TOOLinux

Le journal du Libre

Pourquoi le cloud de proximité est l’alternative aux GAFAM

vendredi 6 novembre 2020

En Europe, les GAFAM ont acquis des situations quasi monopolistiques. Avec le développement du télétravail, leurs services ont été utilisés en masse parfois sans l’accord des DSI et RSSI, renforçant la part du shadow IT au sein des directions informatiques.

De quoi inquiéter les acteurs en charge de la sécurité quand on sait qu’une cyberattaque réussie sur trois cible directement les applications hébergées par les GAFAM (d’après Gartner en 2020). L’enjeu prioritaire est la souveraineté sur nos données et les critères pour un hébergement de confiance totalement maîtrisé.

Les GAFAM et la souveraineté, une pièce en 3 actes

Acte 1 : la promulgation du Cloud Act

Le CLOUD (Clarifying Lawful Overseas Use of Data) ACT est une loi américaine promulguée en mars 2018. Cette loi confère un accès aux données extraterritoriales renforcé pour les entreprises et l’État américain et cela indépendamment de la nature de la donnée, de sa localisation et de la nationalité de la personne.

Le CLOUD ACT permet aux autorités américaines de demander l’accès à toute donnée numérique placée sous le contrôle du fournisseur de service susceptible de les intéresser dans le cadre d’une enquête. Dans le choix du fournisseur qui héberge son CRM, il convient de prendre en compte le risque de fuite ou piratage de données (intelligence économique).

Tout fournisseur de Cloud soumis au CLOUD ACT ne pourra opposer aux autorités américaines une disposition contractuelle de son contrat avec son client, pour échapper à l’application de la Loi et donc, aux injonctions de communication de données visant ou concernant l’un de ses clients.
Jaguar Network, filiale B2B du Groupe iliad et membre d’Hexatrust, se distingue de la concurrence en étant un acteur souverain, soumis au droit français et proposant un hébergement totalement maîtrisé dans des datacenters français certifiés et auditables.

Acte 2 : l’arrêt du Privacy Shield

La première remise en cause du monopole est arrivée pendant l’été lorsque l’UE a estimé que le Privacy Shield était contraire au droit européen. L’histoire se répète puisque la censure du Safe Harbor en 2015 avait conduit le gouvernement américain à proposer quelques aménagements cosmétiques, lors de la négociation du Privacy Shield en 2016. Or celui-ci ne permet pas d’un côté d’éviter le transfert des données vers les États-Unis et d’avoir un droit de recours adéquat devant les mêmes autorités américaines (notamment le FBI ou la NSA).

Cette remise en cause permet aux entreprises de renégocier leurs contrats afin d’encadrer leurs transferts de données sur un autre fondement, tel que les clauses contractuelles types du RGPD.

Pour être membre du Privacy Shield, il suffisait de payer une redevance et s’engager à être conforme aux normes préconisées en termes de protection des données personnelles, ce qui est loin d’une mise en conformité contrôlée par un organisme extérieur comme exigé par le RGPD. C’est pour cela, que des acteurs sont audités chaque année pour les certifications ISO 27001, HDS et disposent de contrats spécifiques pour le RGPD.

La localisation de l’hébergement et des données, communication des incidents en conformité avec le RGPD, réversibilité de l’ensemble des données de préproduction, exploitation en 24/7 et sauvegarde opérée : autant de domaines où un hébergeur et opérateur de proximité comme Jaguar Network fait la différence.

Acte 3 : les enjeux liés au Health Data Hub

La dernière salve a été lancée par la CNIL en octobre qui a demandé de rapatrier en Europe le Health Data Hub, la plate-forme qui recueille les données médicales des Français à des fins de recherche.

« La solution la plus effective consiste à confier l’hébergement de ces données à des sociétés non soumises au droit états-unien », écrit la CNIL.

« La CNIL souligne qu’il ne suffit pas que l’hébergeur ait son siège social hors des États-Unis pour ne pas être soumis en partie au droit étasunien s’il exerce une activité dans ce pays[…] il revient à l’hébergeur de montrer que les mesures organisationnelles appropriées permettent d’assurer ce niveau requis. » (extrait du rapport du 8 octobre 2020).

Les données de santé semblent aujourd’hui devoir être stockées seulement auprès d’acteurs locaux. C’est ce que laisse entendre le secrétaire d’Etat au numérique, Cédric O.

A ce jour, le Conseil d’Etat a mentionné l’arrêté pris le 9 octobre 2020 par le ministre des Solidarités et de la Santé Olivier Véran qui interdit tout transfert de données personnelles en dehors de l’Union européenne.

Atlas Healthcare, la réponse de Jaguar Network

Jaguar Network,qui a obtenu la certification HDS en 2019 sur son hébergement en datacenters, se dit "solidaire des démarches des acteurs de la santé (...) : c’est pourquoi nous avons mis à disposition la plateforme Atlas Healthcare, testée et éprouvée par nos ingénieurs réseaux et systèmes".

Cette plateforme certifiée, est opérée en 24/7 par des équipes basées en France et pleinement mobilisées afin d’assurer la continuité d’activité des acteurs de la santé et de la e-santé.