Le Cloud souverain peut-il fournir une offre informatique d’infrastructures 100 % françaises aux entreprises ?
En 2009, le gouvernement français s’est engagé dans le projet d’un cloud souverain initialement baptisé « Andromède » qui devait permettre de « développer une alternative française et européenne […] que les Nord-Américains dominent actuellement ». Aujourd’hui le projet français semble être abandonné.
L’idée d’un cloud souverain s’est transférée de l’échelle nationale à l’échelle européenne (1). Pour le gouvernement français, il s’agit de mettre en place un cloud sécurisé dont les données ne pourraient être transférées hors des frontières nationales. Ce projet serait une opportunité économique pour le France.
Le cloud souverain à la française a rencontré de nombreuses difficultés économiques (2). Il n’a jamais été juridiquement défini. La mise en œuvre d’un cloud souverain doit s’adapter à un cadre législatif et réglementaire permettant aux entreprises de contrôler leurs données (3).
Le Safe Harbor résultant de l’accord signé en juillet 2000 par le pouvoir législatif européen a pour objet de permettre le transfert des données vers les États-Unis. Or, la Cour de l’Union européenne (CJUE) considère que le niveau de protection aux États-Unis n’est pas satisfaisant au regard de l’européenne et invalide l’accord le 6 octobre 2015 (affaire « Schrems ») (4).
Cette décision devrait relancer le projet d’un cloud souverain dont les critères objectifs de mise en place doivent être définis.
Toutes les offres du cloud proposées par Google, Apple, Facebook et Amazon (les « Gafa ») sont concernées. Le transfert des données personnelles à destination des États-Unis est donc prohibé sans un encadrement strict.
Les entreprises réfléchissent actuellement à un mécanisme de protection des données selon lequel elles pourraient choisir l’emplacement de stockage et gérer directement les clefs de chiffrement.
Un mécanisme cohérent est proposé par la société Microsoft, propriétaire de deux nouveaux centres de données situé en Allemagne. Dans le cadre de ce mécanisme la société Microsoft ne peut accéder aux données sans l’autorisation des clients ou des tiers et dans le cas où l’autorisation est donnée, l’accès doit être supervisé par l’opérateur tiers des centres de données : la société Deutsche Telecom.
L’état des lieux du cloud souverain montre une volonté de transposer l’idée d’un cloud souverain à l’échelle européenne. L’invalidation de l’accord du safe harbor créé un « huis clos » de données au sein de l’Union européenne pour lequel de plus les normes ISO 17788 :2014 et 17789 :2014 qui concernent directement le cloud pourraient être très utiles (5).
Les prestataires doivent prévoir des mécanismes cohérents pour la mise en place d’un cloud souverain européen et permettre ainsi d’offrir à leur client une possibilité de « régionaliser » les données, première étape au cloud « Privacy by Design ».
Eric Le Quellenec
Lexing Droit Informatique
(1) J.-F. Forgeron, « Contrat de Cloud computing », Post du 25-6-2015.
(2) Notamment le rachat de Cloudwatt par Orange et la vente de Numergy.
(3) Rapport de l’observatoire du monde cybernétique.
(4) C. Torres, « Données personnelles : invalidation de l’accord Safe Harbor », Post du 24-10-2015.
(5) Normes disponibles sur le site de l’OIN.