Quand on stocke des données dans le cloud, la protection de ces dernières est soumise à la législation du pays dans lequel le fournisseur du service réside. Or chaque pays a ses spécificités juridiques, notamment en matière d’accès aux données. Les entreprises doivent donc être vigilantes avant de choisir leur prestataire.
Choisir un hébergeur cloud, c’est choisir à quelle législation vos données seront soumises
La notion de “souveraineté des données” peut sembler relativement abstraite. Ici, il ne s’agit pas de la propriété des données mais du droit d’y accéder, donc de contrôle. L’exemple du Cloud Act illustre concrètement cela. Le 23 mars 2018, la loi fédérale américaine Clarifying Lawful Overseas Use of Data Act, dite Cloud Act, a été promulguée. Cette dernière donne le droit aux forces de l’ordre ou aux agences de renseignement américaines d’obtenir des fournisseurs de services de Cloud des informations stockées sur leurs serveurs, que ces données proviennent des États-Unis ou d‘ailleurs. Cette loi apporte une notion d’extraterritorialité puisque le droit américain est désormais appliqué à des entités qui relèvent normalement d’une autre juridiction.
De fait, si une société française utilise un service de cloud américain, les données qu’elle y héberge sont soumises au Cloud Act. C’est ce qui fait toute la subtilité du sujet : ce n’est pas parce qu’une entreprise est française, donc soumise au RGPD imposé en Europe qui protège les données, que les Etats-Unis n’auront pas accès à ces informations. L’entreprise française devra certes répondre aux règles imposées par le RGPD dans le cadre de son activité mais son hébergeur, lui, devra respecter la législation imposée par son pays d’origine.
Faut-il choisir un service cloud européen pour se prémunir des risques ?
Pour Alfonso Castro, directeur de la stratégie cloud chez Microsoft, ce Cloud Act qui fait tant couler d’encre doit être recontextualisé afin de montrer l’impact réel qu’il a sur les entreprises. Il estime que, même si un risque existe, il est très minime : “ Au premier semestre 2018, parmi les 5000 demandes de consultation de données faites par les Etats-Unis à Microsoft, seules 133 concernaient des données extérieures au territoire américain, dont 132 à propos d’individus. Au final, une seule demande a été faite pour une entreprise étrangère”.
Au contraire, Michel Paulin, CEO d’OVH, entreprise spécialisée dans les services de cloud computing, met en avant le fait que, même faible, le risque existe. Sa propre entreprise est soumise au RGPD puisqu’elle est française. Il considère que protéger les données fait partie des valeurs partagées par de nombreux acteurs en Europe et qu’il s’agit d’un choix qu’il faut défendre. Pour lui, la question que les entreprises doivent se poser est : “quelles sont les données qui peuvent être accessibles par un acteur, quel qu’il soit, et à quelles conditions juridiques vais-je les exposer ?” C’est ce risque qu’il souhaite clarifier. Il leur recommande d’ailleurs, pour s’en prémunir, de hiérarchiser leurs données et de les répartir entre plusieurs acteurs du cloud, en fonction de leur enjeu stratégique.
Il est toutefois possible de relativiser cette notion de risque car, même s’il est existant, il est tout de même possible de s’en protéger. Cela, grâce à des moyens technologiques, par exemple le chiffrement des données. En effet, Alfonso Castro explique que si l’Etat américain demande à Microsoft à accéder aux informations d’un de ses clients et que ces dernières sont cryptées, l’hébergeur cloud ne pourra rien fournir de lisible. Finalement, il rejoint Michel Paulin sur le fait que les entreprises doivent soupeser le risque et éventuellement répartir les données entre différents clouds.
C’est une force d’avoir une alternative économique et juridique en Europe par rapport à ce qui est proposé au niveau mondial. Michel Paulin met donc en garde les entreprises quant à leur choix d’hébergement cloud de leurs données. Luc d’Urso, CEO d’Atempo, appuie Michel Paulin dans cette voie. Selon lui, “pour exercer sa souveraineté il faut être libre, pour être libre il faut avoir le choix”. En revanche, il constate que “malheureusement, en Europe, on n’a pas toujours le choix car il y a peu d’alternatives européennes dans cette filière” et que, de fait, “ce principe de liberté est limité”.
Finalement, Michel Paulin en appelle à la solidarité collective des entreprises européennes. Car pour faire face à des compétiteurs beaucoup plus riches et puissants, tels que les américains de part leur écosystème fort et solidaire, il faut travailler ensemble.