Par Gérard Haas et Virgile Servant Volquin
La crise sanitaire a mis en évidence le caractère essentiel du numérique dans l’organisation du travail. La poursuite des activités productives alors que les déplacements étaient proscrits sur le territoire a en effet été rendue possible par la mise en place de solutions numériques innovantes.
Le déploiement de solutions cloud a grandement contribué à la modernisation des entreprises. Les solutions proposées par de grands acteurs américains comme la plateforme Azure (Microsoft), AWS (Amazon) ou encore Google Cloud occupent aujourd’hui près de 70% du marché, tandis que des acteurs européens se taillent une place comme le géant français OVH Cloud.
Le choix d’externaliser le stockage au sein de l’entreprise relève d’un arbitrage économique, technique mais aussi juridique. Cette problématique n’est d’ailleurs pas seulement celle des entreprises, comme l’atteste la mise en place d’une stratégie nationale pour le cloud, sous la tutelle du ministère de l’économie.
La stratégie nationale pour le Cloud
Cette stratégie vise à concrétiser le concept de souveraineté numérique européenne. Elle ambitionne avoir le contrôle de l’évolution et de l’usage des technologies et des réseaux informatiques. Appliquée au Cloud, la doctrine a donc pour principal objectif de prévenir les risques d’extraction de données d’utilisateurs européens stockées sur un service cloud du fait de l’extraterritorialité d’une règlementation extra-européenne comme le Cloud Act américain.
Pour parvenir à cette fin, la stratégie s’organise autour de trois axes
La mise en place d’un nouveau label « Cloud de Confiance »
La principale annonce du 17 mai 2021 tient à la mise en place d’un nouveau label, appelé « Cloud de Confiance ». L’objectif du gouvernement est de sécuriser à la fois techniquement et juridiquement les services cloud utilisés par les entreprises françaises.
Une obligation d’utiliser le Cloud pour les projets numériques de l’Etat : la politique « Cloud au centre »
Depuis le 17 mai 2021, tous les projets numériques d’origine étatique sont tenus de recourir au cloud pour l’hébergement de leurs données.
Etant donné la nature sensible des données hébergées, les services étatiques sont tenus à une grande sélectivité et notamment :
- Le choix d’un cloud certifié SecNumCloud
- Lorsque les données hébergées sont trop sensibles, un des deux cloud interministériels existants.
Un soutien renforcé aux solutions européennes émergentes
Dans le cadre du plan France Relance, ce sont près de cinq projets pour un montant de 107 millions d’euros qui ont été déposés dans le secteur du cloud.
A l’échelle européenne, la stratégie se concrétise par un soutien à la plateforme GAIA-X, un projet européen regroupant une vingtaine d’entreprises allemandes et françaises. Celui-ci devrait être opérationnel d’ici mi-2022.
Focus sur le label "cloud de confiance"
Le label peut être attribué à un service cloud sous trois conditions :
- Remplir les exigences de sécurité « SecNumCloud »
- Avoir des infrastructures et des systèmes localisés en Europe
- Assurer le portage commercial et opérationnel du service par une entité européenne.
L’adhésion au référentiel « SecNumCloud »
SecNumCloud (version 3.1) est un visa délivré par l’ANSSI qui définit les exigences et les bonnes pratiques en matière de management de la sécurité de l’information. Toutes les sociétés cloud offrant des services de cloud (Iaas, Paas ou Saas) peuvent y candidater.
Jusqu’alors, le recours à un service certifié SecNumCloud était nécessaire pour les Opérateurs d’importance vitale désignés à l’article R1332-1 du code de la défense mais il peut être intéressant pour n’importe quel fournisseur cloud d’obtenir la qualification, puisqu’elle correspond à une recommandation d’utilisation de ce service par l’Etat français.
Les critères d’obtention sont variés et comptent entres autres :
- Sécurité physique des locaux
- Mise en place de process spécifiques sur les zones de livraison
- Sécurité du câblage
- Mise en place d’un périmètre de sécurité
- Personnels habilités à travailler sur l’offre qualifiée
- Sélection des candidats
- Condition d’embauche
- Processus disciplinaire
- Contrôle des accès et gestion de l’identité
- Mise en place d’une cryptologie avancée
- Mise en place de process de sécurité liés à l’exploitation
- Règles spécifiques concernant les relations avec les tiers
A ce jour, seule une poignée de services cloud a réussi à obtenir la qualification, il peut donc être utile de se faire accompagner dans ces démarches.
Une localisation et une identité européenne
Les entreprises extra-européennes exerçant en UE sont à ce jour susceptibles de fournir des données d’utilisateurs européens à des autorités gouvernementales étrangères.
Le label Cloud de Confiance envisage d’y remédier par deux moyens. D’une part, le service doit être administré sur des infrastructures et des systèmes situés sur le territoire européen. D’autre part, il doit être commercialisé par une entité juridique européenne.
Localisation obligatoire des infrastructures et systèmes en Europe.
A ce jour, la protection des données personnelles en France est régie conjointement par le RGPD et la loi Informatique et Libertés. Elles visent toutes deux à garantir la sécurité des données de l’internaute européen, quelque soit la nationalité du fournisseur de service utilisé.
Le RGPD a en effet vocation à s’appliquer dès lors qu’un service exerce ses activités sur le territoire de l’Union, indépendamment du lieu du traitement des données. Pourtant, l’effectivité des dispositions du règlement est affaiblie dès lors que c’est un juge étranger qui est en position de statuer. Il n’est en effet pas tenu d’appliquer le règlement.
La localisation obligatoire des infrastructures et des systèmes en Europe rend donc beaucoup plus efficace la capacité d’une autorité d’un Etat-Membre d’ordonner une mesure provisoire, notamment lorsque des libertés ou des droits fondamentaux sont en jeu.
Le portage commercial et opérationnel du service par une entité européenne
Cette solution permet la mise en place de solutions « hybrides » associant logiciels américains et hébergement des données par des sociétés françaises. A ce titre, Google et OVH ont annoncé un partenariat. Ainsi, le risque de voir les données d’utilisateurs européens sortir de l’Union est minimisé tandis que les entreprises peuvent bénéficier des services logiciels les plus performants.
Quelques Français ont d’ores et déjà proposé des offres labélisées comme Oodrive ou 3DS Outscale.
Pourquoi recourir au label cloud de confiance ?
La politique nationale Cloud a globalement été bien reçue par les professionnels du secteur, quoique quelques écueils sont à signaler. Pour certains, il n’est pas sûr que le risque juridique de transferts de données soit écarté. Pour d’autres, la mise en place de solutions mixtes logiciels américains/hébergement de données en France est un renoncement à la volonté de faire émerger un géant européen du secteur, la partie logicielle captant la plus grande part de la valeur ajoutée.
Quoiqu’il en soit, si vous êtes fournisseur de cloud, le label Cloud de Confiance a des atouts à faire valoir. En effet, depuis la décision d’invalidation du Privacy Shield européen (Schrems II), la labellisation constitue un véritable atout commercial face à vos concurrents car les prospects seront assurés du moindre risque juridique de transferts de données vers l’étranger et donc contentieux de la responsabilité que cela pourrait susciter.
Pour obtenir le label, la procédure à suivre est la suivante :
En ce qui concerne la certification SecNumCloud :
- Envoi d’un dossier de demande de qualification par voie électronique ou postale à l’ANSSI. Il contient un « contrat d’évaluation » qui définit le cadre des conditions d’évaluation.
- Mise en œuvre des évaluations par un prestataire agréé par l’ANSSI.
- Rendu de la décision
En ce qui concerne les exigences de la localisation des infrastructures et des systèmes, il vous appartient de vérifier la localisation des serveurs, notamment pour vos éventuels sous-traitants.
Enfin, en tant que fournisseur Cloud français ou européen, la condition de la nationalité est remplie d’office. Si votre entreprise fait partie d’un plus grand groupe étranger qui en assure le contrôle, la condition ne sera alors pas remplie.
***
Le cabinet Haas Avocats vous accompagne dans la protection de vos données. Pour en savoir plus, rendez-vous ici.