Comment répondre aux enjeux de protection et de souveraineté des données quand on est un fournisseur de cloud étranger ? Si tous les acteurs concernés (AWS, Google, Microsoft, Salesforce...) jurent mettre tous les moyens en oeuvre pour y répondre, ils oublient sans doute un peu vite que leur nationalité d'origine leur impose quelques contraintes.

La règle parait simple : tout fournisseur de cloud étranger ayant des opérations en France doit, sur requête émanant de juridictions étatsuniennes et en vertu du Cloud Act et du FISA, permettre l'accès et la remontée d'informations et de données concernant des utilisateurs français dans des circonstances qui l'imposent. Bien sûr, cette nécessité ne survient pas tous les 4 matins. Mais elle constitue en soi un point parfois bloquant lorsqu'il s'agit pour des entreprises hexagonales de se tourner vers un fournisseur américain. 

Pour les rassurer, les sociétés étrangères mettent depuis des années les petits plats dans les grands. Notamment en ouvrant des datacenters - le plus souvent hébergés chez des opérateurs spécialisés tel que Equinix et Interxion - sur le territoire. C'est d'ailleurs le cas pour AWS, Microsoft et Salesforce depuis des années, et prochainement Google. Pour autant, cela n'immunise toujours pas contre un quelconque risque d'extra-territorialité. Ni celui d'avoir son ticket d'entrée à des grands projets régaliens comme Microsoft l'a appris à ses dépens avec le Health Data Hub et la marche arrière opérée par l'Assurance maladie et le ministère de la Santé qui ont remis en cause son partenariat. Mais ce dernier pourrait bien revenir par la grande porte du cloud souverain. Comment ? Pourquoi pas par l'intermédiaire de Bleu, la société annoncée le mois dernier par Orange et Capgemini qui embarque ses solutions Azure et 365. 

L'engagement contractuel entre Bleu et Microsoft à vérifier

Pour (re)trouver la confiance des clients et des entreprises françaises, quoi de mieux en effet pour les fournisseurs de cloud étrangers et US que de montrer « patte blanche ». Dans le cas de Bleu en effet, sur le papier du moins, on a à faire à une entreprise de droit français qui n'aurait en aucune façon à répondre à quelque injonction juridique étrangère que ce soit. Pour Microsoft, c'est gagnant-gagnant puisque non seulement l'éditeur n'opère aucun système (les équipes d'Orange-Capgemini doivent s'en charger), et en plus cela lui permet de répondre au nouveau cahier des charges du cloud de confiance appelé de ses voeux par le gouvernement français le 17 mai dernier. « D'un point de vue technique, si les données sont inaccessibles à Microsoft ce qui semble être le cas avec Bleu, elles ne le seraient également pas depuis les Etats-Unis », nous a expliqué l'avocat Etienne Papin. « Si Capgemini et Orange ne font qu'intégrer la technologie Microsoft et sont les seuls à y avoir accès, je ne vois aucun lien juridique qui permettrait à une autorité américaine d'y accéder ».

En créant une société de droit français et en ayant la main sur l'intégralité de la gestion et de l'exploitation de l'offre 365 et Azure pour opérer ses services, Bleu a-t-il toutes les clés pour apporter un gage suffisant de confiance ? Rien n'est moins sûr : « Il y a une grosse différence entre ce que l'on prétend faire et ce que l'on fait réellement », prévient Raphaël Peuchot, avocat et membre du Clusir Rhône Alpes et de l'AFCDP. « Il n'y a qu'en prenant connaissance de l'engagement contractuel entre Bleu et Microsoft que l'on pourra savoir quel niveau de confidentialité sera assuré ». Problème : à ce jour, la société Bleu n'étant pas encore créée, il n'existe pour l'heure aucun document juridique de ce type en vigueur. Ce que l'on a en revanche, ce sont les promesses de ceux qui les tiennent. « On n'a pas de raison de se défier de déclarations faites par des sociétés françaises, il serait très risqué pour eux que Bleu n'ait pas un contrôle total des données hébergées », souligne toutefois Etienne Papin. « S'il s'agit bien d'un cloud souverain avec ce type de règles, le droit américain n'a aucun moyen de pression pour accéder aux données ».

Des risques de piratage et d'intelligence économique à ne pas écarter

Si le verrou juridique peut s'avérer suffisamment puissant pour garantir l'impossibilité d'extra-territorialiser les données, d'autres moyens - obscurs - peuvent toutefois être engagés pour y accéder. Précisément, du côté du renseignement et de l'intelligence économique. Cela s'est déjà produit par le passé comme le rappelle l'avocat Olivier Iteanu : « Un risque d'accès frauduleux par une puissance étrangère existe. Les outils comme ceux de Microsoft sont très bien connus des services de renseignement US et connaissaient très bien leurs infrastructures, leurs forces et leurs faiblesses et on ne peut pas complètement écarter un risque de backdoor ».

Pour s'en prémunir, les dirigeants de Bleu assurent qu'ils vont mettre en place des mesures techniques et de sécurisation les plus évoluées, et s'appuyer également sur les compétences de l'Anssi pour s'en assurer. « Nous serions ravis de voir émerger d'autres initiatives comme Bleu et d'autres cloud de confiance », a expliqué Guillaume Poupard, directeur général de l'Anssi lors de la présentation du dernier rapport annuel de l'agence. « Il faut cependant rappeler que le cloud public n'est pas l'endroit approprié pour les mettre ».