L’adoption définitive de la loi sur la sécurisation de l’espace numérique (loi SREN), le 10 avril, soulève un certain nombre de questions quant à son application pratique et à sa pertinence, notamment pour l’hébergement des données. Après plusieurs mois de discussions sur les législations liées au concept de souveraineté numérique en France, il serait opportun de se concentrer sur une approche moins dogmatique de la protection des données, en privilégiant plutôt la mise en œuvre opérationnelle et l’innovation technologique dans un espace numérique sans frontières physiques.
Avec ce texte, le législateur a associé la protection des données sensibles à la nécessité de les préserver de potentiels accès d’Etats tiers, au nom de la « souveraineté numérique ». Cette approche a été en partie confirmée par la volonté du gouvernement, affichée dans une liste de quinze règles exposées dans la circulaire « Cloud au centre », publiée le 31 mai au Journal officiel (« Actualisation de la doctrine d’utilisation de l’informatique en nuage par l’Etat »).
La protection des données sensibles est certes essentielle. Toutefois, cet objectif doit être mis en œuvre de façon intelligente afin de permettre l’utilisation de technologies innovantes, notamment pour servir l’intérêt général (santé, recherche, environnement, sécurité nationale, etc.). Aussi, il serait plus pragmatique de se pencher sur les solutions technologiques réalistes et efficaces déjà disponibles.
La sécurité des données par des solutions technologiques
En Europe, l’approche adoptée par la BSI, l’équivalent allemand de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) française, mérite largement d’être étudiée. La BSI privilégie l’étanchéité d’accès aux données par la qualité technologique, en particulier le chiffrement des données, plutôt que de s’obstiner sur le dogme de sécurité juridique, qui est en incohérence totale avec la volonté de la France d’attirer les investisseurs étrangers pour booster l’innovation.
C’est ainsi que certains fournisseurs de services s’assurent de ne pas posséder les clés de déchiffrement des données qu’ils hébergent, rendant ainsi leur divulgation impossible. Cette approche combinant protection des données et solutions technologiques est beaucoup plus efficace et encourage la confiance et la responsabilité des utilisateurs.
Nous invitons le Conseil d’Etat à considérer cette approche dans la rédaction des décrets d’application. Le concept de sécurité juridique n’a d’ailleurs jamais empêché l’accès aux données des acteurs de la cyberdélinquance ou de l’espionnage, comme l’a démontré l’épisode Pegasus.
Il vous reste 20.21% de cet article à lire. La suite est réservée aux abonnés.