By 
L’Etat présente lundi 17 mai sa « stratégie nationale du cloud », à un moment où les acteurs des secteurs public et privé font face à des dilemmes profonds : comment développer ce type d’hébergement et de services en ligne tout en gardant une maîtrise complète de ses données ? Comment répondre à l’exigence de plus en plus grande de souveraineté dans le numérique, alors que 70 % du marché est détenu par Amazon, Microsoft et Google et que ces géants américains ont une avance technologique ?
Les entreprises et les administrations « doivent avoir accès aux outils les plus performants du monde tout en garantissant un traitement des données respectueux des valeurs européennes », a résumé Cédric O, le secrétaire d’Etat au numérique, qui a présenté cette stratégie, aux côtés du ministre de l’économie, Bruno Le Maire, et de la ministre de la transformation et de la fonction publiques, Amélie de Montchalin. Pour tenter de résoudre cette tension entre des injonctions contradictoires, le gouvernement renforce les exigences pour les administrations, tout en promouvant des solutions hybrides, qui permettraient à des entreprises françaises ou européennes d’utiliser des briques logicielles de groupes américains.
Inquiétudes
Dans la sphère publique, une circulaire à paraître « dans les prochains jours » fait du cloud « la méthode d’hébergement par défaut des services numériques de l’Etat ». Mais cette mise à jour d’une première doctrine de 2018 durcit les conditions : elle exige de recourir à un cloud « protégé contre toute réglementation extracommunautaire ». Il s’agit là de répondre aux inquiétudes sur « l’extraterritorialité » de lois américaines comme le Cloud Act ou le Foreign Intelligence Surveillance Act (FISA), qui peuvent permettre à la justice ou aux services de renseignement d’accéder aux données hébergées hors des Etats-Unis. Ce risque avait contribué à l’invalidation des transferts de données transatlantiques par la Cour de justice européenne, en juillet 2020. Et alimenté la polémique sur l’hébergement par Microsoft de la plate-forme de données de santé Health Data Hub.
Concrètement, le gouvernement demande désormais aux administrations de ne recourir qu’à des prestataires labellisés Cloud de confiance pour les services traitant de données de citoyens, d’entreprises ou d’agents publics. Cette certification sera une mise à jour du label de sécurité SecNumCloud de l’Agence nationale de la sécurité des systèmes d’information (Anssi). L’Etat demande d’y intégrer le risque d’extraterritorialité et espère des premières certifications au second semestre 2022.
Il vous reste 57.65% de cet article à lire. La suite est réservée aux abonnés.
Comments