La Commission européenne prône la libre circulation des données dans le nuage informatique par suppression des restrictions injustifiées de localisation nationale, lesquelles morcèlent le marché unique numérique. Mais cette politique favorise-t-elle vraiment l’émergence d’un « cloud européen » ?
Par Christophe Clarenc (photo) et Martin Drago, cabinet Dunaud Clarenc Combles & Associés
Dans le cadre de sa stratégie de marché unique du numérique (1), la Commission européenne a annoncé le 19 avril dernier un plan de mesures en vue du passage au numérique de l’industrie européenne (2) comportant en particulier une « initiative pour la libre circulation des données » visant à éliminer les restrictions nationales injustifiées et à harmoniser la libre circulation des données européennes – autres que les données personnelles
(3) – dans le nuage informatique.
Nuage européen sous pavillon américain
Attendue pour début 2017 sous la forme d’une proposition législative, cette initiative
de la Commission européenne s’inscrit dans sa politique de construction d’un « cadre favorable à un marché unique des données massives et de l’informatique en nuage » répondant aux enjeux et conditions précédemment identifiés dans ses communications du 29 septembre 2012 (« Exploiter le potentiel de l’informatique en nuage ») et du 2 juillet 2014 (« Vers une économie de la donnée prospère ») et dans le rapport intermédiaire « Trusted Cloud Europe » (TCE) remis le 18 mars 2014 (4). Trois grands enjeux combinés étaient identifiés : le positionnement européen dans les infrastructures et l’offre de services en nuage ; les normes de confiance, les certifications de conformité et les conditions contractuelles applicables aux services en nuage ; et les exigences réglementaires ou contraintes prudentielles de localisation nationale des données restreignant la libre circulation de ces dernières dans le nuage.
Dans sa communication de 2012 sur le cloud, la Commission européenne soulignait tout d’abord l’enjeu des capacités et services de l’informatique en nuage dans le développement de l’économie du traitement massif des données et l’intérêt stratégique de positionner l’Europe à l’avant-garde et en acteur mondial du côté de l’offre de capacités et de services en nuage. Dans sa communication de 2014 sur la data, elle qualifiait l’informatique en nuage d’« infrastructure essentielle pour une économie de
la donnée » (voir encadré page suivante) et relevait le retard et le défi capacitaires de l’Europe, par rapport aux Etats- Unis, dans la concurrence mondiale. Elle évoquait également la question de « la souveraineté des données européenne dans le nuage » devant les possibilités « de surveillance par des acteurs publics ou privés » (référence implicite à la soumission et à la participation des grands fournisseurs de services numériques américains aux programmes extraterritoriaux de surveillance et de renseignement des autorités américaines autorisés par le FISA (5)). Ainsi que le montrent les dernières études du marché (6), le nuage européen est plus que jamais sous exploitation américaine – et ainsi sous juridiction extraterritoriale américaine : Amazon Web Services, Microsoft, Google et IBM (les « Big Four » du cloud), dominent largement les capacités européennes (avec des centres de données principalement installés au Royaume- Uni, en Allemagne, aux Pays-Bas et en Irlande), transatlantiques et mondiales d’hébergement distant et chacun des types et modèles de services en nuage. Dans sa communication de 2012, la Commission européenne soulignait ensuite l’enjeu et les conditions de la confiance dans les services en nuage au regard de la responsabilité des fournisseurs, de la jungle des normes et du déséquilibre des contrats dans le nuage, ainsi que du morcellement du marché unique. Ces difficultés tiennent à la diversité des cadres juridiques nationaux et aux incertitudes concernant en particulier la localisation, la propriété et la sécurité des données dans le nuage. La Commission européenne relevait « l’incidence majeure » de la localisation des données sur le cadre juridique applicable et la forte préoccupation de transparence et de conformité des utilisateurs à cet égard à l’endroit de leurs données sensibles. Elle identifiait – dans la confusion des normes et le déséquilibre des contrats – le risque de nuages ne garantissant pas aux utilisateurs la responsabilité, la sécurité, la réversibilité et la portabilité des données hébergées.
Confiance dans le nuage
La communication de 2012 appelait à l’élaboration, pour les services en nuage, de règles de conformité et de dispositifs de certification permettant aux utilisateurs d’utiliser et de choisir en confiance ces services au regard de leurs propres exigences. Dans sa communication de 2014, la Commission européenne annonçait des « actions concernant la transparence des normes, la certification volontaire à l’échelle de l’UE
et des conditions contractuelles sûres et justes pour les utilisateurs » sur la base des recommandations du rapport TCE. Dans ses mesures présentées en avril dernier, elle annonce une « accélération » de l’élaboration de normes communes pour l’informatique en nuage.
Barrières dans le nuage
Enfin, c’est dans sa communication de 2014 que la Commission européenne a abordé et orienté l’enjeu de la circulation des données européennes dans le nuage, sur la base également des recommandations du rapport TCE. Le rapport TCE a dressé une typologie des exigences de localisation des données au sein des Etats membres, présentées comme des barrières réglementaires au développement des services en nuage, en appelant à une élimination des exigences injustifiées et à une harmonisation fondée sur un principe de libre circulation des données dans le nuage à l’intérieur et l’extérieur des frontières de l’UE. Cette typologie est classée par types d’organes prescripteurs (pouvoirs législatifs et réglementaires, autorités de régulation et de supervision, associations professionnelles), par types d’exigences (protection des données personnelles, protection des droits de propriété intellectuelle, confidentialité des données, sécurité des systèmes d’information, exercice des pouvoirs de supervision et de contrôle, souveraineté nationale, sécurité nationale, prévention contre les lois et juridictions étrangères, règles des marchés publics), et par grands secteurs concernés (secteur public, fiscalité, santé, médias, services bancaires et financiers, archives, industrie et consommation).
Dans sa communication de 2014, la Commission européenne a relevé que « dans plusieurs secteurs, les exigences applicables à la localisation des données limitent le flux transfrontière des informations et font obstacle à un marché unique de l’informatique en nuage et des données massives ». Sa communication de 2015 de stratégie de marché unique du numérique (7) a pointé comme restrictives ces exigences des Etats membres de localisation et de conservation des données sur leur territoire, notamment en ce qu’elles « contraignent les prestataires de services en nuage à construire de coûteuses infrastructures locales dans chaque région ou pays », et annoncé son initiative à l’encontre de ces restrictions et pour une libre circulation des données européennes dans le nuage. La Commission européenne a également affiché son intention d’utiliser les négociations commerciales internationales en cours pour éliminer et prévenir ces « nouvelles formes de protectionnisme numérique » (un rapport remis au gouvernement français en avril 2016 par l’IGF et le CGI (8) démontre tout le déséquilibre et le risque d’une telle démarche). On peut ainsi anticiper que son initiative attendue – d’élimination des exigences injustifiées d’hébergement localisé des données pratiquées au sein des Etats membres pour une libre circulation intraeuropéenne et transatlantique de ces données dans le nuage – sera à tout le moins conforme aux attentes et intérêts du « nuage américain » (clairement exprimés dans les positions publiées par l’US Chamber of Commerce et par DigitalEurope).
La France et l’Allemagne ont engagé de leur côté une politique d’offre et de certification de services en nuage souverains (9) La France a lancé une offre de services souverains à travers le projet « Andromède », dont sont issues les offres actuelles de Cloudwatt (Orange) et Numergy (SFR). OVH propose également aujourd’hui une telle offre sur la base de ses capacités installées et administrées en France. L’Allemagne revendique également un « Bundes Cloud » organisé notamment à partir d’une offre
« Cloud Germany » de Microsoft appuyée sur deux centres de données de Microsoft
en Allemagne, avec garantie d’hébergement localisé et sécurisé des données sensibles et administration sous le contrôle d’un tiers de confiance (en l’espèce T-Systems International).
Nuage « souverain »
La France (ANSSI (10)) et l’Allemagne (BSI (11)) collaborent par ailleurs à la mise en place d’un référentiel de sécurité élevé et d’une certification de confiance pour les services en nuage (Cloud Secure) qui pourraient exiger une localisation nationale et/ou européenne des données sensibles et de leurs centres d’hébergement (12). Les débats dans le nuage ne sont pas clos. @
ZOOM
Portée de la directive européenne « SRSI » de juillet 2016
L’informatique en nuage a également été regardée comme une infrastructure critique par la directive européenne sur la sécurité des réseaux et des systèmes d’information (« SRSI ») dans l’Union européenne (UE), adoptée le 6 juillet dernier (13) et applicable
à certains fournisseurs de services numériques, dont les fournisseurs de services d’informatique en nuage, et aux relations entre ces fournisseurs et les opérateurs de services essentiels au fonctionnement de l’économie et de la société (les « opérateurs d’importance vitale » au sens du droit français). Cette directive « SRSI », dont l’ANSSI portera la transposition en France d’ici mai 2018 (14), prescrit aux Etats membres de se doter d’une stratégie et de moyens en vue de garantir un niveau élevé de sécurité (15) sur leur territoire. @