LMI. Présentez-nous en quelques mots votre activité.

Olivier Iteanu. Je dirige un cabinet d’avocats parisien, que j’ai fondé il y a 28 ans et dont l’activité est dédiée aux droits du numérique et de la data. Nous sommes 15 professionnels. J’enseigne également dans deux masters Droit du numérique à Paris I Sorbonne et Paris XI.

Quel est votre rôle et les actions auxquelles vous avez participé au sein d’Hexatrust ?

Aujourd’hui je suis vice-président d’Hexatrust, chargé des affaires juridiques et règlementaires. J’étais un des fondateurs de Cloud Confidence avec notamment Orange, Data4, Oodrive, Easyvista, qui a fusionné avec HexaTrust il y a deux ans.

Hexatrust c’est une communauté de sociétés de valeur, qui sont des entreprises européennes et qui sont en général de petite taille. Elles cherchent à maintenir une offre de produits et de services européens. Et donc pour elle, Hexatrust est un club d’entraide où elles échangent. Dans ce cadre-là, nous avons lancé cette année une initiative qui s’appelle Hexatrust Distribution. Nous avons créé un catalogue pour toutes les offres de produits que les membres sont prêts à confier de façon à pouvoir faire des propositions et répondre à des appels d’offre ensemble. Nous avons confié la distribution de ses solutions à une société qui s’appelle Cybersec&You, créée par Thierry Bettini. C’est le premier distributeur du catalogue, mais il peut y en avoir d’autres, il n’y a pas d’exclusivité.

Aujourd’hui 25% des éditeurs de l’association font partie de ce catalogue. Certains membres ont leur propre politique de partenariat et donc rien ne les oblige à passer par ce partenaire-là. Le constat qui a été fait c’est que, souvent, des offres de groupes américains ou chinois qui intègrent d’autres offres et répondent à tous les besoins des clients, et qui amènent ces derniers à les privilégier. Donc on essaie de résoudre ses problèmes en proposant aux fournisseurs une plus grande force de frappe.

Un deuxième exemple, c’est la commission Juridique, que je co-anime avec Alexandra Djateu, qui est juriste chez IDnomic. Nous faisons des séances d’information, un suivi de l’actualité et donc le premier livrable que nous allons sortir à la rentrée qui est un livre blanc sur le Cloud Act.

Pourquoi avoir lancé un groupe de travail autour de cette règlementation particulièrement ?

Nous avons senti qu’il y avait, sur le marché, des informations qui sont parfois inexactes. Et nous pensons qu’il est important de rappeler, dans ce livre blanc d’une vingtaine de pages, ce qu’est le Cloud Act et les risques qu’il fait courir aux entreprises européennes et les enjeux qu’il représente pour elles.

Nous avons plusieurs thématiques dans le livre que nous nous sommes réparties pour la rédaction. Dans le groupe de travail on retrouve un représentant d’Oodrive, IDnomic bien sûr, Rohde & Schwarz, Outscale, notamment. Une dizaine de sociétés ont délégué leur juriste ou d’autres personnes qui donnent leur point de vue et qui participent à la rédaction du livre blanc. Je me charge de faire la fusion de tout cela. Ca fait trois mois que nous travaillons dessus.

Quelles problématiques le Cloud Act soulève-t-il et quels sont les enjeux pour les entreprises ?

Aujourd’hui le Cloud Act est une règlementation nationale américaine. Toute loi nationale a pour vocation de régir son territoire mais Cloud Act est l’abréviation de Clarifying lawful overseas use of data, donc « overseas » ça veut dire qu’il y a bien des effets extraterritoriaux dans l’usage des données. Donc les autorités américaines, et pas que les services de renseignement, les autorités de poursuites et d’enquête, ça va jusqu’au shérif du petit comté au fin fond des Etats-Unis, ont la capacité de solliciter des prestataires qui sont soumis au Cloud Act, donc les groupes américains, la communication de données qu’ils hébergent, y compris à l’extérieur des Etats-Unis. C’est une réalité, il faut la dire clairement parce que ce n’est pas sans conséquences quand vous êtes une entreprise et que votre concurrent est américain par exemple. Ca pose des problématiques de principe en termes de RGPD également, mais qui peuvent avoir des conséquences pratiques.

Pour la première fois, nous nous sommes rendu compte que les problématiques GAFAM, leur omniprésence sur les offres de services utilisés au quotidien par les citoyens européens, pouvaient aussi poser des problèmes en termes de liberté d’expression et de pluralité. Quand certaines organisations professionnelles refusent d’évoquer le Cloud Act parce que ça peut fâcher des adhérents, ou que nous avons des tribunes faites par de grands dirigeants qui ne disent pas la réalité des choses et ont tendance à minimiser le Cloud Act, dans un mode « circulez y a rien à voir », je dis que c’est grave. Hexatrust est ainsi un lieu où l’on peut dire la réalité des choses, sans faire d’anathème sur personne, en particulier sur cette législation qui a assez peu fait réagir les autorités européennes, ce qui est quand même hallucinant.

Quand comptez-vous sortir ce guide autour de cette loi ?

Le livre blanc sera publié et distribué lors des universités d’été d’Hexatrust. Je le présenterai en quelques minutes. Le Cloud Act a déjà été évoqué lors de précédentes éditions et là nous souhaitons donner un outil à tous les membres et ceux qui nous suivent pour le consulter et le diffuser. Il sera aussi téléchargeable sur le site de l’association.

Quelles vont être les suites données à cette publication ?

Hexatrust va mettre en place une action de lobbying au niveau européen. Ce sont des actions qu’Hexatrust n’avait pas jusqu’à présent pour des questions de moyens. Aujourd’hui, 95 à 99% des règlementations autour du numérique viennent de l’Europe, donc c’est là qu’il faut être. C’est quelque chose de très difficile parce que ça demande beaucoup de moyens et là aussi, le fait de se regroupe au sein de l’association, ça nous a permis de prendre des contacts et de commencer à s’organiser pour faire porter la parole des entreprises françaises de cybersécurité au niveau européen.

Cette action de lobbying ne concernera pas que le Cloud Act. Tous les textes concernés pourront être l’objet d’une action, mais aujourd’hui ça demande beaucoup de temps donc je pense que le recours à des professionnels est nécessaire. Même nous, avocats, qui sommes spécialisés sur ce genre de sujet, le parti pris aujourd’hui est de ne travailler sur un texte qu’à partir du moment où il est promulgué. C’est très difficile de suivre l’actualité règlementaire à Bruxelles, il y a beaucoup de choses qui se passent aussi derrière les portes, ce n’est pas toujours d’une grande transparence. Et donc ça demande une présence continue, une doctrine bien établie. Une antenne bruxelloise nous manque donc aujourd’hui chez Hexatrust, et c’est quelque chose qui est envisagé mais nous verrons cela à la rentrée.

Êtes-vous engagé au sein d’autres associations ?

Je suis membre du Clusif et président de l’Internet Society France. Je participe à certains groupes de travail mais c’est Hexatrust qui prend le plus de temps.

Pour vous inscrire à l'Université d'été d'Hexatrust, le 5 septembre à Paris, vous pouvez utiliser ce lien.