Cloud Act et protection des données
Publié le 1 octobre 2021
Souveraineté numérique, Cloud Act, géants du numériques, GAFAM, protection des données…
Que cachent ces mots omniprésents dès qu’on parle de cyberespace et de numérique ?
Quand on sait que la France est un pays de services et que cela passe forcément par la digitalisation, on imagine le volume de données à stocker et les risques encourus en cas de fuite de ces données. Saviez-vous que plus de 85 % des données mondiales sont hébergées par des datacenters américains ? Oui mais en quoi est-ce un risque pour les entreprises ?
Avant d’en arriver à la souveraineté numérique, il est normal de se poser la question de ce que l’on doit craindre si nos données se retrouvaient dans les mains des géants américains du numérique. Que font-ils de nos données ? Comment faire pour mieux les protéger ?
Si vous vous posez ces questions, cet article est pour vous !
Pour commencer, il faut déjà comprendre le Cloud Act, made in USA !
Le Cloud Act, qu’est-ce que c’est ?
Il ne s’agit pas de cloud au sens de « Nuage ». Cloud Act est donc l’acronyme de Clarifying Lawful Overseas Use of Data Act. Si on doit le traduire en français, c’est donc une « Loi clarifiant l’utilisation légale des données à l’étranger« .
Adopté le 23 mars 2018 sous couvert de sécurité nationale, il permet au gouvernement américain, sur présentation d’un mandat délivré par une juridiction américaine, d’avoir accès à toutes les données stockées sur les serveurs américains. Y compris des données étrangères situées en dehors des Etats-Unis.
En d’autres termes, tout acteur économique dans le monde, qui stocke ses données sur le « Cloud » via un opérateur américain, est concerné par cette loi extraterritoriale, sans même en être informé.
Et le respect de la vie privée et des données personnelles dans tout ça ?
Vous vous dites qu’en France, le RGPD protège les entreprises du Cloud Act ?
Pas si simple…
La première conséquence directe du Cloud Act est que le Règlement Général sur la Protection des Données (RGPD) se retrouve balayé. Même si l’article 48 prévoit l’interdiction de transfert ou de divulgation des données à caractère personnel vers un pays tiers sans un accord international.
Les Etats-Unis peuvent ainsi engager des actions judiciaires à l’encontre des entreprises mondiales.
Un rapport à la demande du 1er ministre Edouard Philippe, en juin 2019, porté par le député Raphaël Gauvain, fait état d’un bilan assez édifiant sur ces 20 dernières années : […] plusieurs dizaines de milliards de dollars d’amendes ont été réclamées à des entreprises françaises, européennes, sud-américaines et asiatiques, au motif que leurs pratiques commerciales, leurs clients ou certains de leurs paiements ne respectaient pas le droit américain, alors même qu’aucune de ces pratiques n’avait de lien direct avec le territoire des États-Unis et/ou que ces entreprises se conformaient au droit de leur pays…
Des dizaines d’entreprises non américaines condamnées pour des faits qui n’ont pas été commis aux Etats-Unis ! La probable raison économique de ces poursuites est soulignée dans ce rapport. En effet, seules de grandes entreprises européennes et asiatiques, en concurrence directe avec des entreprises américaines, sont visées. Les grandes entreprises américaines sont quant à elles, pour la plupart, épargnées.
On parle beaucoup du Cloud Act américain mais d’autres pays comme la Chine ou la Russie, pourraient avoir leurs propres lois à portée extraterritoriale qui auraient les mêmes conséquences.
Savez-vous où sont stockées vos données ?
Vous avez choisi d’héberger les données de votre entreprise sur des serveurs localisés en France ? C’est un bon début ! Mais savez-vous à qui appartiennent les datacenters à qui vous confiez vos données ?
Seuls 15 % des datacenters mondiaux ne sont pas concernés par le Cloud Act !
Eh oui, les principaux datacenters aujourd’hui appartiennent à Google, Amazon et Microsoft, les fameux « géants du numériques ». Ils sont aussi avec leurs confrères Facebook et Apple, les GAFAM !
On le sait tous désormais, les GAFAM savent tout sur nous et ils hébergent aussi nos données ! Sur le territoire américain ! Où le Cloud Act s’applique ! CQFD…
Il ne suffit donc pas que le centre de données soit installé en France. Si la filiale française a du capital américain, ce n’est donc pas le RGPD mais bien le Cloud Act qui s’applique ! On parle d’incompatibilité entre les 2 lois.
En bref, que vos données soient hébergées en France ou en dehors de l’union européenne par des fournisseurs et hébergeurs américains, les lois appliquées en U.E. n’auront plus de valeur. De plus, tout changement réglementaire de ces pays peut entraîner des conséquences néfastes sur la confidentialité et la protection de données des citoyens européens.
Rassurez-vous, chaque problème à ses solutions. Maintenant que l’on a vu les dangers, voyons quelles solutions et bonnes pratiques adopter !
Comment mieux protéger nos données ?
Il est très difficile pour un particulier de se passer aujourd’hui des applications et des services développés par les GAFAM. Mais pour les entreprises françaises ou européenne, une première alternative serait de chiffrer les données afin de défier les lois du Cloud Act.
La deuxième serait de faire appel à des partenaires non-soumis au Cloud Act. Des entreprises européennes qui travaillent avec des partenaires européens, sans aucun lien financier avec une entreprise américaine !
Et c’est là qu’entre en jeu la souveraineté numérique ! Nos politiciens ont des projets ambitieux pour ne plus dépendre du quasi-monopole américain mais en attendant que l’Europe fasse de l’ombre au pays de l’oncle Sam, nos entreprises, propriétaires et responsables de leurs données (et des nôtres par la même occasion), peuvent agir maintenant ! Comment ? En choisissant de confier leurs données à des opérateurs de cloud français ! Intéressez-vous à la nationalité de votre hébergeur !
On parle de Cloud souverain, c’est-à-dire, d’un service de stockage de données dont l’hébergement et l’infogérance se font par un prestataire français. Ses infrastructures se situent sur le sol français et le prestataire est soumis à la réglementation française (loi informatique, RGPD…)
Cet enjeu est d’autant plus important lorsqu’on traite des données sensibles comme celles de la santé.
La norme ISO 27001 et le référentiel HDS offrent aux entreprises la garantie d’une sécurité renforcée des données.
Un datacenter certifié ISO 27001 montre qu’il a conscience des risques qui pèsent sur les données sensibles, qu’il les prend en compte et qu’il s’en protège. L’ANS (Agence du Numérique en Santé) a mis en place une certification obligatoire pour pouvoir continuer d’héberger des données de santé (certification HDS). Cette certification est un gage de qualité pour sécuriser nos données de santé.
En résumé, choisir un datacenter français, n’ayant pas de capitaux étrangers hors Union Européenne, certifié ISO 27001 / HDS, vous garantit donc une sécurité optimale de vos données, qu’elles soient sensibles ou non.
Et la sauvegarde des données dans tout ça ?
Vouloir se protéger des GAFAM et du Cloud Act, c’est bien ! Mais ce ne sont pas les seuls dangers du Net. comment se protéger des cyberattaques, de plus en plus nombreuses ?
Parmi les bonnes pratiques pour protéger votre entreprise des malwares, la sauvegarde externalisée reste un moyen efficace de sécuriser votre système d’information et de restaurer l’intégralité de vos données en cas d’attaque.
Optez pour une solution 100 % française avec Ma-Sauvegarde
Ma-Sauvegarde, certifiée ISO 27001 et HDS, est une solution de sauvegarde en ligne, en temps réel, 100 % française qui héberge les données de ses partenaires et de leurs clients dans un datacenter ayant les mêmes certifications, dont l’infrastructure qui se trouve en France, est intégralement dupliquée et redondée dans un deuxième datacenter distant de plus de 400 km.