L’idée centrale de cet article est de montrer que, à moyen terme, les clouds souverains localisés sur le territoire national seront une évidence juridique et opérationnelle dans nos écosystèmes numériques même si, à court terme et au regard des semi-échecs récents, ils peuvent paraître mal engagés !
La romanesque histoire des modalités d’accès aux données personnelles
La première partie de cet article est consacrée à la nouvelle donne qui impose soit de jure soit de facto d’implanter des data centers performants sur notre territoire national.
Nous commencerons ce plaidoyer en insistant sur des aspects historiques et juridiques outre-Atlantique. En pratique, l’utilisation des données personnelles par les agences de renseignement et de sécurité américaines est encadrée par le Privacy Act de 1974 qui apparaît comme assez respectueux des libertés.
A propos du Patriot Act (US)…
Le Patriot Act voté le 26 octobre 2001 a changé la donne en profondeur. Cette loi antiterroriste, post 11 septembre 2001, autorisait les autorités américaines à accéder aux données informatiques stockées sur le sol américain et détenues soit par des particuliers soit par des entreprises. La loi dispensait les autorités d’autorisation préalable et d’information préalable et donc elle accentuait les pouvoirs des agences gouvernementales comme le FBI, la CIA ou la NSA. Certes cette loi – liberticide – fut critiquée car elle entrait en résonance avec six amendements de la Constitution américaine.
Le Patriot Act a été prolongé par un vote du Congrès en 2011 jusqu’à juin 2015 c’est-à-dire grosso modo jusqu’au Freedom Act du 2 juin 2015 même si ce dernier n’abroge pas l’intégralité des dispositions du Patriot Act. Concrètement, les renseignements n’auraient accès aux données des Américains et/ou stockées sur le territoire américain si et seulement si un tribunal juge qu’il existe une suspicion de lien avec le terrorisme international.
Plus récemment, avant l’élection de Donald Trump, le LEADS Act (law enforcement access to data stored abroad) devrait mieux définir les scenari selon lesquelles le Gouvernement US serait en capacité d’accéder à des données en provenance des pays étrangers. Ainsi, cette loi n’autorise l’utilisation des mandats de perquisition extraterritoriale que si le Gouvernement cherche à obtenir le contenu des communications électroniques appartenant à un national des États-Unis.
À titre anecdotique en 2016, deux affaires judiciaires majeures, largement médiatisées, sont à l’origine de textes visant à clarifier et à encadrer ces démarches. L’affaire « Microsoft Corporation v United States of America » et l’affaire « Apple v FBI » vont défrayer la chronique et questionner les modalités d’accès aux données personnelles.
… et du Privacy Shield (UE)
Concernant les données des citoyens européens, après un « Safe Harbor » contreversé, il existe désormais un « Privacy Shield » qui a été conclu entre l’UE et les USA le 2 février 2016 (il y a un an) et adopté le 12 juillet 2016. Cet accord reste critiqué mais il réjouit les acteurs de l’Internet qui était confrontés à une réelle insécurité juridique. Il stipule que les données relatives aux citoyens européens qui sont stockées sur le territoire des États-Unis doivent bénéficier d’une protection équivalente à celle prévue par la législation européenne. Toutefois, quand le « Safe Harbor » proposait exceptionnellement l’accès aux données personnelles pour des motifs de sécurité nationale, le « Privacy Shield » tant à l’instituer comme une règle. De fait, un accès systématique des agences de renseignement américaines aux données personnelles en provenance de l’Union européenne pour des motifs de sécurité nationale semble devenir automatique !
L’élection de Donald Trump change la donne et ses décrets relatifs à l’immigration comportent quelques lignes qui remettent en cause le « Privacy Shield » déployé cet été et facilitent l’accès aux données stockées sur le territoire américain. Ainsi, les USA acceptent de mettre fin à une collecte indiscriminée de données… excepté s’ils sont confrontés à des motifs de sécurité nationale ou pour des « considérations techniques ou opérationnelles » ce qui reste suffisamment large et flou pour inquiéter les défenseurs des libertés et données personnelles.
À ce propos, il est intéressant de noter que la loi française, rappelée par la CNIL, interdit clairement de transférer des données vers des pays ou des destinataires hors de l’UE dont le niveau de protection ne serait pas suffisant. La CNIL met ainsi en ligne une carte des pays reconnus adéquats par l’UE pour leur capacité à protéger les données.
La non moins romanesque aventure du cloud souverain à la française
La seconde partie de cet article est consacrée à l’aventure récente de la tentative de construction d’un cloud souverain français avec ses premiers et seconds rôles, ses souffleurs, son metteur en scène, ses décors et son théâtre
À partir de 2009, le gouvernement français se pencha sur le berceau de l’informatique en nuage via l’ambitieux mais chaotique projet Andromede. Il fallait que l’économie française puisse s’équiper et résister face aux géants américains du cloud computing (Amazon Web Services, Microsoft, Google, Oracle…). À partir de 2012, l’idée était de se doter de deux structures (Cloudwatt/Orange-Thales, Numergy/Caisse des Dépots) et de datacenter propres à héberger des données sur le sol national afin de protéger les professionnels des services de renseignement étrangers évoqués dans le paragraphe précédant.
Après quelques années (six…), bien des déboires (organisationnels, opérationnels et politiques) et bien des millions d’euros (56, selon certaines estimations) force est de constater que l’aventure s’est mal terminée ! En 2015, l’entreprise Numergy est placée en procédure dite de sauvegarde puis est rachetée à 100 % par SFR et dans le même temps Cloudwatt est absorbée par le groupe Orange Business Services. L’aventure institutionnelle rentre dans le rang…
Ces deux structures sont toujours en activité. Cloudwatt se présente désormais comme une alternative qui permet de « Choisir le cloud public français souverain et open source » et Numergy Stockage comme hébergeurs de « vos données hautement sécurisées en France ». Elles agissent – et s’affrontent – sur le cloud aux cotés d’opérateurs français comme OVH, Orange, Ikoula, Outscale (Dassaut Systeme), Aspaway (Claranet)… et les opérateurs américains incontournables que sont Amazon, Google, IBM, Microsoft ou Oracle. Le marché du cloud a repris ses droits et le cloud souverain français est encore bien fragile et balbutiant !
La très opportune implantation de datacenter sur le territoire français
La troisième partie est centrée sur l’offre qui émerge portée par des opérateurs privés étrangers (type AWS) ou nationaux (type OVH)
Le paradoxe est qu’il apparaît utile de mettre à disposition des entreprises françaises un cloud souverain porté par des entreprises pérennes et robustes de nationalité et/ou de droit français. Certes OVH, Numergy et Cloudwatt peuvent proposer une offre intéressante, mais elle doit pouvoir affronter la force de frappe du leader mondiale – AWS – qui arrive sur le territoire avec ses datacenter, ses services et son cloud on demand (SaaS, PaaS, IaaS)..
En effet, la France (Paris notamment) va accueillir au moins trois data centers de AWS, après l’Irlande (Dublin), l’Allemagne (Francfort) et l’Angleterre (Londres). À ce propos, Jeff Bar qui est chief evangelist chez AWS se permet un tonitruant « bonjour la France » qui précède un encourageant et rassurant « cette région doit donner aux partenaires d’AWS et à ses clients la possibilité de faire tourner leurs workloads et de stocker leurs données en France ».
L’idée est de proposer aux organisations en situation d’insécurité juridique, ou tout simplement en situation d’insécurité perçue, une offre d’hébergement sur le territoire national et en conformité avec l’obligation légale de stockage des données, notamment des archives, en France. En termes simples, les collectivités locales (mairie, etc.) n’ont donc pas le droit d’utiliser des outils comme Gmail, Hotmail voire dropbox pour véhiculer des données institutionnelles relevant des archives. Elles doivent se rapprocher des Archives départementales qui se tiennent à disposition des collectivités pour les orienter vers des offres de clouds souverains, garantissant la traçabilité des données.
En effet, une circulaire récente du 5 avril 2016 émanant du ministère de l’Intérieur à destination des collectivités locales montre l’impérieuse nécessité de se doter d’infrastructures robustes en France. Il s’agit d’une part d’offrir une offre de cloud souverain située en France et d’autre part d’accompagner les acteurs nationaux opérant en France afin qu’un énorme marché institutionnel (dépassant largement celui des archives) ne soit pas capté essentiellement par Amazon !
Vers des clouds souverains… régionaux ?
Aujourd’hui les clouds sont monnaie courante. Soulignons toutefois un fait primordial. Un cloud pour l’entreprise garantit la confidentialité des informations et process stockés et qui tournent sur le cloud. Un cloud pour les particuliers (Facebook, Google, Microsoft…) vous demande d’abord de signer le fait que les données vont appartenir au dit cloud (même si ce dernier ne sera pas (ou peu) responsable d’éventuelles pertes de vos données).
C’est cette dernière activité qui permet de revendre les données (monétisation des données) à des fins de publicité personnalisée. C’est aussi la façon la plus lucrative de gérer un cloud. IL s’agit d’un service « gratuit » qui permet d’aspirer les données personnelles à des fins publicitaires tout en proposant un accès aux professionnels avec une tarification à l’usage qui peut ainsi rester modeste.
En cohérence avec les cadres réglementaires et juridiques et avec les pratiques des clients qui vont tous les deux rapidement évoluer, les clouds souverains/nationaux devront inventer leurs propres modèles économiques et s’imposer sur leur niche face aux clouds publics, privés et hybrides. Puis viendra peut-être le tour des clouds souverains/régionaux ?