« La protection des données, un enjeu plus politique que technique »

Aa-t-on vraiment envie de voir un jour nos données personnelles de santé entre les mains des services de renseignement américains ? Alain Issarni, PDG de NumSpot, service souverain d’hébergement de données né d’un partenariat entre Docaposte (filiale numérique du groupe La Poste), Outscale, la division cloud de Dassault Systèmes, Bouygues Telecom et la Banque des Territoires, souligne dans cette mise en avant les risques. posées par les lois extraterritoriales américaines sur les données européennes les plus sensibles.

Pour les protéger, des solutions techniques existent. Docaposte ne s’apprête-t-il pas à lancer une offre de cybersécurité dédiée aux entreprises et aux collectivités ? Pour un nombre croissant d’acteurs français, le véritable enjeu réside dans les choix politiques qui garantiront notre indépendance.

LIRE AUSSI Cloud : quatre mousquetaires français face à la Big Tech « La souveraineté continue d’être redéfinie et clarifiée dans un cadre réglementaire, technologique et d’usage en évolution rapide. Si elle désigne, à minima, l’immunité face aux lois extraterritoriales, elle englobe désormais d’autres aspects, liés à la sécurité, à la dépendance technologique ou commerciale. Le degré de souveraineté est inversement proportionnel au niveau de dépendance à l’égard d’un tiers. Dans le domaine du cloud, la dépendance est particulièrement forte à l’égard des grands acteurs (appelés « hyperscalers »), tous américains et représentant plus de 70 % du cloud européen ou français.

Européens et Américains ne bénéficient pas de la même considération !

Cette dépendance est d’autant plus préoccupante que ces acteurs sont soumis à des lois restrictives et discriminatoires, comme le FISA (Foreign Intelligence Surveillance Act), très controversé aux États-Unis, qui donne beaucoup de pouvoir aux services de renseignement à l’égard des États-Unis. entreprises.

Cette loi, qui vient d’être prolongée de quatre mois pour permettre au Congrès de se mettre d’accord sur son affaiblissement ou son durcissement, contrevient au 4^e amendement à la Constitution américaine pour la collecte des données des citoyens américains, mais les données des citoyens européens ne bénéficient pas de cette protection. Les citoyens européens ne bénéficient donc pas des mêmes droits que les citoyens américains, y compris sur le sol européen, lorsque leurs données sont accessibles par une entreprise de droit américain.

Le sujet n’est pas seulement technique, il est aussi politique

Nos données les plus sensibles doivent échapper à tout risque de compromission ou d’interférence. Que ce soit dans l’intérêt des particuliers pour les données relevant du secret médical ou du secret de la vie privée, ou dans l’intérêt des entreprises pour le secret des affaires, sans oublier l’intérêt des grandes administrations étatiques et des collectivités territoriales, leur niveau de protection doit être très élevé et ne peut souffrent de compromis risqués.

LIRE AUSSI French Cloud : la résistance s’organiseLa meilleure garantie qui existe aujourd’hui pour les utilisateurs est la qualification SecNumCloud du fournisseur cloud. C’est, à ce jour en Europe, le plus haut niveau d’exigence en matière de sécurité informatique mais aussi, dans la dernière version du référentiel SecNumCloud, la garantie de l’immunité face aux lois extraterritoriales.

L’année 2024 devrait donc être celle d’un sursaut politique pour gagner en autonomie et en indépendance en exigeant ce niveau de protection SecNumCloud pour les données sensibles. Elle doit s’accompagner d’une orientation claire pour la commande publique en invitant les acteurs concernés à privilégier le cloud souverain et SecNumCloud pour les données sensibles. L’année 2024 doit aussi être l’occasion de donner aux utilisateurs finaux une visibilité sur le degré de protection et de soumission aux lois extraterritoriales de leurs données sensibles.