Transversal
2. Informations personnelles... Et souveraineté
En France, les infrastructures nécessaires à l’élaboration de plateformes cloud, le plus souvent des datacenters de colocation où sont alloués des espaces de stockage, sont majoritairement gérées par des opérateurs non européens. Se posent alors des problématiques de gouvernance des données.
La Fondation Concorde, groupe de réflexion composé d’universitaires, d’experts, de chefs d’entreprises et d’hommes politiques, a constitué un groupe de travail pour réfléchir à des solutions concrètes pour répondre aux enjeux de souveraineté nationale et européenne des données dans un contexte d’explosion des technologies et services du numérique. Dans un dossier intitulé Souveraineté numérique et prospérité économique dans un monde transformé, paru en septembre 2015, le groupe de travail a dressé une liste de conditions nécessaires à la « reprise en main de notre destin numérique » et a proposé de nombreuses solutions pour faire de la France :
■ « Un territoire d’excellence en matière de stockage, de traitement et de régulation de données […] ;
■ le garant de la protection de nos souverainetés individuelles et collectives, notamment face aux nouvelles intermédiations opérées par des plateformes tentées par l’exercice de nouvelles formes d’impérialisme […] ;
■ un eldorado numérique respectueux des droits fondamentaux mais aussi et surtout un modèle international engageant une véritable redéfinition de l’activité en ligne aujourd’hui soumise, en majeure partie, au bon vouloir d’une législation américaine particulièrement conciliante avec la vente industrielle de ces parcelles personnelles. »
Pour cela, le groupe de travail propose entre autres de se doter d’infrastructures numériques souveraines : « Les opérateurs américains d’Infrastructure As a Service (couche infrastructure du cloud computing) dominent très largement aujourd’hui le marché français et européen (Amazon, Google, Microsoft). Cloudwatt, Dassault, Gandi, Ikoula, Numergy en France ou encore Aruba en Italie doivent se développer davantage et pour ce faire, l’état client et les entreprises doivent être incités, formés, sensibilisés à inclure dans leurs appels d’offres des critères discriminants de souveraineté : localisation des données, tribunaux de compétence, non soumission au Patriot Act, exclusion des fournisseurs de service à la NSA, etc. » Industriels et distributeurs engagent des spécialistes pour suivre de près l’évolution règlementaire ayant trait au contrôle et à la confidentialité des données, mais la diversité des cadres légaux entre pays et l’enchevêtrement des réseaux d’hébergeurs et des opérateurs de datacenters, a de quoi rendre confus.
Cette complexité peut également engendrer un effet pervers, celui de se croire tout permis, en raison du manque de règles harmonisées et de sanctions effectives en cas d’utilisation de données personnelles sans le consentement du principal intéressé. En outre, l’opacité des grands systèmes d’hébergements cloud peuvent freiner certaines entreprises à externaliser leurs données les plus stratégiques, par peur de ne plus en avoir le contrôle absolu. « Les grands comptes, contrairement aux PME/PMI, hésitent beaucoup à mettre des données importantes sur le cloud, comme les systèmes de pricing et les politiques de prix de la société », affirme ainsi Donal Mac Daid, vice-président marketing supply chain chez Symphony Gold.
Cloud et sécurité des données
Des cas spectaculaires de piratages massifs de données, comme celui ayant atteint Sony Pictures Entertainment en novembre 2014, alimentent par leur ampleur et leurs impacts les craintes des directeurs des systèmes d’information. Assurer la sûreté des données demande de lourds investissements, mais les directions d’entreprises commencent à prendre la mesure des risques auxquels elles s’exposent si elles lésinent sur la sécurité. « Le problème de sécurisation des données reste d’actualité, assure Jean-Jacques Ribo. Il y a de plus en plus de solutions de cryptage des données qui permettent surtout de sécuriser celles qui partent à l’extérieur. Nous observons maintenant des algorithmes de cryptage qui permettent également de garantir une bonne confidentialité des données. » Quant à la sécurité des données sur le cloud, le consultant de Teradata répond que ce modèle est : « théoriquement plus sûr dans la mesure où nous sommes sur des datacenters ultra-sécurisés et spécialisés, avec un risque moindre. Ensuite, il y a la partie transmission/accès aux données, où il est nécessaire de mettre en place des algorithmes de cryptage de données pour éviter des interceptions. Je pense que le stockage est, quant à lui, plus sûr car nous sommes sur des systèmes plus sécurisés que ceux d’une entreprise. De plus en plus d’entre-elles n’ont plus leurs propres datacenters mais des hébergeurs, des spécialistes dont l’activité consiste à accueillir les systèmes et les données des entreprises avec un maximum de sécurité. »
Chacun de leur côté ou via des initiatives communes, industriels et distributeurs réfléchissent aux meilleurs moyens, tant financiers que pratiques, d’améliorer la sécurité et la confidentialité de leurs données. Car les enjeux sont énormes pour l’image des sociétés, pour lutter contre l’espionnage industriel et surtout pour nourrir la confiance de leurs partenaires et du client final, qui bien souvent fournit une quantité importante d’informations sans le savoir ou sans ne pouvoir rien y faire.