Par Clémence Béjat – Data Protection Officer chez Outscale
La France entreprend de dessiner son nuage étatique et, pour ce faire, elle doit être exemplaire ! Cette démarche s'inscrit dans un environnement marqué par les réformes avec, notamment, l'ombre menaçante du Cloud Act américain, qui, depuis mars dernier, se présente comme un potentiel danger pour la confidentialité des données du secteur public. Mais, plus que cette réglementation d'outre-Atlantique, qui, avouons-le, fera sans doute plus de peur que de mal, c'est l'application de législations étrangères qui pourrait s'avérer un risque pour les entités publiques souhaitant migrer dans le Cloud. Des prérequis sont donc nécessaires pour façonner ce nuage étatique, tout en gardant à l'esprit que la meilleure option pour l'État reste le choix d'un Cloud souverain.
La protection des données dans le Cloud fragilisée par les législations internationales
Le but affiché par Mounir Mahjoubi, secrétaire d'État en charge du Numérique, dans le cadre de la constitution d'un nuage étatique, est de renforcer la souveraineté française en matière de numérique. Ainsi, il apparaîtrait logique que l'État ait recours à un fournisseur de Cloud européen, voire mieux hexagonal. En effet, le critère de choix fondamental reste, avant la souveraineté des données, leur protection. Or, recourir à des offres de Cloud à l'échelle internationale - américaines ou chinoises, par exemple - n'apparaît pas judicieux, tant au niveau de la sécurité juridique que de la promotion d'une économie locale.
D'autant que la récente promulgation du Cloud Act, en mars dernier, n'a rien de vraiment rassurant. En effet, cela donne aux autorités américaines, ayant obtenu un mandat dans le cadre d'une enquête judiciaire, l'accès à des données électroniques stockées à l'étranger, mais détenues par des fournisseurs opérant aux États-Unis. Les États qui confient les données de leurs citoyens à ces fournisseurs prennent donc le risque de voir ces dernières collectées par les autorités judiciaires américaines. Certes, sur le papier, seules les personnes suspectées d'avoir commis un délit ou un crime seraient concernées. Toutefois, des dérives ne sont pas totalement à exclure.
Mais, plus que le Cloud Act, ce sont toutes les législations du pays du fournisseur de Cloud, susceptibles de s'appliquer à l'utilisateur, qui présentent un risque potentiel. Choisir un fournisseur basé au sein de l'Union européenne ou a fortiori en France apparaît dès lors plus protecteur pour un citoyen, une entreprise ou une organisation publique, qui pourra prétendre à une protection alignée sur la législation européenne.
Protéger les données avec la cryptographie : une fausse bonne idée
Dans ce contexte, le chiffrement des données peut sembler une solution pour contourner le problème de sécurisation des informations dans le Cloud. Seulement, à l'échelle étatique, l'impact serait limité dans le sens où les services secrets américains, par exemple, sont tout à fait en mesure de casser la grande majorité des chiffrements réalisés par des particuliers ou des entreprises. Spécialistes de la cryptanalyse, ils ont une longueur d'avance dans ce domaine. Le seul avantage réel de cette méthode vient du fait que, si toutes les données sont cryptées, les services secrets auront plus de mal à identifier les messages critiques à intercepter, ce qui pourrait dans une certaine mesure empêcher un espionnage abusif du grand public.
En sus d'un chiffrement systématique par le responsable du traitement des données, le référentiel SecNumCloud de l'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI) apparaît comme la garantie d'une véritable sécurité. Plusieurs acteurs sont aujourd'hui en phase d'être qualifiés pour leur respect de ce jalon technique strict et pointu.
Une seule option : faire le choix d'un Cloud souverain
Les entités publiques ont une responsabilité de taille : protéger les nombreuses données sensibles qu'elles détiennent concernant les citoyens et l'intérêt général qui en découle. Elles se doivent donc, plus que tout autre acteur, d'être exemplaires à tout niveau. Qu'en est-il alors de la Mairie de Paris ou de la SNCF, entreprise publique, qui ont opté pour un fournisseur de Cloud américain - Amazon pour ne pas le citer - ? En France, il existe pourtant des fournisseurs qui allient performance technologique, sécurité et souveraineté. Les entités étatiques, en sélectionnant des acteurs nationaux, feraient le choix combiné de la sécurité, de la confiance et de la croissance, en participant grandement à l'essor de l'innovation à un niveau national.
Par ailleurs, ce choix semble s'aligner à la perfection avec le plan d'action pour accélérer la transition vers l'industrie du futur, présenté par notre premier ministre le 20 septembre dernier, lors de sa visite chez le champion du numérique, Dassault Systèmes. Discours au cours duquel il a insisté sur la volonté du gouvernement de « redonner aux patrons français le goût de produire en France ». Reste à suivre de près les décisions stratégiques, qui seront opérées par l'État dans les mois à venir.