Résumé
La réglementation française sur la protection des données, notamment le RGPD, impose des règles strictes aux entreprises françaises qui souhaitent héberger leurs données dans le cloud, afin de garantir la sécurité et la confidentialité des données personnelles.
Les lois américaines, telles que le Patriot Act et le Cloud Act, posent un problème de souveraineté et de confidentialité pour les entreprises françaises, qui doivent s’assurer que leurs données sont protégées à la fois par la régulation européenne et à l’abri des lois américaines.
Le cloud souverain, qui respecte les lois et normes nationales en matière de protection des données, offre une solution pour garantir la sécurité, la conformité et la souveraineté des données hébergées, avec des avantages tels que le contrôle des données, la sécurité renforcée et la conformité aux normes nationales.
La régulation de la protection des données est un sujet de préoccupation majeur pour les entreprises françaises. En effet, avec l’essor du cloud computing et les enjeux liés à la souveraineté numérique, il est essentiel de garantir la sécurité et la confidentialité des données hébergées. Cet article vous propose un tour d’horizon complet des régulations en vigueur et des implications de l’hébergement dans le cloud souverain en France.
Le contexte réglementaire
en matière de protection des données ?
Le RGPD
Le Règlement Général sur la Protection des Données (RGPD) est la régulation européenne en matière de protection des données personnelles. Entré en vigueur en mai 2018, il impose aux entreprises et aux organisations de respecter des règles strictes concernant la collecte, le traitement, le stockage et la communication des données personnelles des citoyens européens.
Le RGPD est particulièrement important pour les entreprises françaises qui souhaitent héberger leurs données dans le cloud, car il leur impose de garantir la sécurité et la confidentialité de ces données, quel que soit l’emplacement des datacenters et des infrastructures utilisées.
Les lois américaines et l’extraterritorialité
Les entreprises qui utilisent des services de cloud computing auprès de fournisseurs non-européens, notamment américains, doivent également tenir compte des lois en vigueur aux États-Unis. En effet, des régulations telles que le Patriot Act et le Cloud Act imposent aux entreprises américaines de se soumettre aux demandes d’accès aux données par les autorités américaines, même si ces données sont stockées en dehors du territoire américain.
Ces lois posent donc un problème de souveraineté et de confidentialité pour les entreprises françaises, qui doivent s’assurer que leurs données sont à la fois protégées par la régulation européenne (le RGPD) et à l’abri des lois américaines.
Le cloud souverain : une solution pour garantir la sécurité et la conformité
Le cloud souverain est un modèle d’hébergement des données et des applications qui respecte les lois et normes nationales en matière de protection des données. Concrètement, cela signifie que l’hébergement et l’ensemble des traitements effectués sur les données sont réalisés dans les limites du territoire national, par une entité de droit français et en application des lois et normes françaises.
Le cloud souverain permet ainsi aux entreprises de s’assurer que leurs données sont à la fois protégées conformément à la régulation européenne (le RGPD) et à l’abri des lois extra-territoriales , telles que le Patriot Act et le Cloud Act.
Les enjeux du cloud souverain
L’utilisation du cloud souverain présente plusieurs enjeux pour les entreprises françaises
La sécurité et la confidentialité des données : les données hébergées dans un cloud souverain sont soumises à la législation française et européenne, ce qui garantit un niveau de protection et de confidentialité supérieur à celui offert par les lois américaines.
La conformité réglementaire : le recours au cloud souverain permet aux entreprises de respecter les exigences du RGPD et d’éviter les risques juridiques liés à l’extraterritorialité des lois américaines.
La souveraineté nationale : en choisissant un cloud souverain, les entreprises contribuent à renforcer l’indépendance et la souveraineté numérique de la France et de l’Europe face aux géants du cloud américains.
Les avantages du cloud souverain
Le cloud souverain présente plusieurs avantages pour les entreprises françaises
Le contrôle des données : en hébergeant leurs données dans un cloud souverain, les entreprises ont la garantie que celles-ci sont soumises aux lois françaises et européennes, et qu’elles ne peuvent être consultées par des tiers sans autorisation préalable.
La performance et la qualité de service : en s’appuyant sur des infrastructures et des technologies françaises, le cloud souverain garantit une qualité de service optimale et une performance élevée pour les entreprises.
La sécurité : les prestataires de cloud souverain sont tenus de respecter des normes de sécurité strictes, telles que la norme ISO 27001, la norme HDS (hébergeur de données de santé) ou encore SecNumCloud.
Les obligations légales en matière de cloud souverain en France
Les obligations pour les institutions publiques
Le Ministère de l’Intérieur et le Ministère de la Culture précisent que « l’utilisation d’un Cloud non souverain est (…) illégale pour toute institution produisant des archives publiques, dont les collectivités territoriales, leurs groupements et leurs établissements publics. ». Cette obligation d’utilisation s’explique par la sécurité et la confidentialité garanties par le cloud souverain. D’ailleurs, les organisations travaillant dans le domaine de la santé ou de la recherche doivent également utiliser un cloud souverain afin de protéger leurs données, qui sont jugées particulièrement sensibles.
Les obligations pour les entreprises
Du côté des entreprises, aucune obligation d’utilisation du cloud souverain n’est prévue. Cependant, avec le RGPD, les sociétés (de tous secteurs d’activité et de toutes tailles) doivent impérativement protéger et sécuriser leurs données. À ce titre, il convient de trouver une solution d’hébergement fiable et efficace.
Les éléments primoridiaux dans le cadre du cloud souverain :
La sécurité des données : le prestataire doit garantir un niveau de sécurité suffisant. Pour cela, il doit mettre en place différentes règles de sécurité à la fois physique, opérationnelle et contractuelle. Par exemple, un dispositif de cryptage, des signatures électroniques, etc.
La conformité aux normes nationales : outre le droit français en matière de confidentialité, cela concerne notamment la norme ISO 27001, la norme HDS (hébergeur de données santé) ou SecNumCloud.
La garantie de non-accès des data par les tiers : le cloud souverain ayant pour objectif d’assurer la confidentialité des données, ces dernières ne doivent pas être consultées, ni utilisées par des tiers sans autorisation préalable (y compris par le gouvernement).
La localisation : les données doivent être hébergées et gérées en France. Et surtout, le prestataire ne doit pas être affilié à une entreprise étrangère. Ce qui permet ainsi de garantir l’application des lois françaises.
La traçabilité des données : les données doivent être facilement localisé
La qualité du service : cela concerne la disponibilité des bases de données, le taux de réponse, les mises à jour, l’UX, les langues, l’adaptation aux besoins, la compatibilité, etc.
Les alternatives au cloud souverain
Il existe aujourd’hui des systèmes « hybrides » avec des entreprises américaines qui commercialisent leurs offres via des licences destinées aux hébergeurs français (OVH Cloud, Orange …) Attention toutefois : les entreprises américaines sont soumises au Patriot Act et au Cloud Act. Il n’y a donc pas de souveraineté des données.
Certains estiment que maîtriser l’intégralité de la chaîne n’est pas indispensable. Le simple fait de se fier à des partenaires industriels suffit, peu importe leur pays d’origine.
Une solution intermédiaire a été créée par le gouvernement français en mai 2021 : utiliser le Cloud d’une entreprise qui aurait le label « Cloud de confiance ». Toutefois, une étude récente a révélé que ce label serait en réalité toujours soumis au Cloud Act américain, autrement dit aux lois américaines. Cela signifie que même avec ce label, le stockage des données de vos clients ne respecterait pas le RGPD puisque les États-Unis sont en droit de réclamer vos données.
Passer au cloud souverain : un choix stratégique et éthique
Le cloud souverain est une solution à privilégier pour les entreprises françaises soucieuses de garantir la sécurité et la confidentialité de leurs données et de celles de leurs clients. En optant pour un cloud souverain, vous vous assurez de respecter les obligations légales en matière de protection des données, tout en renforçant la souveraineté numérique de la France et de l’Europe.
Enfin, le cloud souverain constitue également un choix éthique puisqu’il vous permet de gérer vos données uniquement en France, à l’abri des lois américaines et des risques d’espionnage industriel.
A propos de NumSpot
NumSpot est un acteur du cloud souverain et de confiance. Né de la volonté de 4 entreprises françaises de premier plan des secteurs public et privé (Banque des Territoires, Docaposte, Dassault Systèmes et Bouygues Télécom), NumSpot propose une offre de cloud indépendant, souverain et robuste adossé au IaaS d’OUTSCALE qualifié SecNumCloud. NumSpot est un cloud réversible et transparent, basé principalement sur l’open source et des solutions européennes. L’offre NumSpot s’adresse prioritairement aux secteurs confrontés à une forte sensibilité des données (secteur public, santé, services financiers et assurance, OIV et OSE) en France et en Europe, et à la recherche d’une solution souveraine et de confiance en accord avec les règlementations RGPD et européennes. NumSpot fait ainsi le choix d’œuvrer pour l’intérêt général en proposant un véritable pacte de confiance entre un fournisseur de cloud, ses clients et les citoyens européens.
