Menu
Retour aux publications
Télécharger l'article
8 juillet 2014

Faire le choix d’une solution de cloud computing « souverain »

Le choix d’une solution de cloud computing peut parfois être un véritable casse-tête pour les DSI ou les chefs d’entreprises soucieux de prendre la décision la plus opportune pour la sauvegarde de leurs données. Les conséquences d’un tel choix peuvent se révéler décisives lorsque l’on connaît la quantité et le caractère souvent stratégique des informations qui seront confiées au prestataire de ces services.

Face à la multiplication des offres destinées aux entreprises et au grand public, il est parfois difficile d’identifier dans la documentation contractuelle (le plus souvent des conditions générales non négociables), les critères essentiels qui permettront de mesurer la réalité des engagements du prestataire. Parmi ces critères, celui du territoire sur lequel les données seront stockées in fine revient régulièrement comme un élément déterminant de la sécurité et de la confidentialité auxquelles les clients attachent une importance légitime.

S’il est vrai que les premières offres de cloud provenaient toutes de prestataires américains, leur multiplication a permis d’élargir le choix à des prestataires de toutes nationalités au nombre desquels des prestataires de nationalité française opérant depuis le territoire de la France. On citera notamment Cloudwatt et Numergy.

Si le offres européennes et françaises ont pu mettre en avant le critère de la « souveraineté » présenté comme une alternative nécessaire et rassurante, les offres concurrentes des prestataires américains se sont rapidement adaptées et leur offres communiquant sur l’implantation de leur serveurs en Europe avait alors également de quoi séduire, en apparence…

Le choix des prestataires américains implantés en Europe pouvait en effet séduire, malgré toutes les inquiétudes potentielles que la NSA et l’existence des lois SCA, FISAA et le Patriot Act pouvaient faire naître depuis quelques temps. Mais c’était sans compter avec une décision récente d’un juge américain rendue en avril 2014 obligeant la société Microsoft en vertu des lois fédérales américaines et du seul fait de sa nationalité, de communiquer aux autorités de son pays, des données qu’elle stocke pour le compte de ses clients en Irlande.

Cette décision inédite laisse entrevoir la possibilité à peine voilée de l’immixtion d’un État, en l’occurrence les Etats-Unis, dans les données et informations stockées dans un autre pays et sous l’apparente protection des lois souveraines de ce pays. Pour Microsoft, qui a fait appel, cette décision est embarrassante à double titre : elle pourrait se réfugier derrière les lois irlandaises et européennes pour conserver la confiance de ses clients mais au risque de soustraire aux injonctions de la justice fédérale américaine, ce qui n’est pas sans risque pour un ressortissant américain, et si elle devait se conformer à la décision du juge américain, elle le ferait alors en violation des règles régissant le territoire où les données sont stockées.

Si la justice américaine devait finalement faire prévaloir sa position, il y aurait une alors une réelle menace sur les données des entreprises européennes confiées aux prestataires américains, quand bien même seraient elles conservées sur le territoire européen, et il n’est pas certain que la « loi de blocage » française serait d’une efficacité à toute épreuve face à la pression que pourrait alors exercer un juge américain sur un prestataire de même nationalité ou ayant des intérêts importants aux Etats-Unis.

Face à cette menace, la solution la plus évidente sera d’opter, lorsque cela est possible, pour des solutions de cloud « souverain » avec des sociétés ayant l’essentiel de leur activité en dehors des Etats-Unis. Les entreprises s’épargneront alors le risque de voir leurs données se retrouver entre les mains des autorités d’un autre Etat …