Défi numérique européen : maîtriser le Cloud souverain en 7 étapes

Droit des affaires | 7 minutes of reading

La gouvernance des données face à l’hébergement de données personnelles en Cloud Computing à l’heure de la surveillance numérique

Partie 2. La capacité de réalisation d’une souveraineté numérique européenne

Les relations numériques transatlantiques sont marquées par une asymétrie de marché frappant en matière de Cloud. Amazon, Microsoft et Google captent une part toujours plus importante du marché du Cloud en Europe, menaçant l’indépendance et la souveraineté numérique et non numérique des Etats européens.

La protection, ou plutôt le contrôle des données renvoie tout d’abord à la question de la lutte des acteurs publics contre cette position dominante. Nous verrons dans un premier chapitre comment les acteurs publics répondent à cette menace sur le plan juridique et technique ( chapitre 1 ). Dans un second chapitre nous verrons comment les acteurs privés tentent de mettre en œuvre des stratégies pour sécuriser l’hébergement en Cloud ( chapitre 2 ).

Chapitre 1. Acteurs publics : Souveraineté numérique et contrôle des données

Pour contrebalancer ce cyberpower américain, les autorités publiques doivent manoeuvrer habilement sur le plan juridique afin de ne pas froisser un partenaire politique primordial tout en protégeant le marché numérique européen ( section 1 ). Sur le plan technique les Etats sont contraints de revoir leurs modèles de traitement des données publiques quitte à sacrifier une partie de leur efficacité ( section 2 ).

Section 1. Les défis pour les autorités publiques : respect des lois et réglementations locales et coopération avec les autorités étrangères

L’Union européenne entreprend depuis plusieurs années la construction d’un ensemble de réglementations visant à limiter et contraindre les pouvoirs des plateformes numériques (Digital Service Act, Digital Markets Act). Ce cadre de régulation du numérique est également complété en 2022 par un texte spécifique portant sur le partage des données non personnelles entre entreprises et acteurs publics, le Digital Governance Act (DGA).

Ces législations sont essentielles dans un monde où l’offre de services numériques gratuits rivalise désormais avec de réels services publics comme le courrier électronique, la cartographie, les moteurs de recherche, les réseaux sociaux, et bien d’autres encore. En matière de Cloud, le Digital Market Act vise directement certaines entreprises de services en réseau en position de monopoles, ou quasi-monopoles (dont les plus gros fournisseurs d’hébergement Cloud du marché 76 ), et ayant profité de leur rôle d’intermédiaire pour fausser la concurrence, notamment au détriment des entreprises utilisatrices de leurs plateformes.

Dans le contexte du développement du Cloud souverain, le DMA vient imposer certaines règles aux grandes plateformes du numérique (dont une majorité d’entre elles ont leur siège principal à l’étranger) pour endiguer leur abus de position dominante sur le marché européen du numérique et notamment du Cloud.

Ainsi ces entreprises dénommées « Contrôleur d’accès » ne pourront plus établir des conditions déloyales pour les utilisateurs professionnels notamment en imposant leurs logiciels les plus importants (navigateur web, moteurs de recherche, assistants virtuels) par défaut à l’installation de leur système d’exploitation, favorisant leurs services et produits par rapport à ceux des vendeurs qui utilisent leur plateforme (auto-préférence) ou encore en imposant aux développeurs d’application certains services annexes (ex. systèmes de paiement).

Dans la lignée du développement des politiques européennes de Cloud souverain, certains Etats membres de l’UE ont développé des réglementations locales visant à encadrer l’utilisation du Cloud par les acteurs publics. A cet égard, le gouvernement français a lancé en 2021 dans le cadre du Plan « France Relance » une stratégie d’accélération Cloud visant à ce que les fournisseurs de services cloud français développent une assise technologique et commerciale suffisante pour être compétitifs sur les marchés clés actuels 77 . Dans le cadre de cette stratégie, la circulaire du 5 juillet 2021 oblige les acteurs publics à faire héberger et traiter leurs données par des entreprises non soumises aux lois extraterritoriales américaines 78 .

Au niveau européen, le projet d’infrastructure de Cloud Souveraine de l’EU dénommé Gaia-X, continue d’avancer. Ce projet a pour l’heure la forme d’un catalogue de services de Cloud souverain permettant de rechercher, trouver et sélectionner des services cloud répondant à des exigences spécifiques, notamment la localisation des données en Europe, les certifications de sécurité, la portabilité des données et même l’engagement des fournisseurs à limiter l’impact environnemental de leurs services Cloud 79 .

76 Les critères définissant les entreprises visées par le texte sont fixés à l’article 2, Chapitre 3 du Digital Market Act.

77 Communiqué de presse du 2 novembre 2021, « Cédric O annonce une stratégie d’innovation mobilisant près 1,8 Mds€ de financements publics et privés pour soutenir la filière Cloud », n°1617.

78 Seul le recours à des services Cloud disposant de la qualification SecNumCloud est autorisé. Cette certification délivrée par l’ANSSI exige que la solution d’hébergement soit immunisée contre toute réglementation extracommunautaire.

Pour permettre de sécuriser l’utilisation du Cloud par les autorités publiques, ces nouvelles règles européennes communes en matière de prestataires de services Cloud doivent être soutenues par une veille stratégique permanente chargée de proposer des mesures techniques et organisationnelles de protection des données dans le Cloud.

Section 2. Les mesures techniques et organisationnelles de protection des données adoptées par les autorités publiques

La recherche d’un Cloud souverain passe par la capacité à maîtriser au niveau national ou régional la capacité à concevoir des logiciels et les moyens cryptographiques nationaux. Mais il suffit de perdre un élément de cette chaîne de valeur pour compromettre la souveraineté sur l’ensemble de la capacité considérée.

En dépit de la réalisation d’une souveraineté totale, une souveraineté partielle telle que celle des pays européens permet de limiter le Cloud à des capacités clés indispensables à la sauvegarde d’une indépendance numérique (par exemple dans le domaine du stockage de données ou de la cryptographie). Il faut donc choisir les capacités clefs à préserver, quitte à parfois renoncer à certains domaines technologiques accessoires ou inaccessibles 80 .

Dans le domaine de la cryptographie, le chiffrement homomorphe intéresse particulièrement les gouvernements européens. Grâce à cette méthode de chiffrement les données chiffrées peuvent ainsi être confiées à un tiers (un service cloud par exemple) sans avoir besoin de lui accorder la moindre confiance puisqu’il ne peut pas accéder aux informations en clair 81 .

Cette méthode n’est aujourd’hui pas opérationnelle et si elle le devient, elle restera certainement très extrêmement coûteuse à utiliser. Elle représente cependant une perspective pour les pouvoirs publics qui pourraient permettre de minimiser les risques liés à l’utilisation de Cloud étrangers. Il s’agissait d’ailleurs d’une réponse proposée par Snowden pour rendre plus difficiles les travaux de surveillance des agences de renseignement en utilisant massivement les technologies de chiffrement pour les échanges numériques.

79 CISPE, « Démonstration du premier catalogue de services cloud fédérés Gaia-X », 17 novembre 2022.

80 GERMAIN (G.), MASSART (P.), « Souveraineté numérique », Etudes, 2017/10, pp. 45-58.

81 GAVOIS (S.), « Chiffrement homomorphe : une idée vieille de 50 ans, qui prend « vie » depuis 10 ans », Next Inpact, 15 février 2023.

Dans la lignée du développement du Cloud souverain, on observe le soutien par des autorités publiques d’acteurs basés localement et visant à se positionner comme leaders sur le marché européen du Cloud. Pour être considéré comme Cloud souverain le service doit « proposer des équipements serveur et réseau conçus et assemblés dans l’UE et dont les composants principaux soient eux aussi made in France, comme les processeurs ou la mémoire » 82 une précaution visant à éviter toute ingérence extérieure.

82 CROCHET-DAMAIS (A.), « OVH Cloud entend s’ériger en leader du cloud souverain en Europe », Journal du net, 2022

En France par exemple, l’entreprise Numspot est née de l’alliance entre la Banque des Territoires, Docaposte, Dassault Systèmes et l’opérateur Bouygues Telecom et est soutenue par le gouvernement dans le cadre de son plan Cloud. Numspot vise prioritairement les acteurs économiques et institutionnels français qui ne trouvent pas actuellement de solutions souveraines répondant à leurs besoins : secteur financier (banques, assurances), secteur de la santé (hôpitaux) et secteur public (État, collectivités locales, opérateurs).

Cependant, la recherche d’efficacité et la pression commerciale dans le domaine du Cloud souverain ne doit pas mener les pouvoirs publics à sous-estimer les risques au risque d’aboutir à une dégradation de la sécurité. En parallèle, les stratégies des acteurs privés en matière d’hébergement peuvent être une source d’innovation et devraient être observées de près par les pouvoirs publics.

Rechercher
Télécharger ce mémoire en ligne PDF (gratuit)
Lire aussi :
  1. Nuages de données et souveraineté : enjeux du Cloud Computing moderne
  2. Stratégies Cloud et conformité réglementaire : un défi pour les acteurs privés
  3. Déjouer les risques du cloud : atteintes à la souveraineté et à l’intégrité
  4. Défis et solutions dans la protection des données du Cloud en UE
  5. Défis et enjeux de l'hébergement Cloud : surveillance et vie privée
  6. Transfert de données à l'étranger : risques et responsabilités juridiques
Télécharger le mémoire pdf

Si le bouton de téléchargement ne répond pas, vous pouvez télécharger ce mémoire en PDF à partir cette formule ici.

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Scroll to Top