Autonomie numérique, l’affaire de tous

Servane Augier, directrice commerce et marketing, NumSpot partage son analyse.

Déjà en février 2018, lors de son premier mandat, d’un trait de plume au bas du budget fédéral, il avait instauré le Cloud Act, outil de lutte contre le crime en ligne, mais aussi et surtout porte ouverte sur les données stockées sur le sol européen par les fournisseurs de cloud américains.

Ajoutons à cela la prolongation, annoncée en avril dernier, de l’article 702 de la loi FISA pour deux années supplémentaires, qui permet également aux administrations américaines de collecter sans mandat les données stockées chez les fournisseurs de cloud américains. Il est difficile de ne pas deviner une véritable intention sous-jacente de pouvoir exploiter les données rendues ainsi accessibles par la voie réglementaire.

On peut crier à la paranoïa, mais on peut aussi refuser de jouer à la loterie en espérant que l’artillerie judiciaire américaine tombera sur son voisin.

Face à cette situation, quelles réponses apportons-nous en France et en Europe ? L’arsenal règlementaire se met progressivement en place ; certains esprits chagrins y voient une spécialité européenne de réticence à l’innovation, mais il s’agit surtout d’un réflexe de précaution indispensable dans un contexte géopolitique mouvant.

En France, la loi SREN anticipe le Data Act européen et oblige, avec son article 31, les administrations à choisir, pour leurs données sensibles, un cloud SecNumCloud, la « Rolls-Royce » de la qualification d’un cloud sécurisé déterminé par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), gravant ainsi, dans le marbre de la loi, la doctrine «Cloud au Centre» de la Direction du Numérique.

Le secteur privé, quant à lui, est soumis à une obligation de renforcement des mesures de sécurisation des données, avec NIS2 pour les Entités Essentielles et les Entités Importantes, et DORA pour le secteur financier… En dehors des Plateformes de Dématérialisation Partenaire (PDP), qui doivent se conformer à des obligations légales précises, notamment en matière de sécurité et de localisation des données, détaillées dans le décret n° 2022-1299 du 7 octobre 2022, le référentiel SecNumCloud n’est encore imposé à personne, même si les sollicitations d’acteurs privés pour commencer à utiliser du cloud SecNumCloud sont de plus en plus nombreuses.

Outre ces mesures règlementaires, nous disposons surtout d’une précieuse information sur le marché : nombreux sont les acteurs qui se lancent aujourd’hui dans l’épopée de la qualification SecNumCloud, pour des services IaaS, PaaS ou SaaS, et qui contribuent ainsi à créer une offre riche, hyper-sécurisée, compétitive et surtout souveraine, dont le choix semble être la meilleure réponse existante, à la fois pour protéger les données des citoyens, des clients, et la propriété intellectuelle des entreprises… Mais aussi pour se doter d’outils et d’infrastructures numériques favorisant l’innovation et contribuant in fine à reconstruire pas-à-pas un début d’autonomie numérique en France et en Europe.

L’offre est là, son utilisation est la seule voie pour garantir la sécurité des données et contribuer, commande après commande, à étoffer l’écosystème de fournisseurs qui redonneront à la France l’autonomie numérique dans le cloud qui lui fait aujourd’hui défaut.