Hot Topics

CLOUD – Données sensibles : bientôt une réglementation pour imposer des co-entreprises aux cloud américains ? (LMI)

Deux actions montrent que les lignes bougent sur la question du cloud et des données sensibles en Europe. L’Enisa planche sur une certification imposant aux fournisseurs étrangers et notamment américain une obligation de s’associer avec des acteurs européens. De son côté, le député Philippe Latombe a déposé un amendement dans la LPM (loi de programmation militaire) qui va dans ce sens.

Jacques Cheminat , 

Hasard du calendrier, mais deux informations se télescopent sur le même sujet : le recours au cloud pour traiter les données sensibles avec le rôle joué par les acteurs étrangers et américains en particulier. D’un côté, l’Enisa, l’agence de cybersécurité de l’Union européenne, est en train d’élaborer un système de labellisation (équivalent à SecNumCloud) visant à mieux protéger les données des gouvernements et entreprises des États membres, selon Reuters.

Une exigence de joint-venture avec un acteur européen

Au sein de ce texte en préparation et consulté par Reuters, l’Enisa voudrait obliger les fournisseurs de cloud non européens à former une coentreprise avec un acteur basé dans l’Union européenne s’ils veulent obtenir ce label. Bien évidemment, les hyperscalers étrangers ne pourront détenir qu’une participation minoritaire dans la coentreprise. En outre, tout employé ayant accès aux données de l’UE devra résider dans l’un des 27 pays membres et être soumis à des contrôles spécifiques pour pouvoir traiter ces données.

Enfin, la société majoritaire dans l’entreprise commune devra être exploitée et gérée depuis l’UE, et toutes les données des clients y être stockées et traitées. Sans surprise, les lois européennes primeront sur les réglementations d’autres pays, selon le projet de proposition.

La pression sur les épaules d’AWS y compris en France

En France, cette proposition fait écho aux récentes annonces de rapprochement, par exemple entre Orange, Microsoft et Capgemini pour créer Bleu ou entre Thales et Google pour donner naissance à S3NS en octobre 2021. Cependant, un autre acteur, et non des moindres, devra peut-être évoluer sur le sujet : AWS. En effet, le fournisseur américain a décidé de nouer un partenariat avec Atos, dévoilé lors du salon Re :Invent à la fin 2022, mais sans créer une structure commune, pourtant un temps évoquée. La pression est donc sur les épaules d’AWS pour y remédier si le cadre réglementaire évolue dans le sens voulu par l’Enisa.

Un cadre réglementaire qui pourrait changer y compris en France. Le député modem Philippe Latombe en compagnie d’autres élus vient de déposer un amendement dans le cadre de l’étude de la loi de programmation militaire (LPM) allant dans le même sens que l’Enisa. Le texte indique que les traitements sensibles « doivent être opérés exclusivement par une ou plusieurs entités dont le siège statutaire, administration centrale ou principal établissement sont établis au sein d’un État membre de l’Union européenne ». L’amendement précise même que ce traitement ne doit pas être confié à « une société dont le capital social et les droits de vote sont, directement ou indirectement, détenus individuellement à plus de 24 % et collectivement à plus de 39 %, par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non-membre de l’Union européenne ». Des règles très précises pour tenter de réduire la dépendance des Européens aux hyperscalers américains (AWS, Google et Microsoft) qui, selon une étude, glanaient 72% des dépenses cloud en Europe courant 2022. Nul doute que le lobbying de ces sociétés va monter en puissance pour contrer ces deux textes, comme le redoute d’ailleurs le député Latombe dans un communiqué.