Vers une Europe des données
L’Europe veut elle en découdre avec les géants américains du numérique, comme tentent de le faire les trois voisins désemparés du film français Effacer l’ historique, sorti cet été ?
Ces derniers, d’anciens « gilets jaunes » qui se désolent de voir leurs vies privées prises au piège de la Toile et de leurs smart phones, décident de demander des comptes aux stars d’Internet. Tout comme les personnages du film, le Vieux Continent entend lui aussi passer à l’offensive. La vie privée des internautes, leurs noms, adresses, téléphones, cartes de crédit et autres informations personnelles collectées par les réseaux sociaux ou les sites de commerce sont piégés dans d’immenses entrepôts d’ordinateurs formant le cloud, un nuage de centres de données disséminés dans le monde et détenus très majoritairement par des géants américains. Amazon Web Services (AWS), Micro soft (Azure), Google (Drive) et Apple (iCloud) détiennent à eux seuls plus de 70 % du marché des services d’hébergement massif de données, stockées en général aux EtatsUnis.
Cette dépendance préoccupe l’Europe, soucieuse de restaurer sa « souveraineté numérique ». Surtout lorsque les data exploitées sont sensibles.
Karim Khelfaoui, un médecin exerçant à Marseille, s’est notamment révolté sur les réseaux sociaux en mai contre la collecte des données personnelles de santé de ses patients et de leurs proches. L’administration lui demande en effet, comme à tous les médecins, de les « faire remonter » à l’Assurancemaladie (la Sécurité sociale), afin d’envoyer, dans les foyers suspects ou ayant une personne positive au coronavirus, une « brigade sanitaire » pour lutter contre le Covid19. «Je suis médecin, pas flic !, s’est insurgé Karim Khelfaoui. Il est hors de question que je viole le secret médical et la confiance de mes patients. Surtout que leurs données de santé seront stockées sans leur consentement sur de nouveaux systèmes d’information, comme la plateforme Health Data Hub, qui est hébergée par Microsoft. »
Savoir où se trouvent leurs données personnelles est une question qui taraude les Européens. Mais elle reste souvent sans réponse, car ni les Gafam (Google, Apple, Face bok, Amazon, Microsoft) ni les entreprises en ligne ne sont tenus d’afficher le pays où ils les hébergent. « Le responsable du traitement des données n’a pas l’obligation d’indiquer leur lieu d’hébergement et de stockage aux personnes dont les informations sont collectées. Pourtant, lorsque le serveur est localisé en dehors de l’Union européenne, ce serait une bonne pratique », souligne l’avocate spécialiste des nouvelles technologies Christiane FéralSchuhl. En France, la loi dite «pour la confiance dans l’économie numérique » oblige depuis 2004 les sites Internet à mentionner les coordonnées de l’hébergeur. «Mais l’adresse de l’hébergeur peut être distincte du pays de stockage», relèvent Sandra Tubert et Laura Ziegler, à la tête du départe ment «IT Data» du cabinet BCTG Avocats.
Le grand public, lui, craint pour sa vie pri vée. Et la 5G dont les enchères viennent d’être bouclées en France n’est pas près d’apaiser les esprits : « Le déploiement massif d’objets connectés, allant de pair avec la 5G, participe de l’accaparement de données personnelles. On donne ainsi les clés d’un pouvoir de prévision et de contrôle social à des géants du numérique », se sont alarmés une soixantaine d’élus. Le scandale Cambridge Analytica – du nom de la société britannique qui a aspiré les données de près de 100 millions d’«amis» sur Facebook à des fins politiques – est devenu le symbole d’une Europe numérique aux allures de passoire. Ce qui a valu au réseau social, en 2019, une amende de 5 milliards de dollars (4,5 milliards d’euros) pour… négligence.
La firme de Mark Zuckerberg est en outre mise en cause depuis 2013 par un simple citoyen européen: Maximillian Schrems. Cet Autrichien avait saisi le régulateur irlandais afin d’empêcher le siège européen de Face book à Dublin de transférer des données européennes vers les serveurs de sa maison mère aux EtatsUnis. La Cour de justice de l’UE a donné doublement raison à «Max» en annulant deux décisions majeures de la Commission européenne: les mal nommées «Safe Harbor», soit «sphère de sécurité» (invalidée il y a cinq ans), et «Privacy Shield», ou «bouclier vie privée» (invalidée en juillet dernier). Maximillian Schrems souhaite maintenant que l’Europe fasse respecter ce verdict par tous ceux qui font « voyager les données ».
Les particuliers, mais aussi les entreprises européennes, sont gagnés par le souci de la «territorialité des données», et les pouvoirs publics par leur «souveraineté». Le problème est que les sites Internet ne savent pas toujours où ces données sont stockées. « Une partie est stockée sur mon serveur, sur un site en France. Mais tous les logiciels qui sont en “léger”, c’està dire dans le nuage, sont gérés par leur éditeur et les données sont stockées dans un lieu que nous ne maîtrisons pas», constate Stéphanie Pauzat, dirigeante de Mil Eclair, une PME de nettoyage normande. Du côté des grandes entreprises, pas facile d’y voir clair non plus. «La plupart des grandes entreprises françaises ont des contrats avec des “hyperscalers” américains [prestataires de traitement informatique massif pour le big data ou le cloud] et il est difficile pour elles aujourd’ hui de s’en affranchir. Peu sont d’ailleurs disposées à s’épancher sur leurs pratiques en la matière », confie un connaisseur des grandes organisations.
« MADE IN EUROPE »
Les administrations et les services publics montrent ils la voie du rapatriement des données en France ou en Europe?
Membre du Club informatique des grandes entreprises françaises, la filiale Enedis d’EDF – gérant le réseau de distribution d’électricité – fait pour l’instant dans l’hébergement franco français, y compris pour les données collectées par les fameux compteurs Linky : « Nous stockons l’intégralité des données liées à notre activité sur nos propres serveurs, hébergés dans nos centres de données situés en France », précise JeanClaude Laroche, directeur des systèmes d’information d’Enedis. Mais l’électricien ne devrait pas résister à l’appel du cloud puisque, « à l’avenir », il est prévu d’y faire basculer les espaces collaboratifs tels qu’Office 365 de Microsoft.
Sa maison mère EDF fait partie de la vingtaine d’entreprises, dont Siemens, BMW, Safran, Bosch, Amadeus ou encore Orange, qui ont porté sur les fonts baptismaux le cloud franco allemand GaiaX : il s’agit de créer un «cloud souverain» européen pour protéger leurs données et être en conformité avec le règlement général sur la protection des données. «En ce qui concerne les données à caractère personnel (…), l’Europe a été trop lente et dépend désormais des autres », déplorait ainsi la présidente de la Commission européenne, Ursula von der Leyen, en dressant le 16 septembre l’état de l’Europe.
La société GaiaX de droit belge a été créée en septembre. Première concrétisation de cette coopération entre Paris et Berlin: la cocréation d’un « cloud public de confiance », confié au champion français, la société familiale OVHcloud (exOVH) basée à Roubaix, et à l’allemand TSystems (filiale de Deutsche Telekom). La commercialisation du stockage « made in Europe » est prévue pour début 2021. En France, la plateforme des données de santé Health Data Hub songe notamment à se rallier à GaiaX. «Nous restons à l’écoute des industriels pour anticiper la migration vers une autre solution d’hébergement, dès qu’une offre nationale ou européenne sera disponible », indique Stéphanie Combes, directrice de ce groupement d’intérêt public. Depuis son lancement en décembre 2019, cette plateforme est non seule ment alimentée par les médecins, mais aussi par les pharmacies, les laboratoires d’analyse ou encore les cardiologues. Ces données de santé sont censées être pseudonymisées avant d’être hébergées chez Microsoft.
Mais où ? « Elles sont actuellement stockées dans les centres de données de Microsoft aux PaysBas. D’ici à la fin de l’année, elles le seront toujours chez Microsoft, mais en France », promet Stéphanie Combes. La Commission nationale de l’informatique et des libertés doit rendre un avis sur un projet de décret sur le fonctionnement de cet entrepôt de données de santé, dont elle souhaite que le stockage reste en Europe. Le Conseil d’Etat, lui, a rejeté par deux fois des recours contre ce transfert vers Microsoft.
« RETARD DE FLORAISON »
La transformation numérique de l’Etat français est aussi l’occasion de relocaliser des données. La direction interministérielle du numérique, à l’origine du portail France Connect, utilisé par 17 millions de Français pour leurs démarches administratives, prône ainsi des « espaces souverains de stockage, associés à des services publics de qualité». Son directeur, Nadi Bou Hanna, l’assure : « Ces données sont stockées par défaut en Europe, et dans la plupart des cas par l’administration française. » Des Etats sont même tentés par la «nationalisation des données» de leurs services publics. Mais, lancées il y a dix ans par le gouvernement en France, les sociétés Cloudwatt et Numergy – respectivement absorbées par Orange et SFR – ont été des échecs. «Ils avaient un positionnement strictement national; leur marché était beaucoup trop limité », explique Helmut Reisinger, directeur général d’Orange Business Services (OBS). « Il y avait un manque de sponsors de l’Etat français, pour encourager les acteurs français », regrette Christophe Delaye, directeur exécutif réseaux et systèmes d’information chez SFR.
Aujourd’hui, faire du stockage de données un enjeu de « souveraineté nationale », voire de « patriotisme numérique », prend de l’ampleur partout dans le monde. Les Etats Unis soupçonnent par exemple le réseau social des ados TikTok, dont les données sont stockées en Virginie et à Singapour, de cyberespionnage au profit de son pays d’origine, la Chine – à l’instar de Huawei. Pourtant, le pays de l’«America First» est lui même un expert en surveillance de masse avec ses programmes Prism (dont les abus ont été révélés en 2013 par le lanceur d’alerte Edward Snowden) et Upstream, tous deux autorisés par le Foreign Intelligence Surveillance Act, ou loi FISA.
En Chine, une loi sur la cybersé curité impose quant à elle depuis juin2017 que les platesformes étrangères stockent les données des Chinois au sein de l’empire du Milieu. Idem en Russie pour les données des Russes. Et, en Europe, les Big Tech américaines, déjà suspectées d’évasion fiscale, veulent éviter d’être accusées d’«évasion de données» au profit des Etats-Unis. Amazon veut notamment rassurer : « Les clients français déterminent la région où leurs données sont stockées, y compris en France depuis 2017. Ils peuvent aussi crypter leurs données et gérer leurs clés de chiffrement», indique Stephan Hadinger, directeur de la technologie chez AWS France. Cette filiale d’Amazon est membre de l’association bruxelloise Cispe (Cloud Infrastructure Services Providers in Europe), elle même co-fondatrice de GaiaX.
Le loup dans la bergerie ?
« Les fournisseurs européens sont en retard de floraison », déplore Henning Kagermann, ancien coprésident de la société allemande SAP. Dans un rapport publié en juillet, il plaide donc pour la création d’une «sphère publique européenne » englobant les services publics. A Bruxelles, on pose les jalons d’un cloud souverain, que le commissaire européen Thierry Breton a surnommé « GaiaUE » : « Nous avons annoncé un investissement de 2 milliards d’euros pour la mise en place du projet. Les premiers appels à manifestation d’intérêt seront lancés d’ici à la fin de l’année», affirme t’il. Reste à savoir si la souveraineté est un parapluie suffisant pour empêcher que les nuages américains – re joints par les chinois Alibaba, Tencent ou encore Huawei – ne fassent la pluie et le beau temps sur les données des VingtSept. Pour Helmut Reisinger, chez Orange, partie prenante de GaiaX, «il ne s’agit pas de recréer un Gafam européen ». « Pourquoi devrions nous nous résoudre à devenir la colonie numérique de la Chine ou des Etats Unis ? », se rebiffe quant à lui Michel Paulin, directeur général d’OVHcloud.
Mais les Américains ne seront pas pour autant évincés du marché unique numérique, pas plus qu’ils ne le seront du futur « marché unique des données » (industrielles, financières, etc.). Pour Cédric O, secrétaire d’Etat au numérique, «à aucun moment, il n’a été envisagé de se passer des offres proposées par les grands acteurs du numérique, essentiellement américains. Les projets de cloud souverain et GaiaX sont complémentaires, imbriqués ». Il inaugurait mi septembre à Paris le salon Big Data, dont les données collectées sont hébergées chez OVHcloud et… Amazon.
