Que ce soit en Europe ou aux États-Unis, plusieurs textes en discussion influeront fortement le paysage cloud mondial avec des conséquences concrètes pour les organisations européennes dans leur choix technologiques. Plus que jamais, les décideurs doivent adopter une gestion globale de leurs risques pour anticiper les changements.
L’Union européenne tente de mettre les États membres d’accord sur le schéma de certification européen, et d’harmoniser les différentes certifications nationales dites « clouds de confiance », comme le SecNumCloud porté en France par l’Anssi. Son objectif ? Apporter un niveau de confiance harmonisé et lisible pour toutes les organisations européennes consommatrices de services cloud et moins de complexité pour les opérateurs soumis aux niveaux d’exigences fragmentées d’un État membre à l’autre.
Mais ce schéma revêt des enjeux bien plus politiques que techniques autour du critère d’immunité aux lois extraterritoriales. L’intégration d’une telle clause, à l’instar du SecNumCloud (v3.2) français, jouera un rôle structurant dans l’évolution du marché du cloud en Europe.
Outre-Atlantique, la prolongation jusqu’en avril 2024 de la section 702 de la loi FISA (Foreign Intelligence Surveillance Act) et son évolution incertaine – deux textes sont en discussion pour prendre le relai – apporte un autre niveau de complexité et d’incertitude. Pour rappel, le FISA encadre les procédures des surveillances physique et électronique, des personnes physiques et morales étrangères. Amendée en 2008, elle permet au gouvernement américain, via l’article 702, de surveiller les communications électroniques à l’étranger avec l’assistance imposée des fournisseurs de services.
La section 702 doit notamment sa renommée à l’affaire Edward Snowden. Ce dernier avait dévoilé plusieurs programmes de surveillance de masse, comme PRISM, qui permit à la NSA d’accéder aux communications d’internautes étrangers se situant hors des États-Unis. Et ce par le biais d’entreprises comme Microsoft, Apple, Google, Facebook ou Skype.
La section 702 a une conséquence directe sur les acteurs du cloud puisqu’elle permet au gouvernement américain de demander à ces « fournisseurs de communications électroniques » (ECSP) de leur fournir des informations qu’elles hébergent. L’accès aux informations sollicitées par les autorités américaines n’est pas limité aux seuls serveurs situés aux États-Unis mais à tous les serveurs exploités par des fournisseurs de services domiciliés aux États-Unis. La question de la localisation de l’hébergement n’offre donc aucune protection.
Quant au chiffrement, il pose de nombreuses questions sur sa véritable capacité de protection. Les agences américaines n’ont-elles pas les capacités et la puissance de calcul nécessaire pour infiltrer toutes les solutions de chiffrement ? Pour citer le député français Philippe Latombe : « Le chiffrement, c’est un peu comme si vous mettiez une porte blindée à votre appartement. C’est plus difficile de rentrer, mais on peut quand même rentrer. » Et au-delà du chiffrement, quid de la gestion des risques d’indépendance technologique ? À la faveur d’un contentieux commercial ou politique, les Américains ont déjà démontré leur capacité de réaction forte en privant la Chine d’accès au marché des semi-conducteurs. Un scénario dans lequel les États-Unis en viendraient à taxer voire couper les services cloud américains aux européens, est-il vraiment fantasque ? Et après la prochaine élection présidentielle américaine ?
2024, l’année du constat de plus en plus partagé : on ne peut plus négliger ces questions réglementaires. Les projets cloud, mais aussi data, IA ou cyber, ne peuvent plus être appréhendés comme des sujets technologiques. Ils sont aussi réglementaires et stratégiques.
Les réglementations à venir et en cours, et le ping-pong entre les États-Unis et l’Europe – en atteste la troisième version de l’accord sur les transferts de données déjà reparti devant la Cour Européenne de Justice – crée une zone grise. D’autant plus que cet environnement réglementaire complexe et flou risque bien de devenir obsolète avec les innovations technologiques.
Prenons par exemple le droit à l’oubli inscrit dans le droit européen sur le plan de l’IA générative qui, pour s’entrainer, est nourri d’un grand volume de données. Que devient le droit à l’oubli quand vos données ont été absorbées par une IA générative ? Par essence même, une IA ne sait pas oublier.
Autant de questions qui nous font prendre conscience que nous sommes face à des bouleversements technologiques majeurs mais aussi face à des choix politiques et stratégiques déterminants. A quelques semaines des élections européennes, il serait temps que ces sujets prennent toutes leurs places dans la campagne. Rien ne serait pire que l’inaction.