Depuis plusieurs années, les différents modèles de cloud computing se sont multipliés sur le marché. Que ce soit la fourniture de services ou encore le simple stockage de données, l’informatique en nuage a permis l’émergence d’entreprises hautement spécialisées : libre à chacun de choisir le fournisseur de cloud qui proposera des services adaptés à ses besoins. Cependant, le cloud est également un instrument de gouvernance de l’Internet en faveur des Etats-Unis puisque ces derniers possèdent la majorité des plus grands datacenters de la planète. La notion de cloud souverain est-elle susceptible d’assurer un meilleur contrôle des transferts de données?
Quand le nuage implique la volatilité des données
Le cloud computing est une figure imagée pour définir, selon la CNIL, “le déport vers un nuage Internet de données et d’applications qui, auparavant, étaient situées sur les serveurs et les ordinateurs appartenant à des sociétés ou à des particuliers”. Les avantages du cloud computing apparaissent rapidement évidents. Dans un premier temps, la dématérialisation propre à l’informatique en nuage permet un gain d’espace de stockage : le prestataire de cloud conservera les données sur les datacenters affiliés à cet effet. De plus, l’émergence de cette technologie a permis le développement de services inhérents au cloud, d’où l’appellation SaaS qui désigne une catégorie de service offert par certains prestataires (Software-As-A-Service). Le cloud computing est donc une technologie qui répond à des besoins hybrides, notamment pour des entreprises qui cherchent à informatiser leurs structures et leurs services.
Or le cloud soulève une problématique majeure : où sont précisément stockées les données? En effet, du fait de cette volatilité des données inhérente à l’informatique en nuage, le stockage des données s’effectue dans des datacenters qui peuvent être disséminés partout dans le monde. Ce constat simple soulève d’emblée une problématique juridique, à savoir le principe de territorialité de la loi. En effet, la loi du 06 janvier 1978 sur la protection des données personnelles ou encore la loi pour la confiance dans l’économie numérique promulguée le 21 juin 2004 sont des lois qui s’appliquent uniquement sur le territoire national. Dès lors, outre l’action de la CNIL permettant de contrôler la légalité des transferts de données personnelles hors du territoire national, il n’existe aucune action législative permettant d’assurer un contrôle des données. La seule assurance juridique permettant à un responsable de datacenter de respecter la bonne intégrité des données ainsi que leur confidentialité est la signature de BCR (Binding Corporate Rules) sous-traitants. Cependant, cette norme n’a qu’une valeur contractuelle et ne saurait donc garantir dans l’absolu un compromis stable pour le respect de la loi française hors du territoire. Enfin, en matière de cyber sécurité, force est de constater que la centralisation des données par les datacenters de grandes entreprises américaines pose davantage de problématiques : en cas de faille de sécurité, le risque de corruption des données est multiplié.
La notion de cloud souverain, réalité illusoire ou espoir inatteignable?
Si assez fatalement le nuage implique la volatilité des données et donc la perte de contrôle sur ces dernières, la notion de cloud souverain permettrait, au moins sur un plan théorique, de contrecarrer les défauts qui lui sont inhérents. En effet, le cloud souverain pourrait s’appeler cloud national : il s’agit de centraliser les services de stockage dans le territoire duquel le cloud est envisagé. Ainsi, dans le cas de la France, un cloud souverain supposerait que les services, le stockage ainsi que les traitements de données soient exclusivement effectués sur le territoire français. Les avantages théoriques du cloud souverain apparaissent rapidement. Dans un premier temps, une uniformisation juridique sur la protection des données personnelles dans le cadre du cloud computing apparait possible. Ainsi, les données personnelles pourraient faire l’objet d’un contrôle efficace quant à leur traitement. Cela concerne notamment les administrations françaises qui pourraient utiliser ces services de cloud pour le stockage de données sensibles telles que les données médicales. De plus, le cloud souverain pourrait permettre de constituer un premier frein à la gouvernance actuelle de l’Internet. En effet, la majorité des acteurs actuels du cloud computing sont des sociétés américaines : ces dernières disposent en effet des plus grands datacenters. Par exemple, Netflix utilise le service cloud d’Amazon. Dès lors, le cloud souverain permettrait à chaque pays de disposer d’un poids non négligeable face à ces géants, même si cela contreviendrait à plusieurs règles concernant la loyauté de la concurrence. Enfin, le cloud souverain pourrait être un gain supplémentaire en matière de suivi des données puisque la garantie que ces dernières ne quittent pas le territoire est entière.
Cependant, malgré tous les espoirs que peut faire naître le cloud souverain, la pratique de ce dernier en France est plus chaotique. En effet, depuis le lancement du projet “Andromède” en 2011, deux offres de cloud souverain virent le jour : Numergy et Cloudwatt. Or la mise en place de leurs services de cloud souverain a été houleuse. De plus, un constat est aujourd’hui clair : la publicité du cloud souverain ainsi que tous les avantages qui peuvent lui être associés n’ont pas particulièrement séduit les entreprises : les géants américains continuent de posséder la majorité des parts du marché, notamment du marché français. Enfin, si le cloud souverain constituerait un “eldorado juridique”, la sensibilisation des entreprises aux risques encourus sur les données par rapport à certaines offres de cloud serait probablement bien plus efficace que le développement d’une structure nationale de cloud.
Pour conclure, le cloud souverain est-il susceptible de devenir un argument pertinent pour lutter contre la volatilité des données inhérente à l’informatique en nuage? La réponse apparait hasardeuse. Certes le cloud souverain permet une assise juridique beaucoup plus confortable puisque la loi française s’appliquerait uniformément à tous les responsables de datacenters, notamment pour la protection des données personnelles. De plus, la maitrise des données serait beaucoup moins incertaine dans le cas d’une localisation nationale des serveurs. Cependant, le cloud souverain pose des problèmes d’harmonisation avec les règles de concurrence loyale entre un fournisseur de cloud souverain et un autre. L’espoir d’obtenir avec cette technologie un cadre juridique uniforme qui pourrait permettre au droit de rattraper l’essor du nuage apparait donc bien compromis.
Bertrand PLAU