Les données sensibles du gouvernement doivent être stockées chez des hébergeurs européens : Bercy met les points sur les i, dans un courrier adressé à tous les membres du gouvernement français. Ces derniers doivent désormais s’assurer que leurs données sensibles et celles de leurs administrations sont stockées sur des clouds non soumis à des lois extraterritoriales (américaines). Les solutions bureautiques « souveraines » doivent aussi être privilégiées.
Un rappel à l’ordre en bonne et due forme : le 22 avril dernier, trois ministres ont envoyé une lettre aux autres membres du gouvernement, leur rappelant les règles en matière d’hébergement de leurs données sensibles. Les ministres du Numérique, des Comptes publics et de l’Action publique écrivent ainsi que les « évolutions du contexte international » donnent « une acuité particulière » à « la protection des données », rapportent Politico et Contexte qui a aussi publié le courrier, vendredi 2 mai.
Les données sensibles des membres du gouvernement doivent en effet être stockées chez des hébergeurs « conformes (aux) exigences de protection contre tout accès non autorisé par des autorités publiques d’États tiers », soulignent Laurent Marcangeli, Amélie de Montchalin, et Clara Chappaz. Traduction : exit les hyperscalers américains comme Amazon (AWS), Microsoft Azure et Google Cloud, tous les trois soumis à la loi « Fisa » et au « Cloud Act ». Ces lois extraterritoriales américaines obligent toute société américaine à communiquer des données qu’elles hébergent, y compris en Europe, à des autorités locales, si ces dernières en font la demande.
Ce même si ces dernières proviennent du Vieux continent, et même si elles sont stratégiques ou régaliennes. De quoi constituer un « droit de regard » voire une immixtion potentielle que veut justement éviter le gouvernement, en particulier au vu du nouveau contexte géopolitique.
À lire aussi : De la sidération à la négociation : comment le duo Trump-Musk a fait vaciller l’Europe en 13 jours
« Assurer une plus grande indépendance de l’État »
Un point sur lequel Brad Smith, le président de Microsoft, a justement cherché à rassurer, le 30 avril dernier, lors de la présentation de ses « nouveaux engagements numériques pour l’Europe ». La firme américaine est visée par plusieurs polémiques dans l’Hexagone – notamment après que l’école Polytechnique et l’Éducation nationale, et moins récemment le Health Data Hub, la plateforme de données de santé, ont fait le choix de cette entreprise pour héberger certaines données ou pour bénéficier de certains outils bureautiques.
À lire aussi : Sabotage ? Illégal ? L’Éducation nationale et Polytechnique choisissent Microsoft : on vous explique la polémique
La firme américaine a cherché à rassurer les Européens en déclarant qu’elle combattrait devant les tribunaux toute demande de suspension de ses opérations cloud en Europe qui proviendrait de tout gouvernement, y compris américain. Elle a ajouté qu’elle « contester(ait) toute demande gouvernementale concernant l’accès aux données des clients du secteur public ou des entreprises de l’UE, lorsqu’il existe une base juridique pour le faire ».
Pour les trois ministres auteurs de ce rappel, l’objectif des règles françaises est d’« assurer une plus grande indépendance de l’État ». Résultat, tous les membres du gouvernement doivent « impérativement s’assurer » que leurs administrations utilisent bien des « hébergements » conformes « à ces exigences de protection contre tout accès non autorisé par des autorités publiques d’État tiers », en cas de données sensibles.
À lire aussi : « Trop de dépenses de Cloud vont encore aux Américains », déplore la ministre de l’IA et du Numérique
À côté du cloud, les solutions bureautiques, les messageries et les solutions d’IA aussi concernées
Mais l’hébergement sur le cloud n’est pas seulement concerné : cette règle s’applique aussi aux solutions « bureautiques et de messagerie en nuage cloud ainsi que les solutions d’intelligence artificielle ». À côté des ministères, les organismes placés sous leur tutelle, ainsi que les GIP, les groupements d’intérêt public – dont fait partie le Health Data Hub – sont aussi visés.
Côté suite bureautique, les trois ministres mettent en avant « les outils collaboratifs et sécurisés proposés par la Direction interministérielle du numérique, (dont) la Suite Numérique qui sont pleinement souverains et indépendants ».
À partir du 31 mai, tous les achats de cloud devront être validés par la DINUM, la direction interministérielle du Numérique, sauf exceptions, rappellent les auteurs de la lettre. Depuis la loi « SREN » (visant à sécuriser et réguler l’espace numérique), dont le décret d’application devrait être publié dans les prochaines semaines, les administrations et les opérateurs de l’État et certains GIP ne peuvent pas choisir n’importe quel fournisseur de cloud ou de solutions numériques.
La doctrine « Cloud au centre de l’État », désormais comprise dans la loi SREN, leur impose le recours à un fournisseur labellisé SecNumCloud (le plus haut niveau de cybersécurité) pour l’hébergement de toutes les données sensibles. Ce label inclut une clause d’immunité aux lois extraterritoriales, ce qui exclut de fait les géants du cloud américains comme Amazon, Microsoft Azure et Google Cloud, tous trois soumis à la loi « Fisa » et au « Cloud Act ».
À lire aussi : Souveraineté numérique européenne : le découplage avec les États-Unis jugé « irréaliste »
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.