrait changer un peu la donne, mais il reste à voir dans quelle mesure.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.