Les offres franco-américaines Bleu et S3NS perméables au Cloud Act ?

Une entreprise située au sein de l'Union européenne peut être soumise au Clarifying Lawful Overseas Use of Data Act, dit "Cloud Act", si elle dispose d'activités aux Etats-Unis même à distance, conclut le cabinet d'avocats américain Greenberg Traurig répondant ainsi à une sollicitation du ministère néerlandais de la justice et de la sécurité.

Les offres hybrides remises en cause

Le rapport, révélé par la Tribune, contredit donc la rhétorique du gouvernement français vantant les mérites de sa doctrine "cloud au centre" présentée en mai 2021. Celle-ci permet à des entreprises françaises de distribuer des services proposés par des entreprises étrangères sous licence. Ces offres hybrides sont censées répondre au flou technico-juridique laissé par l'invalidation du Privacy Shield par la Cour de justice de l'Union européenne.

Ce texte, qui permettait de transférer des données personnelles vers les Etats-Unis, a été sabré car le juge européen a estimé que la législation américaine n'était pas conforme aux exigences du Règlement général sur la protection des données (RGPD). C'est la faculté offerte par le Cloud Act pour les autorités américaines d'accéder aux données des citoyens européens si celles-ci sont hébergées par un fournisseur cloud américain (même en dehors des Etats-Unis) qui était au coeur du litige.

Orange, Capgemini et Microsoft avec Bleu ainsi que Thales et Google avec S3NS promettent de lancer d'ici quelques mois des offres dites "hybrides". Face aux inquiétudes, ces sociétés ont à maintes reprises promis que les autorités américaines ne pourront pas mettre la main sur les données hébergées grâce à une série de mesures. Thales et Google promettent par exemple que seul "le personnel de l'Union européenne" pourra accéder aux données des clients "pour leur administration et leur support technique".

Une difficile conciliation avec SecNumCloud

A l'heure actuelle, ces offres n'ont pas encore reçu le label "SecNumCloud" délivré par l'Agence nationale de la sécurité des systèmes d'information (Anssi) sur la base d'une grille d'évaluation stricte. Celle-ci inclut en particulier une protection contre les lois extra-européennes.

Le rapport commandé par les Pays-Bas penche plutôt du côté de l'impossibilité pour Bleu et S3NS d'obtenir cette certification. En effet, Greenberg Traurig estime que pour qu'une entité européenne puisse échapper au Cloud Act, elle doit traiter les données via "une entité non américaine" qui n'ait pas de relation avec une société ayant une présence aux Etats-Unis. Dans le cas contraire, la société américaine ne doit avoir ni "la possession" ni "la garde ou le contrôle des données qui sont stockées dans l'UE".

Les entités européennes pourront néanmoins s'opposer à une obligation de divulgation si celle-ci viole une réglementation européenne telle que le RGPD. Ce qui semble être le cas en l'espèce. En effet, rappelons que Bruxelles et Washington n'ont pas encore signé de nouveau Privacy Shield pour encadrer le transfert de données personnelles vers les Etats-Unis. Seul un "accord de principe" purement politique a été trouvé en décembre dernier.

Les employés américains, une porte ouverte pour Washington

Le ministère néerlandais souhaitait également si les Etats-Unis pourraient obtenir des données d'une entité européenne – sur laquelle ils ne sont pas compétents – via un employé américain qui lui a accès aux données par ses fonctions. Oui, répondent les avocats. Bien qu'il soit possible de la faire, il est peu probable qu'un ressortissant américain conteste un tel ordre, ajoutent-ils. Si bien qu'ils conseillent "de ne pas employer de ressortissants américains qui ont accès à des données pertinentes".

Le cabinet d'avocats liste par ailleurs une série de mesures permettant en théorie d'échapper au Cloud Act, tel que le recours à la cryptographie asymétrique. Cette dernière repose sur l'utilisation d'une clé accessible aux seuls destinataires des messages, permettant de les déchiffrer. Il reste donc à connaître le contenu exact des mesures technico-juridiques mises en place par Bleu et S3NS et si celles-ci sont considérées comme suffisamment robustes par l'Anssi.

L'Anssi et la Cnil saisies

Les litiges autour du cloud de confiance sont donc loin d'être terminés. Des éclaircissements sont attendues de la Commission nationale de l'informatique et des libertés (Cnil) et de l'Anssi. En effet, ces autorités ont été saisies par le député Modem Philippe Latombe qui souhaite savoir si Thales et Google ont le droit d'emprunter la terminologie "cloud de confiance" pour désigner leur future offre "S3NS". Au-delà de la question terminologique, se joue un véritable bras de fer entre les fournisseurs de cloud français qui attendent plus de reconnaissance et leurs homologues américains qui sont largement majoritaires sur le marché.

Le futur schéma européen de certification de cloud pourrait rebattre les cartes. Il est actuellement en cours de négociation devant l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA). Le niveau "élevé" devrait intégrer une obligation d'immunité aux lois extra-territoriales à condition que les 27 réussissent à s'accorder. Si tel est le cas, les hébergeurs américains ne pourraient pas proposer leurs services aux entités opérant dans des secteurs sensibles (défense, énergie, sécurité...).

Sélectionné pour vous

Quelles sont les entreprises qui achètent le plus de solutions technologiques souveraines ?

La start-up Stane lève 10 millions d'euros pour digitaliser les établissements de santé

Les bases de données cloud d'Oracle sont désormais disponibles sur Microsoft Azure