Nous propopons à travers plusieurs études, dont celle-ci constitue la sixième contribution, une analyse juridique globale de la souveraineté numérique dans le cyberespace.
Après les cas chinois et russe, nous revenons sur les enjeux de l’hébergement localisé des données :
Avec l’expansion du mode Software as a service (SaaS) ou encore Infrastructure as a service (IaaS) le Cloud computing s’est très largement imposé dans les usages numériques, où les données des acteurs économiques et consommateurs sont confiées à des plates-formes (éditeurs) délivrant des services logiciels professionnels, commerciaux (vente en ligne) et/ou de communication (réseaux sociaux) où les données ainsi générées ont stockées sur des serveurs hébergés eux-mêmes au sein de data center.
Or, compte tenu de la localisation de ces infrastructures de stockage, les enjeux juridiques sont désormais prégnants, car qui en a le contrôle, en détient l’accès.
E-ambassade : le data center souverain
S’il existe manifestement une volonté de mainmise sur le Net de la part des États-Unis d’Amérique, il n’en demeure pas moins que le contrôle des données et des infrastructures devient primordial pour tous les États.
Dans cet esprit, l’Estonie, pays dont l’administration est ultra-connectée, très avant-gardiste sur la question, a réagi face au voisinage sans doute quelque encombrant et historiquement envahissant de la Russie.
Ayant négocié avec l’Union européenne – dont elle est membre – dans le cadre d’un traité bilatéral, elle a obtenu la reconnaissance d’une e-ambassade. Ainsi, au sens du statut conféré par l’article 22 de la convention de Vienne sur les relations diplomatiques du 18 avril 1961, l’Estonie a en réalité installé un data center délocalisé au Luxembourg pour héberger (et répliquer) ses données publiques.
Un « Cloud souverain » français à la peine
Il faut désormais bien reconnaître - comme l’a admis lui-même le ministre de l’Économie des finances et de la relance Bruno Lemaire - que l’Europe ne rattrapera pas sur leur terrain les GAFAM (Google, Amazon, Facebook, Apple et Microsoft).
Ils détiennent de facto l’exclusivité de l’usage de la donnée et créent de la valeur commerciale intrinsèque sur leurs propres prestations de services connexes. Ainsi, Google est désormais davantage une régie publicitaire qu’un moteur de recherche (87% de son CA) et Facebook se positionne comme un revendeur de données de consommation et non seulement un réseau social ; de même, l’e-commerçant Amazon tire l’essentiel de ses revenus de son informatique en nuage (ou services Cloud AWS).
Dans ces conditions, le modèle économique hermétique des GAFAM (opacity by design dit-on) a été cadenassé, interdisant tout concurrent de les supplanter.
Néanmoins quelques initiatives d’indépendance dans l’hébergement des données stratégiques ont vu le jour, sans succès, ou alors phagocytés dès l’origine par les GAFAM, offrant leur couche infrastructurelle ou logique, anéantissant de facto tout autonomie technologique et prêtant le flou à l’extraterritorialité du droit américain per se.
En 2009, François Fillion alors Premier ministre, affichait l’ambition ce lancer leaders du cloud. La Caisse des dépôts et consignations avait ainsi financé deux cloud initialement positionnés comme « souverains » à hauteur de 150 millions d’euros dans une logique de Partenariat public-privé :
Les causes des échecs des initiatives de cloud français sont diverses : des investissements insuffisants par rapport à ceux des grandes sociétés américaines, un manque de savoir-faire et de méthodologies qui permettent d’optimiser la migration, l’utilisation et la gestion des applications et données qui y sont traitées.
Dès lors, dans ces secteurs, l’avance est telle que la lutte semble a priori vaine, à l’instar du moteur français Qwant - largement soutenu par les autorités françaises - qui s’appuyait en réalité sur les algorithmes d’indexation générés par les services de Bing (Microsoft). Mais n’est-ce pas un aveu d’échec patent ?
De son côté, Renault, entreprise détenue pour partie par l’État, a-t-elle confié le traitement de ses données industrielles à Google. BPI, le bras armé financier de la France, qui a activement garanti les prêts consentis au titre de la relance économique (PGE) pendant la période crise sanitaire, a enregistré les dossiers de demande de crédit des entreprises françaises dans une solution extra-européenne, en l’occurrence AWS d’Amazon. Le renseignement intérieur a longtemps utilisé la solution américaine Palantir pour l’exploitation des données d’interception.
Par voie de conséquence, les données non personnelles produites en Europe sont généralement stockées et traitées en dehors de l’Europe, et leur valeur est également extraite en dehors de l’Europe.
Aussi, un nouveau projet franco-allemand de Cloud souverain dénommé Gaïa-X a été lancé le 4 juin 2020 avec plus de 200 entreprises ; l’ambition est de donner naissance à un écosystème numérique ouvert à l’échelle européenne. Toutefois, il ne s’agit pas d’une infrastructure centralisée, et l’initiative repose sur une charte où les adhérents s’obligent à écarter les règlements extra-européenne. Ce n’est donc qu’un vœu pieux, ce d’autant qu’ont rejoint cette association des fournisseurs américains comme Azure ou AWS …
Dernièrement, Capgemini et Orange ont annoncé le 27 mai 2021 leur intention de créer une nouvelle société, baptisée Bleu qui fournira un « Cloud de Confiance » conçu pour répondre aux besoins de souveraineté de l’État français, des administrations publiques et des entreprises dotées d’infrastructures critiques soumises à des exigences particulières en termes de confidentialité, de sécurité et de résilience, telles que définies par l’État français.
Enfin, Thales a affiché son intention de développer une offre souveraine « Cloud de confiance » en partenariat avec … Google.
Comme on le voit, si toutes ces ambitions méritent d’être saluées, il demeure un défaut de technologie souveraine, d’une part, qui contraint par conséquent ces structures prétendument indépendantes à utiliser des services américains et s’exposer aux règlementations de l’Oncle Sam, d’autre part.
Données personnelles sensibles : le précédent du Health data hub
De la même manière, malgré le courroux de Guillaume Poupart, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le gouvernement a confié en décembre 2019 l’hébergement des données de santé de nos concitoyens (dénommé Health Data Hub, dont le nom à lui seul est un renoncement) à Azure (Microsoft), arguant de l’absence de solution technique française ; ce qui n’a pas manqué de mettre en rage Octave Klaba, patron d’OVHCloud, la licorne française.
Ce choix est d’autant plus contreproductif que la santé numérique est le chantier d’avenir sur lequel planchent activement les GAFAM : parce que Google a affirmé « vouloir tuer la mort », d’une part, et parce que les équipes d’Apple ont contracté une dette morale après le décès de Steve Jobs, d’autre part.
Le HDH regroupe les données issues de centres hospitaliers, des pharmacies ou encore du dossier médical partagé lesquelles sont stockées sur le cloud de Microsoft. Étonnamment, ce choix a été fait alors que seule Microsoft était effectivement hébergeur de données de santé (HDS) certifié ; ce n’est que par la suite qu’OVHCloud et d’autres opérateurs français étaient in fine certifiés.
Un collectif a alors saisi le Conseil d’État sous le visa de l’article L. 3131-1 du Code de la santé publique, applicable en cas de « menace sanitaire grave appelant des mesures d’urgence ». La requête tendait à faire annuler le contrat du 15 avril 2020 confiant à Microsoft Ireland Ltd l’hébergement de la plate-forme Health Data Hub.
À l’occasion de l’instance qui s’est déroulée devant la plus haute juridiction administrative, statuant en référé, la CNIL a pris position en regard de la protection – toute relative - des données personnelles comme conséquence de la décision de la Cour de Justice de l’Union européenne d’annuler le « Privacy Shield » (arrêt CJUE C-311/18 Data Protection Commissioner contre Facebook Ireland Ltd dit « Schrems II » du 16 juillet 2020), traité transatlantique de transfert des données personnelles.
Dans son mémoire en observations du 8 octobre 2020, la présidente de la CNIL a ainsi précisé au Conseil d’État que les États-Unis, du fait de leur loi de sécurité nationale et de renseignement électronique (loi US 702 du Foreign Intelligence Surveillance Act – FISA – et Executive Order 12333), n’offraient pas les garanties de protection adéquate, et qu’en vertu du Cloud Act US de mars 2018 - le Cloud Act permet aux autorités américaines d’enjoindre toute entreprise américaine de communiquer les données en sa possession, peu importe leur lieu de localisation – il en était de même pour les hébergeurs soumis à la législation « étasunienne ». Cet avis sévère de la CNIL était de nature à mettre en garde la haute juridiction.
En effet, à suivre l’avis de la CNIL, confier à Microsoft la conservation de données sensibles, revenait à les exposer à l’ingérence des services de renseignement américains, d’une part, et violait la décision de la CJUE du fait de la suspension des transferts transatlantiques dernièrement prononcée sur le même fondement, d’autre part, en contravention depuis lors avec l’article 48 du RGPD.
Suivant ordonnance du 13 octobre 2020, le Conseil d’État a cependant ainsi autorisé le Health Data Hub à continuer à travailler avec Microsoft, sous le contrôle étroit de la CNIL, chargée de renforcer la protection des droits des personnes concernées sur leurs données personnelles, et sous réserve de la conclusion d’un nouvel avenant écartant clairement l’application des lois américaines. Ce faisant, le mandat de Microsoft est maintenu à brève échéance.
On doit ici saluer les efforts de ce collectif, mais encore la position claire et affirmée de la CNIL qui désormais rappelle la nécessité d’écarter des contrats d’hébergement les entreprises soumises à règlementation américaine.
C’est déjà une prise de conscience majeure.
Après les cas chinois et russe, nous revenons sur les enjeux de l’hébergement localisé des données :
Avec l’expansion du mode Software as a service (SaaS) ou encore Infrastructure as a service (IaaS) le Cloud computing s’est très largement imposé dans les usages numériques, où les données des acteurs économiques et consommateurs sont confiées à des plates-formes (éditeurs) délivrant des services logiciels professionnels, commerciaux (vente en ligne) et/ou de communication (réseaux sociaux) où les données ainsi générées ont stockées sur des serveurs hébergés eux-mêmes au sein de data center.
Or, compte tenu de la localisation de ces infrastructures de stockage, les enjeux juridiques sont désormais prégnants, car qui en a le contrôle, en détient l’accès.
E-ambassade : le data center souverain
S’il existe manifestement une volonté de mainmise sur le Net de la part des États-Unis d’Amérique, il n’en demeure pas moins que le contrôle des données et des infrastructures devient primordial pour tous les États.
Dans cet esprit, l’Estonie, pays dont l’administration est ultra-connectée, très avant-gardiste sur la question, a réagi face au voisinage sans doute quelque encombrant et historiquement envahissant de la Russie.
Ayant négocié avec l’Union européenne – dont elle est membre – dans le cadre d’un traité bilatéral, elle a obtenu la reconnaissance d’une e-ambassade. Ainsi, au sens du statut conféré par l’article 22 de la convention de Vienne sur les relations diplomatiques du 18 avril 1961, l’Estonie a en réalité installé un data center délocalisé au Luxembourg pour héberger (et répliquer) ses données publiques.
Un « Cloud souverain » français à la peine
Il faut désormais bien reconnaître - comme l’a admis lui-même le ministre de l’Économie des finances et de la relance Bruno Lemaire - que l’Europe ne rattrapera pas sur leur terrain les GAFAM (Google, Amazon, Facebook, Apple et Microsoft).
Ils détiennent de facto l’exclusivité de l’usage de la donnée et créent de la valeur commerciale intrinsèque sur leurs propres prestations de services connexes. Ainsi, Google est désormais davantage une régie publicitaire qu’un moteur de recherche (87% de son CA) et Facebook se positionne comme un revendeur de données de consommation et non seulement un réseau social ; de même, l’e-commerçant Amazon tire l’essentiel de ses revenus de son informatique en nuage (ou services Cloud AWS).
Dans ces conditions, le modèle économique hermétique des GAFAM (opacity by design dit-on) a été cadenassé, interdisant tout concurrent de les supplanter.
Néanmoins quelques initiatives d’indépendance dans l’hébergement des données stratégiques ont vu le jour, sans succès, ou alors phagocytés dès l’origine par les GAFAM, offrant leur couche infrastructurelle ou logique, anéantissant de facto tout autonomie technologique et prêtant le flou à l’extraterritorialité du droit américain per se.
En 2009, François Fillion alors Premier ministre, affichait l’ambition ce lancer leaders du cloud. La Caisse des dépôts et consignations avait ainsi financé deux cloud initialement positionnés comme « souverains » à hauteur de 150 millions d’euros dans une logique de Partenariat public-privé :
- Cloudwatt, créée à l’origine par Orange et Thalès, puis racheté par Orange en mars 2015 qui a cessé en janvier 2020.
- Numergy, initié par SFR, Dassault Sytèmes et Bull, racheté ensuite par SFR en mars 2015. L’initiative a été avortée en 2019.
Les causes des échecs des initiatives de cloud français sont diverses : des investissements insuffisants par rapport à ceux des grandes sociétés américaines, un manque de savoir-faire et de méthodologies qui permettent d’optimiser la migration, l’utilisation et la gestion des applications et données qui y sont traitées.
Dès lors, dans ces secteurs, l’avance est telle que la lutte semble a priori vaine, à l’instar du moteur français Qwant - largement soutenu par les autorités françaises - qui s’appuyait en réalité sur les algorithmes d’indexation générés par les services de Bing (Microsoft). Mais n’est-ce pas un aveu d’échec patent ?
De son côté, Renault, entreprise détenue pour partie par l’État, a-t-elle confié le traitement de ses données industrielles à Google. BPI, le bras armé financier de la France, qui a activement garanti les prêts consentis au titre de la relance économique (PGE) pendant la période crise sanitaire, a enregistré les dossiers de demande de crédit des entreprises françaises dans une solution extra-européenne, en l’occurrence AWS d’Amazon. Le renseignement intérieur a longtemps utilisé la solution américaine Palantir pour l’exploitation des données d’interception.
Par voie de conséquence, les données non personnelles produites en Europe sont généralement stockées et traitées en dehors de l’Europe, et leur valeur est également extraite en dehors de l’Europe.
Aussi, un nouveau projet franco-allemand de Cloud souverain dénommé Gaïa-X a été lancé le 4 juin 2020 avec plus de 200 entreprises ; l’ambition est de donner naissance à un écosystème numérique ouvert à l’échelle européenne. Toutefois, il ne s’agit pas d’une infrastructure centralisée, et l’initiative repose sur une charte où les adhérents s’obligent à écarter les règlements extra-européenne. Ce n’est donc qu’un vœu pieux, ce d’autant qu’ont rejoint cette association des fournisseurs américains comme Azure ou AWS …
Dernièrement, Capgemini et Orange ont annoncé le 27 mai 2021 leur intention de créer une nouvelle société, baptisée Bleu qui fournira un « Cloud de Confiance » conçu pour répondre aux besoins de souveraineté de l’État français, des administrations publiques et des entreprises dotées d’infrastructures critiques soumises à des exigences particulières en termes de confidentialité, de sécurité et de résilience, telles que définies par l’État français.
Enfin, Thales a affiché son intention de développer une offre souveraine « Cloud de confiance » en partenariat avec … Google.
Comme on le voit, si toutes ces ambitions méritent d’être saluées, il demeure un défaut de technologie souveraine, d’une part, qui contraint par conséquent ces structures prétendument indépendantes à utiliser des services américains et s’exposer aux règlementations de l’Oncle Sam, d’autre part.
Données personnelles sensibles : le précédent du Health data hub
De la même manière, malgré le courroux de Guillaume Poupart, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le gouvernement a confié en décembre 2019 l’hébergement des données de santé de nos concitoyens (dénommé Health Data Hub, dont le nom à lui seul est un renoncement) à Azure (Microsoft), arguant de l’absence de solution technique française ; ce qui n’a pas manqué de mettre en rage Octave Klaba, patron d’OVHCloud, la licorne française.
Ce choix est d’autant plus contreproductif que la santé numérique est le chantier d’avenir sur lequel planchent activement les GAFAM : parce que Google a affirmé « vouloir tuer la mort », d’une part, et parce que les équipes d’Apple ont contracté une dette morale après le décès de Steve Jobs, d’autre part.
Le HDH regroupe les données issues de centres hospitaliers, des pharmacies ou encore du dossier médical partagé lesquelles sont stockées sur le cloud de Microsoft. Étonnamment, ce choix a été fait alors que seule Microsoft était effectivement hébergeur de données de santé (HDS) certifié ; ce n’est que par la suite qu’OVHCloud et d’autres opérateurs français étaient in fine certifiés.
Un collectif a alors saisi le Conseil d’État sous le visa de l’article L. 3131-1 du Code de la santé publique, applicable en cas de « menace sanitaire grave appelant des mesures d’urgence ». La requête tendait à faire annuler le contrat du 15 avril 2020 confiant à Microsoft Ireland Ltd l’hébergement de la plate-forme Health Data Hub.
À l’occasion de l’instance qui s’est déroulée devant la plus haute juridiction administrative, statuant en référé, la CNIL a pris position en regard de la protection – toute relative - des données personnelles comme conséquence de la décision de la Cour de Justice de l’Union européenne d’annuler le « Privacy Shield » (arrêt CJUE C-311/18 Data Protection Commissioner contre Facebook Ireland Ltd dit « Schrems II » du 16 juillet 2020), traité transatlantique de transfert des données personnelles.
Dans son mémoire en observations du 8 octobre 2020, la présidente de la CNIL a ainsi précisé au Conseil d’État que les États-Unis, du fait de leur loi de sécurité nationale et de renseignement électronique (loi US 702 du Foreign Intelligence Surveillance Act – FISA – et Executive Order 12333), n’offraient pas les garanties de protection adéquate, et qu’en vertu du Cloud Act US de mars 2018 - le Cloud Act permet aux autorités américaines d’enjoindre toute entreprise américaine de communiquer les données en sa possession, peu importe leur lieu de localisation – il en était de même pour les hébergeurs soumis à la législation « étasunienne ». Cet avis sévère de la CNIL était de nature à mettre en garde la haute juridiction.
En effet, à suivre l’avis de la CNIL, confier à Microsoft la conservation de données sensibles, revenait à les exposer à l’ingérence des services de renseignement américains, d’une part, et violait la décision de la CJUE du fait de la suspension des transferts transatlantiques dernièrement prononcée sur le même fondement, d’autre part, en contravention depuis lors avec l’article 48 du RGPD.
Suivant ordonnance du 13 octobre 2020, le Conseil d’État a cependant ainsi autorisé le Health Data Hub à continuer à travailler avec Microsoft, sous le contrôle étroit de la CNIL, chargée de renforcer la protection des droits des personnes concernées sur leurs données personnelles, et sous réserve de la conclusion d’un nouvel avenant écartant clairement l’application des lois américaines. Ce faisant, le mandat de Microsoft est maintenu à brève échéance.
On doit ici saluer les efforts de ce collectif, mais encore la position claire et affirmée de la CNIL qui désormais rappelle la nécessité d’écarter des contrats d’hébergement les entreprises soumises à règlementation américaine.
C’est déjà une prise de conscience majeure.
Par Olivier de MAISON ROUGE
Avocat – Docteur en droit
Auteur du « Cyberisques. La gestion des risques juridiques à l’ère numérique » (LexisNexis, 2018)
Dernier ouvrage publié : « Gagner la guerre économique » VA éditions, mars 2022
Partie 1 : Souveraineté numérique dans le cyberespace (1) (journaldeleconomie.fr)
Partie 2 : Souveraineté numérique dans le cyberespace, (2) (journaldeleconomie.fr)
Partie 3 : Souveraineté numérique dans le cyberespace (3) (journaldeleconomie.fr)
Partie 4 : Géopolitique de l’hébergement de données et souveraineté numérique dans le cyberespace (4) (journaldeleconomie.fr)
Partie 5 : Géopolitique de l’hébergement des données et souveraineté numérique dans le cyberespace (5) : Le cas de la Russie (journaldeleconomie.fr)
Avocat – Docteur en droit
Auteur du « Cyberisques. La gestion des risques juridiques à l’ère numérique » (LexisNexis, 2018)
Dernier ouvrage publié : « Gagner la guerre économique » VA éditions, mars 2022
Partie 1 : Souveraineté numérique dans le cyberespace (1) (journaldeleconomie.fr)
Partie 2 : Souveraineté numérique dans le cyberespace, (2) (journaldeleconomie.fr)
Partie 3 : Souveraineté numérique dans le cyberespace (3) (journaldeleconomie.fr)
Partie 4 : Géopolitique de l’hébergement de données et souveraineté numérique dans le cyberespace (4) (journaldeleconomie.fr)
Partie 5 : Géopolitique de l’hébergement des données et souveraineté numérique dans le cyberespace (5) : Le cas de la Russie (journaldeleconomie.fr)
Inscription Newsletter
