« Le cloud présente des risques pour l’intégrité des données des Français », estime le Gouvernement. Pour en renforcer la protection et les mettre à l’abri de l’extraterritorialité de certaines lois, le Gouvernement annonce une stratégie en trois volets.
Le Gouvernement, par la voix de son ministre de l’économie Bruno La Maire, a annoncé hier une nouvelle doctrine pour renforcer la souveraineté numérique de la France. Déclinée en trois volets, la nouvelle stratégie sera déployée en trois volets : un nouveau label Cloud de confiance, une action Cloud au Centre pour moderniser l’action publique par la transformation numérique, et une politique industrielle d’investissement, via France Relance, au service de la souveraineté française pour la construction de nouveaux services cloud.
L’essor du cloud représente trois enjeux majeurs, selon le Gouvernement : « la transformation de nos entreprises et de nos administrations, la souveraineté numérique et la compétitivité économique ». L’objectif du gouvernement est de proposer un niveau de protection plus élevé aussi bien technique, contre la cybermalveillance, et juridique, contre les lois extraterritoriales qui obligent les prestataires à fournir les informations qu’ils détiennent à la demande d’un gouvernement étranger. Bien entendu, c’est principalement le Cloud Act américain qui est principalement visé.
Un nouveau label de confiance
« Le niveau de protection le plus élevé pour les données des Français est la priorité de la politique de cloud du Gouvernement. Cette sécurisation doit opérer au niveau technique comme juridique », explique en préambule le communiqué. Pour ce faire, le Gouvernement additionne un nouveau label. Le label Cloud de confiance, qui repose notamment sur le visa SecNumCloud, sera délivré aux fournisseurs de services.
Il offrira un double niveau de sécurisation, juridique et technique, aux entreprises et administrations françaises. Conçu comme un bouclier technique et juridique, ce label n’exclura pas les fournisseurs étrangers. C’est pourquoi il « permettra de nouvelles combinaisons comme la création d’entreprises alliant actionnariat européen et technologies étrangères sous licence. Cette politique répond ainsi à un besoin clair : donner accès au meilleur niveau de service tout en garantissant un haut niveau de sécurité », explique le communiqué.
Des obligations d’hébergement sécurisé
Dans la foulée des programmes d’investissement annoncés ces derniers mois, le Gouvernement entend mobiliser « les meilleures pratiques et solutions numériques pour répondre aux enjeux d’amélioration du service public ». Il adopte ainsi une politique baptisée « Cloud au Centre » et fait du cloud « un prérequis pour tout nouveau projet numérique au sein de l’État, afin d’accélérer la transformation publique au bénéfice des usagers et dans le strict respect de la cybersécurité et de la protection des données des citoyens et des entreprises ».
Selon lui, la transformation numérique des administrations passe par l’adoption du cloud, qui doit être au centre de la modernisation de l’action publique. Ainsi, les services numériques des administrations seront hébergés sur l’un des deux cloud interministériels internes de l’État ou sur les offres de cloud proposées par les industriels satisfaisant aux critères stricts de sécurité.
Des notions qui doivent être affinées
Notamment, chaque produit numérique manipulant des données sensibles, qu’elles relèvent notamment des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou d’applications métiers relatives aux agents publics de l’État, devra impérativement être hébergé sur le cloud interne de l’État ou sur un cloud industriel qualifié SecNumCloud par l’ANSSI et protégé contre toute réglementation extracommunautaire.
En somme, les administrations et les entreprises privées qui traitent ces données devront héberger celles-ci dans des centres de données labellisés Cloud de confiance et SecNumCloud. Cependant, le Gouvernement devra préciser les caractéristiques des données hébergées. L’expression « données sensibles » reste assez floue pour susciter des interrogations sur les types de contenus à protéger.