Cloud de Confiance, un nouveau label gage de souveraineté et de sécurité
Lundi 17 mai dernier, Bruno Lemaire, Ministre de l’économie et des finances et Cédric O, Secrétaire d’état chargé du numérique, ont annoncé la création d’un nouveau label « Cloud de Confiance ». Conçu pour sécuriser le stockage de données, considéré comme un enjeu de souveraineté, ce nouveau label doit permettre aux administrations et aux citoyens de pouvoir « bénéficier des meilleurs services offerts par le cloud tout en assurant la meilleure protection pour leurs données » précise Bercy.
Des infrastructures localisées en Europe
Le label reposera notamment sur le visa "SecNumCloud" délivré par l'Agence nationale de la sécurité des systèmes d'information (Anssi), garantissant les plus hauts niveaux de sécurité au niveau mondial mais présentant des failles en termes de souveraineté auxquelles voudrait répondre le Cloud de Confiance.
Pour détenir ce nouveau label, les infrastructures et les systèmes devront être localisés en Europe, et l’offre commerciale et opérationnelle assurée par une entité européenne détenue par des acteurs européens. L'objectif étant de lutter contre le risque d'accès aux données du fait de l'application de réglementation extraterritoriale. En d’autres termes, la démarche vise directement le CLOUD Act qui permet aux autorités américaines d'ordonner la divulgation de données stockées en Europe par des entreprises américaines.
Un geste vers les entreprises extra-européennes…
La stratégie gouvernementale prévoit que les services cloud proposés par des entreprises extra-européennes pourront également être labellisés sous conditions, notamment celle portant sur la localisation des données. En apparence, ces critères semblent être en adéquation avec l'idée d'un cloud souverain. Mais en pratique, quelle que soit la localisation des données – aux Etats-Unis, en Europe ou dans le reste du monde – les autorités américaines ont accès aux données à partir du moment où elles sont stockées par une entreprise américaine en vertu du CLOUD Act.
... à condition de passer par des prestataires français
Pour éviter cette situation, le gouvernement prévoit que les entreprises américaines devront commercialiser leurs offres sous licence accordées à des fournisseurs français. Les données seront ainsi stockées sur des serveurs français appartenant à des fournisseurs français. Une inconnue persiste cependant sur la mise en pratique. Reste à voir si ces accords empêcheront réellement l'application de la loi américaine.
L’Etat français confiant
« Ce mécanisme de licences met les données des Français et des entreprises françaises à l'abri de la législation américaine du CLOUD Act » avance Cédric O, Secrétaire d’État chargé de la transition numérique et de la communication électronique. « Pour leur compétitivité, les entreprises françaises doivent avoir accès aux outils informatiques les plus performants du monde », insiste le secrétaire d’État. Elles doivent cependant pouvoir les utiliser en étant sûres de bénéficier « d’un traitement des données respectueux des valeurs européennes ».
La stratégie nationale cloud viserait donc à amener les géants du cloud à évoluer radicalement. Utopie ou réalité ?
D'où l’importance de gérer ses données avec un prestataire de confiance
L’ensemble des services CONTINEW reposent sur un respect strict de la confidentialité et de la sécurité des données de nos clients. Conformité RGPG garantie. Toutes les données qui nous sont confiées sont stockées dans des centres de données à sécurisation forte, basés en France.
Pour aller plus loin
• Continew Data, la solution de sauvegarde de données sécurisée et basée en France
• L’entiercement Continew pour répondre aux exigences de dépôts de sources