La question de cette souveraineté des données est souvent un élément majeur dans les réflexions des décideurs pour s’orienter vers telle ou telle technologie cloud. En effet selon la typologie, l’organisation est plus ou moins « maitre » de ses données.

En théorie

Les organisations positionnées sur le cloud public, partagent la notion de souveraineté avec le fournisseur cloud. En effet la majorité des fournisseurs de cloud (les plus connus) tels qu’Amazon Web Services, Google Cloud ou encore Microsoft Azure tombent sous le coup d’une loi fédérale des Etats-Unis nommée « Cloud Act » (ayant leurs sièges sociaux aux Etats-Unis). En conséquence de cette loi, la justice américaine pourrait se donner le droit de demander les données, confidentielles ou non, de n’importe quelle organisation qui aurait pour prestataire de service ces fournisseurs.

2 stratégies peuvent être mises en place pour contrer cette loi qui pourrait paraitre abusive pour nous européens :

  1. Demander au fournisseur de solution de se doter de clés de cryptage de très haut niveau permettant la sécurisation des données critiques de votre organisation. Ces clés seront alors stockées dans un coffre-fort apr le client, pour que le fournisseur ne puisse pas décrypter les données.
  1. Certains fournisseurs (comme Microsoft Corporation) proposent des technologies alternatives telles que le cloud privé Azure Stack Hub où l’entreprise reste maitresse de son centre de données. En effet le seul lien entre le cloud privé Azure Stack et son homologue public Azure Global, est le système de facturation à l’usage. Pour autant, les données restent en « local » chez le client ou l’hébergeur mandaté par celui-ci.

En fonction des contraintes dues à votre Organisation ou votre secteur d’activité, ces contraintes doivent être étudiées dans le détail. La mise en lumière dans un plan de gouvernance cloud (Lien Article Gouvernance Cloud) au préalable en cas de possession et d’exploitation de données critiques est un prérequis essentiel avant de vous lancer.

En pratique

Fort heureusement, pour nous européens, le RGPD nous protège par l’article 48 :
« Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre. »

Cet article 48 du RGPD, mentionne le fait que, seul un accord international pourrait légitimer la transmission de données d’un territoire de l’union européenne vers un territoire hors UE. Au-delà de cet article du RGPD, seules les autorités de territoire de la personne morale ou physique concernée, peut donner le droit à l’accès de ces données.

En parallèle, l’été dernier, la cour de justice de l’union européenne a invalidée l’accord entre les Etats-Unis et l’Union Européenne permettant le transfert de données personnelles en dehors de l’UE vers les Etats-Unis (Privacy Shield). Cette invalidation du Privacy Shield est due à deux problématiques majeures qui vont à l’encontre du RGPD :

  • Les autorités américaines ont un accès relativement large aux données traitées par les entreprises américaines
  • Les citoyens européens ne peuvent avoir de recours aux Etats-Unis

En conséquence de cette décision de l’UE, la plateforme d’exploitation de données relatives à la santé qui devait remplacer le système actuel de gestion des données de l’assurance maladie nommé « Health Data Hub » se voit être elle aussi, incompatible avec le RGPD. Cette décision a été par la suite, confirmée, par un arrêté émis par le ministre actuel des Solidarités et de la Santé, Mr Olivier VERAN.

Conclusion

Concernant la question du « Health Data Hub », le secrétaire d’état au numérique songerait à confier l’hébergement au projet de type cloud « Gaia-X ». Ce projet a initialement vu le jour en Allemagne qui a rapidement inclut la France dans la boucle du projet. Le projet Gaia-X proche d’un « cloud d’envergure européen » sera in fine, une infrastructure informatique qui proposera des services proches de ceux proposés par les géants américains, gouvernée par une entité regroupant des responsables européens.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Voir plus
scroll to top