Close
  • Français
  • English

04/07/2012Cloud Computing et souveraineté des données [Par Thomas Chopitea, CEIS]

La garantie de la propriété, de la sécurité et de la souveraineté des données est devenue un enjeu clé pour les entreprises, et surtout les Etat, ayant décidé de dématérialiser leur système d’information dans « le nuage ». Une décision qui souligne aussi que si les Etats sont de plus en plus nombreux à tenir compte du cloud dans leur stratégie de protection des données, seuls certains réunissent les critères objectifs nécessaires au déploiement d’une véritable stratégie de cloud souverain. Les Etats doivent en effet non seulement disposer d’infrastructures solides (datacenters, connectivité, etc.), de prestataires cloud proposant des offres compétitives mais aussi d’un cadre législatif et réglementaire leur permettant de conserver la mainmise, à la fois sur les données hébergées sur leur territoire et sur leurs données nationales stratégiques hébergées à l’étranger.

La souveraineté des données dans le Cloud

Le cloud computing place la question de la souveraineté des données au coeur du débat. Quel est le sort des données stratégiques d’une administration dont l’infogérance est externalisée sur un cloud hébergé à l’étranger ? Qui aura la mainmise sur ces données ? Les Etats-Unis semblent bénéficier de tout le dispositif nécessaire au déploiement d’offres de cloud : des prestataires aux offres matures, les infrastructures nécessaires pour accueillir bon nombre d’administrations ou sociétés à des prix très compétitifs. Mais le marché étranger (et notamment européen) leur est de plus en plus imperméable : les acteurs européens sont réticents à externaliser leurs données vers des clouds américains, la souveraineté de leurs données stockées y étant remise en cause.

Le PATRIOT Act signé en 2001, suite aux attentats du 11 septembre 2001, donne aux autorités américaines un contrôle complet sur la totalité des données stockées ou transitant sur leur sol lorsque ces éléments sont en lien avec des activités d’espionnage ou de terrorisme (sections 215 et 806). Des perquisitions et saisies peuvent également être réalisées pour des actes de contrefaçon commis dans le cadre d’une organisation criminelle, comme dans l’affaire « Megaupload ». La souveraineté des données est donc assurée de facto pour les américains sur leur sol.

Mais la problématique latente du PATRIOT Act s’étend à l’international : tous les services de cloud américains (y compris Amazon et Google) sont soumis à cette loi. De fait, les données confidentielles de gouvernements étrangers hébergées dans un cloud américain se retrouvent potentiellement accessibles par le gouvernement américain, ce qui dissuade fortement les potentiels clients étrangers de souscrire à des offres de cloud américaines. En Allemagne, T-Systems utilise même le PATRIOT Act et la souveraineté de ses données comme des arguments de vente.

La réflexion sur la souveraineté des données se traduit aussi à l’échelle européenne. Les récents travaux de la Commission Européenne de Justice représentée par Viviane Reding ont mené à la mise à jour de la législation de 1995 sur la protection des données des citoyens européens. Elle souhaite harmoniser les législations nationales et garantit un « droit à l’oubli » pour les données de citoyens européens, même si leurs données se trouvent géographiquement dans un pays non-membre de l’UE. Cette législation, bien qu’encourageante, pourrait tarder à entrer en vigueur.

Ne voulant pas rester en retrait par rapport au marché mondial du cloud, la Chine compte inclure une « Cloud Zone » dans son programme de cloud. Cette zone serait exempte du filtrage du « Great Firewall » Chinois, ce qui permettra aux personnes qui y travaillent d’accéder à Internet sans censure22. Cette décision vise notamment à améliorer le classement de la Chine dans le « Cloud Readiness Index », où sa politique de protection des données lui confère un mauvais score.

Vers le protectionnisme des données et la réapparition des frontières ?

La politique de protection des données peut varier énormément de pays en pays (voire d’Etat en Etat, dans le cas d’un Etat fédéral comme les Etats-Unis). En dépit de toute l’abstraction que le cloud permet, les données qui y sont stockées doivent bien exister quelque part et avoir une localisation géographique précise. Avec l’apparition de législations basées sur des critères géographiques, comme le PATRIOT Act, la question de la localisation des données, à laquelle les utilisateurs souhaitent se soustraire, redevient primordiale. L’abstraction technique et logique oblige donc à disposer de réponses concrètes dans le domaine légal. De même, la question peut se poser par rapport à la nationalité des sociétés hébergeant le contenu : une société américaine en France est-elle sujette aux mêmes lois qu’une société française ?

Le problème se complexifie dès lors que se fait la distinction entre fournisseurs d’infrastructure (serveurs physiques), prestataires de service (couche « logique » du cloud) et clients. Dans le cloud, il est fréquent que les trois acteurs ne soient pas au même endroit. Des études indiquent cependant que ces entreprises pourraient appartenir à un nombre restreint de grands acteurs.

Le problème est d’autant plus prégnant qu’il n’existe pas encore de solution concrète, même si la législation européenne annoncée le mercredi 25 janvier 2012 est un pas important dans la sauvegarde de la souveraineté des données en Europe. Dépourvue de régime juridique consensuel adapté, la technologie cloud pourrait très bien faire l’objet d’une forte régionalisation et se cantonner à des marchés très localisés, où chaque changement législatif représenterait une nouvelle barrière à franchir. Autant de contraintes qui n’étaient pas prévues dans le paradigme initial du cloud.

Par Thomas Chopitea, CEIS