Hébergement de la data en France : un devoir de souveraineté numérique

Depuis quelque temps, le pouvoir des GAFAM concurrence celui des États, remettant de plus en plus en cause la liberté d'autodétermination des individus. Cette constatation a favorisé l’émergence de la notion de souveraineté numérique.

La volonté politique de protéger les données des citoyens s’est notamment traduite, à l’échelle européenne, par l’entrée en vigueur du RGPD (Règlement général sur la protection des données personnelles) le 25 mai 2018. En France, nous assistons à une multiplication d’études et de rapports sur la protection des données personnelles. La souveraineté numérique est devenue une priorité de l’agenda politique, sans cesse remise sur le devant de la scène par le discours gouvernemental.

Et pour cause, le volume de données produites dans le monde augmente significativement. Selon une projection d’IDC (International Data Corporation) parue en 2018, celui-ci devrait passer de 33 zettaoctets (un zettaoctet = 1021 octets) en 2018 à 175 zettaoctets en 2025, soit une augmentation de + 430 % ! En outre, actuellement, 80 % du traitement et de l’analyse des données ont lieu dans des data centers, le reste est produit par des objets connectés.

La dépendance de l’économie mondiale au secteur du numérique impose de lourds enjeux économiques et industriels. La production de données croît par la multiplication des appareils et le cloud devient comme incontournable tant par sa simplicité de prise en main que par son coût abordable. Du fait de l’évolution des technologies, la donnée est devenue l’un des principaux enjeux de souveraineté économique et politique.

En termes de données publiques, le sujet devient de plus en plus crucial du fait de la dématérialisation croissante des services publics (emploi, santé, fiscalité, etc.).

Les collectivités disposent ainsi de nombreuses informations sensibles relatives aux citoyens et aux services qu’elles fournissent. Rares sont les collectivités (mairie, préfecture, conseil général, etc.) qui disposent de leur propre data center.

Par souci d’économie, nombre d’organismes publics optent pour un service cloud moins onéreux comme Amazon Web Services. Or, même si AWS possède désormais des centres de données sur le territoire Français, le risque en matière de sécurité demeure puisque le Cloud Act, promulgué par l’administration Trump, facilite l’accès aux données détenues à l’étranger par des sociétés américaines.

Par ailleurs, pour les sociétés dont l’activité est le traitement de données confidentielles, l’enjeu est également majeur. Les éditeurs de logiciel de paie en SaaS sont particulièrement concernés, car ils hébergent des données sensibles : même pour générer une simple fiche de paie en ligne les renseignements nécessaires sont personnels. Et cela d’autant plus depuis l’entrée en vigueur du prélèvement à la source en 2019 (PAS) qui implique d’échanger des données strictement personnelles avec les services fiscaux.

Concrètement, cela revient à se demander quel est le droit applicable à vos données. La règle juridique applicable dépend du territoire où sont installés les datacenters, mais également de la nationalité des hébergeurs. Plusieurs situations peuvent être identifiées :

• Les données sont stockées dans un hébergement cloud public (tel que Amazon web service [AWS], Microsoft Azure ou Google) : les données sont hébergées hors de France et donc soumises à des lois non européennes (américaines, russes, chinoises, etc.) en fonction de la souveraineté de l’entreprise qui les héberge. Par exemple, lors d’une commande sur Amazon la data des clients est hébergée sur leurs serveurs, data parfois confidentielle comme les coordonnées bancaires, les adresses personnelles, le numéro de téléphone, etc.
   
• Le prestataire ou hébergeur est français, mais leurs infrastructures sont basées hors de France : les données sortent du sol français. Se pose alors la question du respect par le prestataire des réglementations françaises et de sa soumission à des réglementations spécifiques en contradictions avec les lois françaises.
   
• Les données sont hébergées dans un data center Européen, mais par une entreprise américaine : le Patriot Act autorise les autorités américaines à accéder aux données des particuliers ou des sociétés sans les en informer et donc sans autorisation. Ainsi, une entreprise américaine hébergeant des données dans un datacenter en Europe est soumise au Patrioct Act, ce qui implique l’accessibilité des données de ses clients européens aux autorités US.
   
• Entreprises ou organismes institutionnels hébergeant la data sur des serveurs étrangers et/ou utilisant des logiciels ou applications étrangers : leurs données sont hébergées hors de France, et soumises aux lois du pays sur le territoire duquel sont implantés la société ou le serveur.

En France, la volonté gouvernementale de défendre la souveraineté numérique du pays se fait sentir. Preuve en est la feuille de route 2020/2021 du Ministère de l’Économie pour définir une stratégie d'hébergement des données, avec les solutions internes ou cloud, afin de garantir leur sécurité.

Autre exemple. Le secrétaire d’État chargé du numérique, Cédric O, a déclaré le 8 octobre 2020 devant le Sénat qu’il prévoyait de faire basculer l’hébergement du Health Data Hub depuis Microsoft vers un prestataire français ou européen. Pour information, cette plateforme héberge les données de santé des Français. Voilà une déclaration qui va dans le bon sens ! Toutefois, cette déclaration survient alors que le Conseil d’État a été saisi sur la question de la confidentialité des données hébergées sur le Health Data Hub par Microsoft. La plateforme a été épinglée par l’ordonnance du 13 octobre 2020 du Conseil d’État qui reconnaît l’existence d’un risque de transfert de données issues du Health Data Hub vers les États-Unis et demande des garanties supplémentaires. Comme nous le voyons, le juridique donne parfois un petit coup de pouce à la volonté gouvernementale.

Enfin, l’opinion publique commence à prendre la mesure de l’enjeu. Preuve en est la défiance des Français vis-à-vis de l’application TousAntiCovid. Le gouvernement l’a bien compris et l’hébergement du serveur de l’application est pris en charge par une société de cloud française, Outscale, seul prestataire aujourd’hui qualifié «SecNumCloud» par l’ANSSI (Agence nationale de la sécurité des systèmes d'information).

Le cloud européen est en pleine mutation.

Nous pouvons citer des initiatives telles que le projet GAIA-X, dont les 22 membres fondateurs souhaitent proposer une alternative aux géants américains et chinois. Par ailleurs, le projet EPI a vu le jour courant de l’été : il s’agit de l’alliance de seize banques européennes pour proposer une alternative à Visa et Mastercard.

Le 29 octobre, le Comité européen à la protection des données (CEPD), qui a pour rôle de garantir l’application cohérente du RGPD et de promouvoir la coopération entre les autorités nationales de protection des données, a rappelé aux institutions de l'Union Européenne de ne pas favoriser l’émergence de nouvelles activités impliquant un transfert de données aux États-Unis. En cause : le site de gestion des tests de dépistage du SARS-CoV-2 du Parlement européen, géré par EcoCare. Les données personnelles des personnes qui utilisent la plateforme sont transférées aux États-Unis, à des sociétés tierces parmi lesquelles figurent Google et Stripe

Même si, juridiquement, la question du transfert de données personnelles entre les entreprises ayant un siège dans l'UE et celles situées aux États-Unis n’est pas tranchée, il est évident que l’Union Européenne cherche à mettre en place une véritable stratégie des données pour faire face aux géants technologiques.

Le RGPD (en vigueur depuis le 25 mai 2018) repose sur une logique de responsabilisation des entreprises, avec l'obligation :

• de mettre en œuvre des mesures appropriées de protection des données par une approche par les risques ;
• de démontrer cette conformité.

Se pose alors la question de la mise en conformité des services fournis par les prestataires : processus de stockage et de traitement des données par les fournisseurs d'infrastructures de Cloud Computing, en particulier la question de la localisation des données et de leur transfert.

Or, en vertu des lois de surveillance américaines, faire héberger ses données sur des serveurs US va à l’encontre des principes du RGPD. Par exemple, si les données sont stockées sur un serveur américain, la loi FISA (Foreign Intelligence Surveillance Act) autorise la NSA (National Security Agency) à récupérer les données de personnes étrangères.

Ainsi, à l'heure où le secteur numérique est dominé par les géants américains, la meilleure manière, mais aussi la plus simple, d’être en conformité avec le RGPD est de confier l'hébergement de ses données à un prestataire :

• de nationalité française,
• déclaré conforme,
• et dont les datacenters et les équipes sont situés sur le territoire national.

Le respect de ces trois principes constitue la meilleure garantie pour les entreprises et les institutions françaises de sécuriser la protection des données.

Pourquoi se tourner vers une solution d’hébergement locale de vos données, avec un fournisseur soumis à la loi française ?

Nous l’avons déjà évoqué précédemment. La première raison est de garantir une meilleure protection des données. En effet, les programmes de surveillance (Privacy by design, Privacy by default, FISAA, etc.) des données des citoyens européens sont facilités par les fournisseurs SaaS américains. Avant de choisir un fournisseur SaaS, toute entreprise souhaitant faire héberger ses données doit s’interroger sur leur lieu de stockage.

Choisir un fournisseur dont les serveurs sont situés en France garantit aux clients la confidentialité et la sécurité de leurs données, mais aussi la simplicité et la transparence. En effet, les organisations peuvent facilement constater, par des visites sur place par exemple, dans quelles conditions réelles leurs données seront stockées.

Au-delà de la question des réglementations et de la confidentialité, la localisation des datacenters du prestataire Cloud joue également un rôle capital dans la disponibilité du réseau de télécommunication, dans la performance, l’accès ainsi que le coût de leurs transferts.

Enfin, la localisation en France des équipes de support client ainsi que des centres de supervision des infrastructures assure une meilleure protection des données. Outre l’aspect de la confidentialité de la data, une équipe d’assistance basée en France offre une prestation plus qualitative. Par exemple, pour une solution logicielle SIRH, il est important d’avoir une équipe d’experts ayant une bonne connaissance du droit français et des évolutions réglementaires. Ces connaissances sont indispensables notamment pour calculer le salaire brut en net et le coût employeur d’un collaborateur. Le support est plus qualitatif, car permet un réel accompagnement des clients dans l’utilisation de la solution vendue.

Fiche-paie.net, par exemple, est un logiciel de paie en ligne permettant de réaliser chaque mois la paie de 80 000 salariés en France. Il garantit non seulement l’hébergement du logiciel SaaS et des données 100 % en France, mais aussi l’assistance, le support, le SAV, le développement logiciel… Tout est fait dans l’Hexagone, afin de mettre la souveraineté numérique au cœur de son développement.

Henri Verdier, ambassadeur pour le numérique, résume bien le problème de l’hébergement des données : «Les données sont un terreau, un terrain, dans lequel on «plante» des services. Et la question est alors : qui est propriétaire du terrain ? Il vaut mieux, je crois, asseoir les services publics et l’économie française sur un terrain qui est gouverné par la France plutôt que sur un terrain gouverné par des CGU de droit californien».

In fine, les éditeurs de logiciels français ont tout intérêt à héberger leurs données en France. Devant l’inquiétude grandissante de l’opinion publique face à la protection des données personnelles, l’hébergement de la data sur des serveurs situés en France est désormais un argument commercial puissant.

Reste à fournir un effort supplémentaire en rapatriant le service client en France pour optimiser encore la sécurité des données et maximiser la satisfaction client. Il n’y a plus qu’à !