Un cloud mieux sécurisé et plus respectueux des droits des personnes physiques doit se construire au niveau européen.
L’utilisation croissante du cloud computing entraîne des conséquences positives sur l’économie des pays de l’Union européenne. Cette conclusion ressort de l’étude menée par la Commission européenne entre décembre 2014 et avril 2016 (1). Pour la Commission, les bienfaits économiques du libre hébergement des données au sein de l’Union européenne justifient une suppression des restrictions nationales quant à ces transferts.
L’absence de réglementation précise à ce sujet a donc conduit la Commission à promouvoir dans son étude le développement d’un cloud européen et la libre circulation des données en Europe.
Le cloud, relais de croissance
Le cloud computing « permet aux utilisateurs d’accéder à un ensemble de ressources informatiques (réseaux, serveurs, stockage, logiciels et services) évolutif, élastique, pouvant être partagé et hébergé à distance, leur évitant ainsi d’investir du capital dans leur propre infrastructure informatique ou leur permettant de mieux la partager » (2).
Relais de croissance pour les Etats membres
Si les entreprises européennes n’ont pas toutes été convaincues par le cloud computing, les fournisseurs de services d’informatique en nuage génèrent néanmoins selon la Commission européenne, « un bénéfice net annuel moyen de 2,8 milliards d’euros, en constante augmentation jusqu’à 2020 ».
L’exploitation croissante du cloud entraîne des recettes fiscales majeures pour les Etats membres mais également des conséquences positives sur l’environnement, notamment par la dématérialisation du stockage de données.
Aux termes de son étude, la Commission affirme que les bénéfices liés à la croissance du cloud devraient s’accroître jusqu’à 45 milliards d’euros d’ici à 2020 dans l’Union européenne.
Economie d’investissement pour les entreprises clients
Pour l’entreprise souhiatant recourir à un cloud, l’avantage résidera principalement dans les économies de dépenses d’exploitation liées à l’informatique et celle-ci disposera ainsi davantage de ressources pour d’autres investissements.
La flexibilité grandissante des offres cloud procure également aux entreprises clients un avantage non négligeable notamment lorsque celle-ci souhaite moduler son utilisation et l’adapter à ses besoins.
Si les petites entreprises ont moins été séduites par le l’hébergement en mode cloud, contrairement aux moyennes et grandes entreprises, la généralisation d’un cloud européen serait pour elles un facteur de croissance évident afin d’employer leurs ressources pour des dépenses opérationnelles autres qu’informatiques.
Relais de croissance pour les prestataires cloud
Selon le scénario prévisionnel de la Commission européenne, la libéralisation d’un cloud européen entraînerait la création de 303 000 nouvelles entreprises entre 2015 et 2020 en Europe.
Dans ces conditions, l’impact du cloud européen sur la création et l’emploi est indéniable, allant jusqu’à 2,5 millions de nouveaux emplois entre 2012 et 2015 dans le scénario le plus optimiste.
Si le cloud européen constitue inévitablement un moteur de croissance pour les différentes parties prenantes, certains freins juridiques existent en l’état actuel des réglementations.
Les freins juridiques à l’émergence d’un cloud européen
La directive 95/46/CE (3) énonce comme principe la libre circulation des données à caractère personnel dans l’Union européenne. Ce principe est repris par le règlement européen du 27 avril 2016 (4).
Dans une optique de renforcement de la libre circulation des données dans l’Union européenne, la Commission européenne a prôné sa volonté de supprimer toutes les restrictions qui existent relativement à la localisation des données au sein de l’Union européenne. A ce titre, par une consultation ouverte depuis le 10 janvier 2017 et jusqu’au 26 avril 2017 (5), elle a pour mission de fixer le programme politique européen et figer la réglementation applicable à la localisation des données.
La Commission estime que les restrictions nationales à cette liberté devront être justifiées par le Traité et être nécessaires et proportionnées à la réalisation d’un objectif d’intérêt général, tel que la sécurité publique. Cette approche est d’ailleurs en cohérence avec le RGPD (8).
En l’état actuel du cadre légal, plusieurs freins à la localisation des données dans l’Union européenne peuvent être recensés.
Dans le domaine de la santé, le Code de la santé publique (6) impose un système de certification de l’hébergeur susceptible d’accueillir les données à caractère personnel, qualifiées de sensibles.
Concernant le domaine de la défense et de la sécurité publique, certaines données sensibles ne peuvent pas être hébergées à l’extérieur du territoire national. Cette exigence ressort de la politique de sécurité des systèmes d’informations de l’Etat du 17 juillet 2014 (7). Si les restrictions sont ici justifiées par un impératif de sécurité publique et notamment la fuite des données sensibles, celles-ci sont pour autant des freins à l’émergence d’un cloud européen.
Par ailleurs, une note d’information du 5 avril 2016 (9) des pouvoirs publics français interdit également le transfert des données des collectivités territoriales, qualifiées de « trésors nationaux », vers un « cloud non souverain ». Outre l’apparente non-conformité de cette instruction avec le principe de libre circulation précité, celle-ci semble créer une sorte de « préférence nationale » contraire aux enjeux actuels du marché unique.
Du point de vue des entreprises clients, certains freins existent également relativement aux questions de sécurisation des données. En effet, selon la loi Informatique et libertés en vigueur, il pèse sur le responsable du traitement une obligation de sécurité et de confidentialité quant aux traitements des données. Ainsi, le recours à un prestataire de type cloud peut sembler complexe et susciter des inquiétudes en termes de responsabilité dans la mesure où les sanctions pénales peuvent s’avérer très lourdes.
En tout état de cause, la Commission européenne souhaite une suppression globale des restrictions sur l’emplacement des données afin de faire prévaloir les bienfaits d’un futur cloud européen pour l’économie européenne, les fournisseurs de cloud et les entreprises utilisatrices.
Eric Le Quellenec
Arthur Benchetrit
Lexing Droit Informatique
(1) Rapport d’étude du 12-2014 au 4-2016, « Measuring the economic impact of cloud computing in Europe »
(2) Définition donnée par la Commission européenne à travers son étude
(3) Directive 95/46/CE du 24-10-1995
(4) Règl. (UE) 2016/679 du 27-4-2016
(5) Communication du 10-1-2017, « Communication on Building a European Data Economy »
(6) CSP, art. L1111-8 al. 1
(7) Politique de sécurité des systèmes d’information de l’Etat, 17-7-2014
(8) Post du 30-1-2017
(9) Instruction ministérielle du 5-4-2016