Par Alexandra Itéanu, avocate. Le Cloud était initialement une affaire technique. Il devient désormais une affaire de souveraineté, c’est-à-dire politique. Dans une Note du Directeur Interministériel intitulée Doctrine “Cloud au Centre” et offre Office 365 de Microsoft et datée du 15 septembre 2021, l’Etat français exclut pour la première fois de manière explicite l’offre Cloud Office 365 proposée par la société de Bill Gates, de sa Politique “Cloud au Centre”.
> Alexandra Itéanu
Cette Note est la consécration de plusieurs années de prises de position et de réglementations concernant le Cloud français.
Si, comme nous l’avons rappelé, le Cloud présente de nombreux avantages, l’externalisation de services essentiels mêlée au stockage des données dans un environnement tiers, et la dépendance qu’elle crée, rendent ces offres sensibles et demandent une réelle évaluation des risques avant de recourir à un prestataire externe.
Le choix du prestataire Cloud et sa nationalité deviennent dès lors un défi majeur pour la sécurité et la confidentialité des données hébergées. Pour l’Etat et ses entités, au-delà d’un simple objectif de sécurité, la nationalité du prestataire Cloud est un véritable enjeu de souveraineté.
La défiance montante vis-à-vis des offres Cloud américaines
Aujourd’hui, un grand nombre d’offres Cloud mises en avant sur le marché français sont proposées par les géants du numérique américains.
Cependant, la promulgation du Cloud Act[1] aux Etats-Unis, en mars 2018, a indéniablement marqué un tournant dans l’utilisation du Cloud, notamment et surtout pour les Etats, puisque cette loi fédérale américaine marque définitivement la possibilité pour les Etats-Unis d’accéder aux données hébergées par des fournisseurs de Cloud américains ou sous juridiction américaine, quelle que soit la localisation de leurs serveurs.
En 2020, l’arrêt de la Cour de Justice de l’Union Européenne (CJUE) qui invalide le “Privacy Shield”[2] a été une nouvelle sonnette d’alarme à destination des utilisateurs des prestataires Cloud américains. Cet accord permettait à toute société américaine de s’auto-certifier “conforme” au Règlement UE n°2016-679 dit RGPD, et d’exporter vers les Etats-Unis des données à caractère personnel des citoyens européens qu’elle avait collectées ou qu’on lui avait confiées. La CJUE a estimé que la réglementation américaine, notamment les programmes PRISM et UPSTREAM, permettait aux autorités américaines d’accéder à des données hébergées par des fournisseurs américains et présentait donc un risque pour les données des citoyens européens.
Cette décision a incontestablement accéléré la volonté des Etats européens de se tourner vers des offres Cloud souveraines. (…)
Politique “Cloud au Centre” : les prestataires européens favorisés, l’offre Cloud Office 365 exclue
Avec la circulaire n°6282/SG du 5 juillet 2021 du Premier ministre, un pas de plus est franchi, avec l’introduction de la doctrine “Cloud au Centre”, qui met en avant les acteurs français et européens du Cloud : « l’Etat doit veiller scrupuleusement à la protection de ses données et de celles de nos concitoyens, et notamment à leur hébergement sur le territoire de l’Union européenne, conformément au droit de l’Union. ».(…)
Cette circulaire exclut donc des offres commerciales Cloud toutes offres proposées par un prestataire soumis au Cloud Act, ou à toute autre réglementation extracommunautaire.
La Note du 15 septembre 2021 du Directeur Interministériel[3] s’inscrit dans cette même logique et va même plus loin, puisque l’Etat exclut désormais très clairement l’offre Office 365 des solutions Cloud envisageables : « l’offre Office 365 de Microsoft n’est pas conforme à la doctrine Cloud au Centre ».(…)
Maintenant que les règles du jeu sont posées clairement, il revient à l’Etat de les appliquer et de favoriser les acteurs français et européens dans la gestion des systèmes d’information étatiques. Reste à savoir si les alternatives Cloud à Office 365 convaincront les acteurs publics… et leurs utilisateurs.
[1] Loi bipartisane votée par les Démocrates et Républicains sous la mandature de Donal Trump.
Le titre exact de cette Loi est “Clarifying Lawful Overseas Use of Data Act” ou CLOUD Act (H.R. 4943)
[2] Arrêt dans l’affaire C-311/18 Data Protection Commissioner/Maximillian Schrems et Facebook Ireland
[3] Note aux Sécrétaires généraux des ministères, Réf DINUM-DIR-210901, du 15/09/2021
Extraits – lire le texte intégral sur
« Politique Cloud au Centre » de l’Etat – Office 365 mis sur la touche
