postheadericon Cloud computing : en attendant les stratégies européennes et gouvernementales

Le cloud computing fait partie des évolutions inéluctables en matière informatique. En attendant l’émergence d’une offre « souveraine », il faut veiller à regarder de près les contrats. C’est ce que l’on peut retenir d’une table ronde organisée à l’occasion du premier Forum sur la gouvernance de l’internet.

Le cloud computing est lié au développement de l’informatique nomade, à la multiplication des « devices » et au souhait des utilisateurs d’avoir accès à leurs données où qu’ils se trouvent. Des données toujours plus nombreuses, toujours plus détaillées, dans la mesure où toutes les activités humaines passent désormais par le numérique. Les affaires PRISM/Snowden ont servi de révélateur au problème de la maîtrise de ces données : la plupart des services – notamment grand public – sont hébergés sans que l’utilisateur sache où et comment sont utilisées leurs données. De plus Snowden a révélé l’existence d’un accord secret entre les GAFA* et les autorités américaines pour opérer un espionnage massif des internautes européens.

Depuis ces révélations, on observe une accélération de la prise de conscience des acteurs – entreprises comme administrations -  qui se préoccupent davantage de la manière dont sont stockées leurs données. Le français ooDrive a par exemple eu 12 fois plus de demande d’audits en un an qu’en 12 ans d’existence. Cet acteur fait partie des offres Cloud nationales qui ont émergé ces dernières années avec d’autres projets comme Numergy, OVH ou encore Jolicloud. Ces offres proposent des serveurs situés en France c’est-à-dire soumis aux règles de droit français, notamment en matière de données personnelles. Elles visent à proposer des alternatives aux Dropbox et autres Amazon et à permettre, au grand public comme aux organisations, de centraliser en un seul endroit des données éclatées. Pour Jolicloud, le succès de ces offres est en grande partie conditionné par la qualité des interfaces proposées aux utilisateurs. Ces offres ne sont cependant pas en soi une garantie sur la protection des données. Maître Iteanu rappelle ainsi la vigilance qu’il convient d’avoir sur les contrats passés avec les entreprises de cloud : la localisation des machines est une chose mais il faut aussi obtenir un droit d’audit, des garanties sur la réversibilité du contrat et l’interdiction de la sous-traitance.

Le cloud français n’offre cependant pas encore la richesse applicative des services américains et pour que ceux-ci émergent, il y a urgence à harmoniser les règles au niveau européen. Cette harmonisation – faute de laquelle une ville comme Barcelone impose aux entreprises avec qui elle traite d’avoir des serveurs en Catalogne – passe par l’adoption du règlement européen sur les données personnelles. Ce règlement est annoncé pour 2015 et devrait être complété par des référentiels cloud réalisés par le G29, le groupement des CNIL européennes. Au niveau français, un plan cloud computing est en cours de finalisation dans le cadre des 34 plans industriels. Il devrait comporter des mesures telles que le développement du cloud dans les administrations, la définition de domaines prioritaires (comme la santé, le tourisme et la ville intelligente) et devrait aussi encourager les éditeurs de logiciels à se regrouper pour mutualiser les infrastructures. Enfin, en matière de sécurité l’Anssi travaille sur une mise à jour du référentiel de sécurité (RGS) pour définir des niveaux de sécurité minimale à respecter en fonction de la nature des services et données hébergées dans le cloud. autant de mesures qui permettent d’envisager l’émergence d’un « cloud souverain », avec un bémol cependant : pour être complétement maitrisé, il faudrait également que l’ensemble des technologies utilisées (machines + soft) soit sous maitrise européenne, ce qui est loin d’être le cas..

*Google, Apple, Facebook, Amazon

Les commentaires sont fermés.

TIC*