Vers une Europe des données

2020-10-23 0 By dporgpd

L’Europe veut­ elle en découdre avec les géants américains du numérique, comme tentent de le faire les trois voisins dé­semparés du film français Effacer l’ historique, sorti cet été ?

Ces derniers, d’anciens « gilets jaunes » qui se désolent de voir leurs vies privées pri­ses au piège de la Toile et de leurs smart­ phones, décident de demander des comptes aux stars d’Internet. Tout comme les person­nages du film, le Vieux Continent entend lui aussi passer à l’offensive. La vie privée des in­ternautes, leurs noms, adresses, téléphones, cartes de crédit et autres informations per­sonnelles collectées par les réseaux sociaux ou les sites de commerce sont piégés dans d’immenses entrepôts d’ordinateurs for­mant le cloud, un nuage de centres de don­nées disséminés dans le monde et détenus très majoritairement par des géants améri­cains. Amazon Web Services (AWS), Micro­ soft (Azure), Google (Drive) et Apple (iCloud) détiennent à eux seuls plus de 70 % du mar­ché des services d’hébergement massif de données, stockées en général aux Etats­Unis.

Cette dépendance préoccupe l’Europe, sou­cieuse de restaurer sa « souveraineté numé­rique ». Surtout lorsque les data exploitées sont sensibles.

Karim Khelfaoui, un méde­cin exerçant à Marseille, s’est notamment ré­volté sur les réseaux sociaux en mai contre la collecte des données personnelles de santé de ses patients et de leurs proches. L’administration lui demande en effet, comme à tous les médecins, de les « faire re­monter » à l’Assurance­maladie (la Sécurité sociale), afin d’envoyer, dans les foyers sus­pects ou ayant une personne positive au coronavirus, une « brigade sanitaire » pour lutter contre le Covid­19. «Je suis médecin, pas flic !, s’est insurgé Karim Khelfaoui. Il est hors de question que je viole le secret médical et la confiance de mes patients. Surtout que leurs données de santé seront stockées sans leur consentement sur de nouveaux systèmes d’information, comme la plate­forme Health Data Hub, qui est hébergée par Microsoft. »

Savoir où se trouvent leurs données per­sonnelles est une question qui taraude les Européens. Mais elle reste souvent sans ré­ponse, car ni les Gafam (Google, Apple, Face­ bok, Amazon, Microsoft) ni les entreprises en ligne ne sont tenus d’afficher le pays où ils les hébergent. « Le responsable du traitement des données n’a pas l’obligation d’indiquer leur lieu d’hébergement et de stockage aux personnes dont les informations sont collec­tées. Pourtant, lorsque le serveur est localisé en dehors de l’Union européenne, ce serait une bonne pratique », souligne l’avocate spécia­liste des nouvelles technologies Christiane Féral­Schuhl. En France, la loi dite «pour la confiance dans l’économie numérique » oblige depuis 2004 les sites Internet à men­tionner les coordonnées de l’hébergeur. «Mais l’adresse de l’hébergeur peut être dis­tincte du pays de stockage», relèvent Sandra Tubert et Laura Ziegler, à la tête du départe­ ment «IT Data» du cabinet BCTG Avocats.

Le grand public, lui, craint pour sa vie pri­ vée. Et la 5G dont les enchères viennent d’être bouclées en France n’est pas près d’apaiser les esprits : « Le déploiement massif d’objets connectés, allant de pair avec la 5G, participe de l’accaparement de données per­sonnelles. On donne ainsi les clés d’un pou­voir de prévision et de contrôle social à des géants du numérique », se sont alarmés une soixantaine d’élus. Le scandale Cambridge Analy­tica – du nom de la société britannique qui a aspiré les données de près de 100 millions d’«amis» sur Facebook à des fins politi­ques – est devenu le symbole d’une Europe numérique aux allures de passoire. Ce qui a valu au réseau social, en 2019, une amende de 5 milliards de dollars (4,5 milliards d’euros) pour… négligence.

La firme de Mark Zuckerberg est en outre mise en cause depuis 2013 par un simple ci­toyen européen: Maximillian Schrems. Cet Autrichien avait saisi le régulateur irlandais afin d’empêcher le siège européen de Face­ book à Dublin de transférer des données européennes vers les serveurs de sa maison mère aux Etats­Unis. La Cour de justice de l’UE a donné doublement raison à «Max» en annulant deux décisions majeures de la Commission européenne: les mal nom­mées «Safe Harbor», soit «sphère de sécu­rité» (invalidée il y a cinq ans), et «Privacy Shield», ou «bouclier vie privée» (invalidée en juillet dernier). Maximillian Schrems souhaite maintenant que l’Europe fasse res­pecter ce verdict par tous ceux qui font « voyager les données ».

Les particuliers, mais aussi les entreprises européennes, sont gagnés par le souci de la «territorialité des données», et les pouvoirs publics par leur «souveraineté». Le pro­blème est que les sites Internet ne savent pas toujours où ces données sont stockées. « Une partie est stockée sur mon serveur, sur un site en France. Mais tous les logiciels qui sont en léger, c’est­à­ dire dans le nuage, sont gérés par leur éditeur et les données sont stockées dans un lieu que nous ne maîtrisons pas», constate Stéphanie Pauzat, dirigeante de Mil Eclair, une PME de nettoyage normande. Du côté des grandes entreprises, pas facile d’y voir clair non plus. «La plupart des grandes entreprises françaises ont des contrats avec des hyperscalersaméricains [prestataires de traitement informatique massif pour le big data ou le cloud] et il est difficile pour elles aujourd’ hui de s’en affranchir. Peu sont d’ailleurs disposées à s’épancher sur leurs pra­tiques en la matière », confie un connaisseur des grandes organisations.

« MADE IN EUROPE »

Les administrations et les services publics montrent ­ils la voie du rapatriement des données en France ou en Europe?

Membre du Club informatique des grandes entrepri­ses françaises, la filiale Enedis d’EDF – gérant le réseau de distribution d’électricité – fait pour l’instant dans l’hébergement franco­ français, y compris pour les données collec­tées par les fameux compteurs Linky : « Nous stockons l’intégralité des données liées à no­tre activité sur nos propres serveurs, héber­gés dans nos centres de données situés en France », précise Jean­Claude Laroche, direc­teur des systèmes d’information d’Enedis. Mais l’électricien ne devrait pas résister à l’appel du cloud puisque, « à l’avenir », il est prévu d’y faire basculer les espaces collabo­ratifs tels qu’Office 365 de Microsoft.

Sa maison mère EDF fait partie de la ving­taine d’entreprises, dont Siemens, BMW, Sa­fran, Bosch, Amadeus ou encore Orange, qui ont porté sur les fonts baptismaux le cloud franco ­allemand Gaia­X : il s’agit de créer un «cloud souverain» européen pour protéger leurs données et être en conformité avec le règlement général sur la protection des don­nées. «En ce qui concerne les données à ca­ractère personnel (…), l’Europe a été trop lente et dépend désormais des autres », déplorait ainsi la présidente de la Commission européenne, Ursula von der Leyen, en dressant le 16 septembre l’état de l’Europe.

La société Gaia­X de droit belge a été créée en septembre. Première concrétisation de cette coopération entre Paris et Berlin: la cocréation d’un « cloud public de confiance », confié au champion français, la société familiale OVHcloud (ex­OVH) basée à Roubaix, et à l’allemand T­Systems (filiale de Deutsche Telekom). La commercialisation du stockage « made in Europe » est prévue pour début 2021. En France, la plate­forme des données de santé Health Data Hub songe notam­ment à se rallier à Gaia­X. «Nous restons à l’écoute des industriels pour anticiper la mi­gration vers une autre solution d’héberge­ment, dès qu’une offre nationale ou euro­péenne sera disponible », indique Stéphanie Combes, directrice de ce groupement d’intérêt public. Depuis son lancement en décem­bre 2019, cette plate­forme est non seule­ ment alimentée par les médecins, mais aussi par les pharmacies, les laboratoires d’analyse ou encore les cardiologues. Ces données de santé sont censées être pseudo­nymisées avant d’être hébergées chez Micro­soft.
Mais où ? « Elles sont actuellement stockées dans les centres de données de Mi­crosoft aux Pays­Bas. D’ici à la fin de l’année, elles le seront toujours chez Microsoft, mais en France », promet Stéphanie Combes. La Commission nationale de l’informatique et des libertés doit rendre un avis sur un projet de décret sur le fonctionnement de cet en­trepôt de données de santé, dont elle sou­haite que le stockage reste en Europe. Le Conseil d’Etat, lui, a rejeté par deux fois des recours contre ce transfert vers Microsoft.

« RETARD DE FLORAISON »

La transformation numérique de l’Etat fran­çais est aussi l’occasion de relocaliser des données. La direction interministérielle du numérique, à l’origine du portail France­ Connect, utilisé par 17 millions de Français pour leurs démarches administratives, prône ainsi des « espaces souverains de stoc­kage, associés à des services publics de qua­lité». Son directeur, Nadi Bou Hanna, l’as­sure : « Ces données sont stockées par défaut en Europe, et dans la plupart des cas par l’ad­ministration française. » Des Etats sont même tentés par la «nationalisation des données» de leurs services publics. Mais, lancées il y a dix ans par le gouvernement en France, les sociétés Cloudwatt et Numergy – respectivement absorbées par Orange et SFR – ont été des échecs. «Ils avaient un positionnement strictement national; leur marché était beaucoup trop limité », expli­que Helmut Reisinger, directeur général d’Orange Business Services (OBS). « Il y avait un manque de sponsors de l’Etat français, pour encourager les acteurs français », re­grette Christophe Delaye, directeur exécutif réseaux et systèmes d’information chez SFR.

Aujourd’hui, faire du stockage de données un enjeu de « souveraineté nationale », voire de « patriotisme numérique », prend de l’ampleur partout dans le monde. Les Etats­ Unis soupçonnent par exemple le réseau so­cial des ados TikTok, dont les données sont stockées en Virginie et à Singapour, de cybe­respionnage au profit de son pays d’origine, la Chine – à l’instar de Huawei. Pourtant, le pays de l’«America First» est lui­ même un expert en surveillance de masse avec ses programmes Prism (dont les abus ont été révélés en 2013 par le lanceur d’alerte Edward Snowden) et Upstream, tous deux autorisés par le Foreign Intelligence Surveillance Act, ou loi FISA.

En Chine, une loi sur la cybersé­ curité impose quant à elle depuis juin2017 que les plates­formes étrangères stockent les données des Chinois au sein de l’empire du Milieu. Idem en Russie pour les données des Russes. Et, en Europe, les Big Tech améri­caines, déjà suspectées d’évasion fiscale, veulent éviter d’être accusées d’«évasion de données» au profit des Etats-­Unis. Amazon veut notamment rassurer : « Les clients fran­çais déterminent la région où leurs données sont stockées, y compris en France depuis 2017. Ils peuvent aussi crypter leurs données et gérer leurs clés de chiffrement», indique Stephan Hadinger, directeur de la technolo­gie chez AWS France. Cette filiale d’Amazon est membre de l’association bruxelloise Cispe (Cloud Infrastructure Services Provi­ders in Europe), elle­ même co-fondatrice de Gaia­X.

Le loup dans la bergerie ?

« Les fournisseurs européens sont en retard de floraison », déplore Henning Kagermann, ancien coprésident de la société allemande SAP. Dans un rapport publié en juillet, il plaide donc pour la création d’une «sphère publique européenne » englobant les servi­ces publics. A Bruxelles, on pose les jalons d’un cloud souverain, que le commissaire européen Thierry Breton a surnommé « Gaia­UE » : « Nous avons annoncé un inves­tissement de 2 milliards d’euros pour la mise en place du projet. Les premiers appels à manifestation d’intérêt seront lancés d’ici à la fin de l’année», affirme­ t’­il. Reste à savoir si la souveraineté est un parapluie suffisant pour empêcher que les nuages américains – re­ joints par les chinois Alibaba, Tencent ou encore Huawei – ne fassent la pluie et le beau temps sur les données des Vingt­Sept. Pour Helmut Reisinger, chez Orange, partie prenante de Gaia­X, «il ne s’agit pas de re­créer un Gafam européen ». « Pourquoi de­vrions ­nous nous résoudre à devenir la colo­nie numérique de la Chine ou des Etats­ Unis ? », se rebiffe quant à lui Michel Paulin, directeur général d’OVHcloud.

Mais les Américains ne seront pas pour autant évincés du marché unique numéri­que, pas plus qu’ils ne le seront du futur « marché unique des données » (industrielles, financières, etc.). Pour Cédric O, secrétaire d’Etat au numérique, «à aucun moment, il n’a été envisagé de se passer des offres pro­posées par les grands acteurs du numérique, essentiellement américains. Les projets de cloud souverain et Gaia­X sont complé­mentaires, imbriqués ». Il inaugurait mi­ sep­tembre à Paris le salon Big Data, dont les données collectées sont hébergées chez OVHcloud et… Amazon.