Le chiffre d’affaires annuel du cloud a progressé de 25 % en 2021. En Europe, en 2030, il devrait s’approcher des 500 milliards d’euros (1). Mais les règles du jeu de ce secteur en pleine explosion ne sont pas claires. Son développement anarchique pose des questions éthiques autour de la protection des données. Il est temps d’allumer les feux de détresse. Car nous ne savons pas où vont, les données, ni comment elles sont exploitées. D’autant plus que les lois sont mouvantes. Aujourd’hui, les datas peuvent être protégées, et demain, être livrées aux quatre vents. Ce secteur a besoin de régulation, de réglementations pour éviter les dérives. Si l’Europe a l’air de prendre ce sujet à cœur, elle semble aujourd’hui bien seule à s’en soucier.

L’usage éthique des données, un enjeu européen

A quoi ressemblera votre réseau d'entreprise demain ? La transformation numérique a fait naître une demande d’adaptation constante. Les organisations s’aperçoivent qu'elles ont besoin d’offrir aux utilisateurs un accès sécurisé aux applications et aux services, en tous lieux. Application des politiques de sécurité à l’ensemble des télétravailleurs, détection des nouvelles menaces pesant sur les utilisateurs, centralisation de la sécurité… Pour répondre à ces besoins pressants, une réponse est avancée : l’approche SASE modélisée en 2019 par l’entreprise américaine de conseil et de recherche Gartner. Sécurité et réseau virtuel viennent se fondre dans le cloud. De quoi tout gérer depuis une seule plate-forme, évolutive qui plus est.

Avec le développement du cloud et du modèle SASE, les données se déplacent inexorablement vers le Web. En les transférant sur les clouds des géants américains Amazon, Microsoft ou Google, les organisations perdent la maîtrise et la confidentialité de leurs datas. Un danger d’autant plus prégnant lorsque les organisations disposent de données sensibles, dans les domaines de la santé ou de la défense par exemple. Alors, forcément, ça inquiète. Comme en témoigne Jean-Paul Alibert, CEO de T-Systems : « Nous constatons une sensibilité plus forte de nos clients autour de la protection de leurs données. » (2)

La législation américaine ne défend pas les utilisateurs de cloud. C’est le moins qu’on puisse dire. Le quatrième amendement américain qui protège les données personnelles est caduc lorsque celles-ci sont confiées à un tiers. Pire, avec le Cloud Act promulgué en mars 2018, le gouvernement américain peut contraindre les fournisseurs de son pays à divulguer des datas stockées sur des serveurs en Europe. De quoi inquiéter fortement les organisations européennes à cheval sur la confidentialité de leurs informations et anéantir les efforts de Microsoft Azure et d'Amazon Web Services qui avaient construit des data centers en France en guise de gages de confiance. Les GAFAM se défendent sur le sujet. À l’instar de Julien Groues, directeur général d’AWS France : « Il y a une mauvaise compréhension des lois américaines. Le gouvernement n’a pas accès aux données. Il faut demander à un juge et il faut qu’il y ait un acte criminel… Sur les douze derniers mois, il y a eu vingt-cinq demandes dans le monde, et aucune ne concernait la France. Nous conseillons à nos clients, dont plusieurs grandes sociétés du CAC 40, de chiffrer leurs données. Ainsi, la seule chose qu’ils pourraient transmettre à un juge sont des données chiffrées, et donc inutilisables, car seul le client a la clé de chiffrement. Il est donc le garant de la sécurité de ses données. »(3) Convaincu ? Objectivement, il y a de quoi avoir quelques doutes. Nous allons le voir, l’Europe a une démarche radicalement différente. Il faut dire que l’enjeu est loin d’être anecdotique, comme le mentionne Michel Paulin, directeur général d’OVH : « Les données sont un élément de la création de valeur, mais aussi un enjeu stratégique et éthique. Le stockage de ces données est un acte de puissance. Aujourd’hui, 60 % des données mondiales sont stockées par des acteurs américains ou chinois. C’est bien un enjeu de souveraineté ! L’Europe est-elle capable d’apporter une réponse industrielle, financière, politique, éthique et stratégique à cet enjeu ? » (4)

Pionnière sur le sujet, l’Europe a une volonté affirmée en termes d’éthique. Entré en vigueur en mai 2018, le règlement européen sur la protection des données (RGPD) régule la collecte de données. Un cadre légal unique au monde qui pose les bases d’un usage éthique. Récemment, l’Union européenne est même allée plus loin. Dans son arrêt du 16 juillet 2020, la Cour de justice de l’Union européenne a invalidé le Privacy Shield, un accord négocié en 2016 entre l'UE et les États-Unis. Désormais, les transferts d’informations vers des entreprises américaines relevant du Privacy Shield – entre autres Google, AWS, Microsoft – sont formellement interdits. Confidentialité, transparence, sécurité… Confier ses données à un prestataire respectant à la lettre le RGPD et dont le data center est situé sur le territoire national est donc la meilleure garantie pour les entreprises françaises d’une réelle protection de leurs informations. Les organisations françaises peuvent les partager sans crainte dans ces clouds respectueux de leur souveraineté. C’est d’ailleurs un point fort revendiqué par les fournisseurs européens de cloud tels que OVH, Outscale et Ikoula. La conformité au RGPD devient un argument marketing. Un formidable atout concurrentiel pour se démarquer des GAFAM et se positionner comme une alternative plus éthique pour l’hébergement de données sensibles. Ainsi, comme l’affirme Jules-Henri Gavetti, président d’Ikoula : « Le RGPD rebat les cartes chez les hébergeurs et les éditeurs. » (5)

 

Télécharger le guide SASE

Un modèle hybride pour se conformer aux exigences européennes

Les entreprises françaises doivent-elles pour autant tirer un trait sur les services des GAFAM ? Pas tout à fait. Des modèles hybrides se mettent en place. Les organisations tricolores peuvent ainsi utiliser sous licence les services de GAFAM, tout en ayant recours à des acteurs du cloud français pour un traitement et un stockage de leurs données conformes au RGPD. Ce qui se traduit par des coopérations entre les GAFAM et les leaders du cloud français. À titre d’exemple, OVH travaille avec Google depuis novembre 2020 sur une offre cloud. Depuis juillet 2020, Google et Orange sont également associés dans les domaines de l'intelligence artificielle et de l'usage des datas. En juillet 2021, Atos a quant à lui pris comme partenaire IBM pour concevoir une nouvelle infrastructure numérique pour le ministère de la Défense aux Pays-Bas.

Mais faut-il y croire ? Est-ce vraiment cela un cloud souverain ? Rien n’est moins sûr. Si demain, l’agence américaine de renseignements (NSA - National Security Agency) souhaitait consulter les datas stockées chez OVH en partenariat avec Google, il y aurait de grandes chances que vous ne puissiez pas vous y opposer. Et ce malgré toutes les garanties juridiques. Tant que l’Europe n’aura pas développé ses propres technologies, nos entreprises ne seront pas souveraines sur leurs données.

La suite ? Hors d’Europe, le grand public comme les entreprises sont peu à peu sensibilisés aux questions de protection de données. Notamment aux États-Unis où quelques scandales ont éveillé l’opinion publique aux risques de diffusion de leurs données personnelles. À titre d’exemple, en 2019, Google Cloud a signé un accord avec le groupe d’établissements de santé Ascension, qui exploite 2 600 hôpitaux, maisons de retraite et centres de santé. De l’identité des patients aux diagnostics, des dossiers médicaux complets ont été transférés sans l’accord des personnes concernées. L’affaire révélée a provoqué un véritable tollé médiatique. Il est donc possible qu'à l'avenir d’autres pays s’inspirent de la réglementation européenne. Les GAFAM eux-mêmes militent pour une telle évolution de leur législation auprès du gouvernement américain.

Des réglementations à la hauteur des enjeux

Jacques Arnould, expert éthique au CNES (Centre national d'études spatiales), nous met au défi : « Le monde des données est un monde à explorer comme nous explorons le système solaire ou les planètes. Même si c'est nous qui le produisons, nous ne le connaissons pas pour autant entièrement : nous n'en connaissons pas les limites, les reliefs, les issues. Que ce soit avec prudence ou en prenant des risques, il y a une forme d'exploration à engager ces prochaines années. » Dans un monde toujours plus virtuel, qui détient les données, les algorithmes ? Jusqu’où peuvent aller les robots ? Pouvons-nous admettre que les robots militaires puissent tuer ? Quelle est la ligne rouge à ne pas dépasser ? Metropolis, Terminator, Matrix… Les films où la technologie prenait le dessus sur l’homme étaient hier de la science-fiction. Aujourd’hui, ils n’ont jamais semblé aussi réels.

« Il est facile de critiquer la technique, il est plus difficile de s'en passer, surtout en ce moment », affirme Jacques Arnould. À l’heure des nouvelles évolutions imposées par la robotique et l’intelligence artificielle, ou encore de la création de Metaverse, il semble néanmoins indispensable de fixer des règles claires et protectrices pour l’ensemble des acteurs. Nos institutions seront-elles à la hauteur des enjeux ? La réponse est entre les mains de nos élus. On peut leur conseiller de méditer cette citation de Potter Stewart (1915-1985), ancien juge à la Cour suprême des États-Unis : « L’éthique, c’est le fait de connaître la différence entre ce qu’on a le droit de faire et ce qu’il est juste de faire. » (6)

 

Sources :

(1) https://www.la-croix.com/Economie/largent-public-cloud-souverain[1]2021-11-02-1201183299

(2) https://www.usinenouvelle.com/editorial/de-22-a-180-membres-l[1]initiative-europeenne-sur-le-cloud-gaia-x-veut-prendre-une-autre-ampleur.N1029749

(3) https://www.lemonde.fr/economie/article/2020/02/16/numerique-le[1]cloud-enjeu-de-souverainete_6029772_3234.html

(4) https://www.lemonde.fr/economie/article/2020/02/16/numerique-le[1]cloud-enjeu-de-souverainete_6029772_3234.html

(5) https://www.zdnet.fr/actualites/le-rgpd-un-atout-concurrentiel-pour-le[1]cloud-francais-39867506.htm

(6) https://www.revuegestion.ca/pour-une-ethique-de-lintelligence[1]artificielle