"Cloud souverain" et "cloud de confiance" sont des termes utilisés différemment selon les acteurs. Quelle définition la CNIL retient-elle ?
La définition du cloud souverain du point de vue de la CNIL est celle d’un service d’informatique en nuage qui n’expose pas à des risques provenant de législations étrangères et qui respecte les droits prévus par la France et l’UE, notamment le RGPD. Le déclencheur de cette préoccupation est la possibilité, offerte par le Cloud Act américain par exemple, que des autorités extra-européennes puissent accéder à des données de citoyens européens hébergées sur des clouds en Europe et en France.
Ce n’est pas le seul élément qui compte pour qualifier un cloud de souverain : il faut également tenir compte du risque que ces fournisseurs américains se voient donner l’ordre de couper des accès dans des situations géopolitiques tendues. Dans cette hypothèse, ce sont donc des services auxquels on a accès et besoin, qui pourraient du jour au lendemain devenir inaccessibles. Le cloud souverain est censé répondre à ces préoccupations.
La qualification SecNumCloud est "censée protéger contre ces accès extraterritoriaux ou contre le risque de coupure"
Le terme "cloud de confiance" est utilisé par l’ANSSI (l'Agence nationale de la sécurité des systèmes d'information, NDLR) et les acteurs du secteur en France. Son défaut est que tout le monde l’emploie y compris dans un discours commercial, ce qui en fait une appellation plus ambiguë que "cloud souverain". Il prendra peut-être un nouveau sens avec la reprise du projet de certification européenne pour les services de cloud (EUCS).
Cette discussion a effectivement eu lieu au niveau européen, avec le projet de certification EUCS. La question s’est posée de savoir s’il fallait y intégrer des considérations relatives à la souveraineté et à l’immunité aux risques extraterritoriaux mais le débat a finalement penché dans le sens inverse.
Le seul marqueur aujourd’hui reconnu par la CNIL pour matérialiser un service de cloud "souverain" est donc la qualification SecNumCloud de l’ANSSI, qui est censée protéger contre ces accès extraterritoriaux ou contre le risque de coupure évoqué.
Si SecNumCloud existe en France, il n’y a pas encore d’équivalent européen abouti. Est-ce un avantage pour les acteurs français certifiés face à leurs concurrents ?
La qualification SecNumCloud opère à l’échelle française, ancrée notamment par la loi visant à sécuriser et à réguler l’espace numérique (SREN). L’article 31 de cette loi prévoit que les projets cloud concernant l’État devront recourir à un cloud immunisé contre les lois extraterritoriales, donc qualifié SecNumCloud. Une amorce de marché est ainsi prévue par la loi, et est en cours d’extension par une proposition de loi qui étendrait cette obligation aux collectivités territoriales.
Au-delà du marché public, un certain nombre d’entreprises privées manipulant des données sensibles sont également demandeuses de ces garanties de souveraineté — à la fois pour des raisons d’image et parce qu’il existe un risque objectif d’espionnage ou de coupure d’accès.
La CNIL distingue les données sensibles des autres types de données. Dans la pratique, comment une PME doit-elle évaluer si ses données entrent dans cette catégorie ? Y a-t-il un outil ou une grille d’analyse que vous recommandez ?
Les recommandations aux entreprises dépendent des niveaux de risque liés à ce qu’elles font des données. Il ne s’agit pas seulement de savoir si la donnée est sensible ou non : la taille de la population concernée entre également en jeu.
Dans le débat sur la Plateforme des données de santé hébergée sur les serveurs de Microsoft concernant une copie du système national des données de santé (SNDS), et donc l’ensemble des Français, le risque d’accès par des autorités étrangères a été vu comme une atteinte aux droits fondamentaux des citoyens, non conforme aux textes. Dans ce contexte, la CNIL a indiqué qu’un hébergement chez Microsoft de cette base n’était pas souhaitable.
"Il convient également de prendre en compte le risque d’indisponibilité du service"
À l’inverse, de nombreuses données de santé de Français sont aujourd’hui hébergées chez des acteurs américains — ce qui est possible et autorisé, y compris par la CNIL, sous réserve de la certification "Hébergeur de données de santé". Tout dépend donc des risques propres au traitement : dans certains cas, même pour des données concernant quelques millions de Français, un hébergement non souverain peut être acceptable.
Il convient également de prendre en compte le risque d’indisponibilité du service, ainsi que celui d’espionnage par le fournisseur. Lorsque l’on héberge des données chez un tiers, il faut s’assurer d’en conserver la maîtrise. Certaines données ne sont pas nécessairement sensibles, mais des offres - pas forcément qualifiées SecNumCloud - peuvent proposer des garanties fortes sur cette maîtrise, notamment via des mécanismes de gestion des clés de chiffrement : les données sont chiffrées et ne peuvent être manipulées que sur décision du client.
C’est ce type de recommandations que la CNIL adresse aux entreprises. La CNIL ne peut cependant pas se substituer aux entreprises pour évaluer leurs risques.
"Aucune sanction n’a été prononcée spécifiquement au motif du recours à un hébergeur non souverain"
Le seul critère pertinent pour entamer une évaluation est le risque lié au traitement des données et pas à la taille de l’entreprise. Une PME qui exerce une activité de bureau d’études dans le secteur de la santé peut traiter des quantités importantes de données sensibles et doit donc disposer des compétences pour faire des choix éclairés. Ces compétences peuvent d’ailleurs être externalisées en partie.
Des entreprises ont-elles déjà été sanctionnées par la CNIL pour avoir hébergé des données sensibles chez un prestataire soumis à un droit extra-européen sans précautions suffisantes ?
Aucune sanction n’a été prononcée spécifiquement au motif du recours à un hébergeur non souverain. Des sanctions ont en revanche été prononcées par la CNIL et ses homologues sur la question de l’encadrement des transferts de données hors d’Europe. Le RGPD encadre précisément ces transferts internationaux de données, de manière à ce que les acteurs assurent un niveau de protection des données suffisant et approprié. L’absence de telles mesures peut constituer un manquement, susceptible d’être sanctionné par la CNIL. À titre d’exemple, le Contrôleur européen de la protection des données a rappelé la Commission européenne à l’ordre, au motif que ses transferts de données vers la suite Microsoft 365, et donc vers des pays non-membres de l’UE, n’étaient pas conformes.
