En discussion depuis 2022, il instaure de nouvelles lois définissant les droits d’accès et d’utilisation des données européennes.
En parcourant le texte, on remarque assez vite que l’accent est mis sur deux types de données informatiques :
les données industrielles ;
et les données générées par les objets connectés.
Le Data Act est une extension du Governance Data Act. Là où le 1ᵉʳ créé les processus et les structures pour faciliter le partage des données entreprises-consommateurs-états, le deuxième précise qui peut traiter lesdites données.
Autrement dit, qui peut les utiliser pour créer de la valeur, et comment.
La commission va même plus loin sur son site web en montrant comment les données de santé vont en bénéficier. On note :
l’amélioration des traitements personnalisés ;
la fourniture de meilleurs soins de santé ;
120 milliards d’euros d’économies annuels pour les professionnels Européens de la santé.
Le texte doit entrer en vigueur dans vingt mois, soit le 11 septembre 2025.
Des objectifs ambitieux
Le moins que l’on puisse dire, c’est que les 27 sont extrêmement ambitieux via le Data Act.
Pour vous faire une idée, voici quelques-uns de ses objectifs :
stimuler le développement d’un marché européen des données concurrentiel, ce qui se traduirait par la création de plus de services innovants et par l’amélioration de la compétitivité des SAV ;
garantir l’équité sur le marché des données numériques ;
protéger les entreprises européennes contre les clauses contractuelles abusives dans les contrats de partage des données. Ce qui permettra aux PME de prendre davantage part au marché des données.
Margrethe Vestager – vice-présidente exécutive pour une Europe adaptée à l’ère du numérique
“Aujourd’hui marque une étape clé de notre transformation numérique. Grâce à une législation bien définie sur les données, nous donnons à l’utilisateur le contrôle du partage des données générées par ses appareils connectés, tout en assurant la protection des secrets commerciaux et en sauvegardant le droit fondamental européen à la vie privée”.
Si ces lois rendent les Européens fous de joies, il y en a qui risquent de moins l’apprécier.
De nouvelles règles difficiles à avaler pour les fournisseurs de service cloud computing non-Européens
Apple et les règles de l’UE, c’est tout, sauf une histoire d’amour.
En effet, les fournisseurs de services de Cloud Computing – IaaS, PaaS et SaaS – sont maintenant obligés de :
Fournir un droit de changement de prestataire par la suppression d’obstacles – autrement dit, le quasi-monopole d’iCloud sur l’iPhone risque d’y laisser des plumes ;
Après renouvellement, le client peut faire jouer son droit au « portage (de ses) données exportables et (de ses) actifs numériques, (…) y compris après avoir bénéficié d’une offre gratuite » ;
Fournir, en cas exceptionnel, l’accès aux données personnelles des consommateurs Européens aux organismes du secteur public.
Attention toutefois : bien que l’on ait pris l’exemple d’Apple, ce n’est pas la seule société technologique dans le viseur de l’UE.
Des Européens de plus en plus maîtres de leurs données personnelles
Clairement, les données personnelles générées par les périphériques connectés sont les plus concernées par ce texte.
Mais toutes les autres le sont aussi.
Ainsi, le Data Act ajoute de nouvelles obligations aux entreprises tierces qui traitent les données des internautes Européens :
l’utilisation des données reçues uniquement dans le cadre de l’usage agréé par l’utilisateur, et leur suppression lorsqu’elles ne sont plus nécessaires ;
Si pour beaucoup, 2020 rime avec le Covid-19, l’inflation et le « quoi qu’il en coûte », pour les experts français de la cybersécurité, elle rime avec scandale.
En cause, la BPI France et la fintech française Doctolib ont toutes deux commis la même erreur : héberger les données de leurs clients français – dont peut-être les vôtres – chez Amazon AWS.
Immédiatement, les experts de la protection des données et certains décideurs français sont montés au créneau contre Amazon Cloud.
Leur leitmotiv : héberger des données chez Amazon Cloud ne garantit pas qu’elles soient traitées selon le RGPD européen. En plus de les exposer au Cloud Act américain.
Paradoxalement, la même année, l’infrastructure cloud d’AWS était utilisée par 80 % des entreprises du CAC 40 ; par 66 % des startups du Next 40 ; et 8 licornes made in France sur 10 utilisaient ses services cloud (source).
Alors est-ce que vous pouvez faire confiance à la solution Cloud d’Amazon ? Est-ce qu’Amazon traitera les données de vos clients selon les normes européennes ? Ou alors finiront-elles sur la table d’une énième agence de renseignement/espionnage industriel états-unienne ?
Découvrez-le tout de suite.
Qu’est-ce que AWS ?
Si vous n’êtes pas un expert de l’infrastructure informatique ou un DSI, AWS vous est peut-être inconnu.
Amazon Web Services – ou AWS pour les intimes – n’est rien d’autre que le leader dans l’industrie des services du cloud computing. Loin devant d’autres géants comme IBM cloud, Google Cloud Platform (GCP) et Oracle Cloud Infrastructure.
En appuyant le déploiement de vos applications cloud sur l’infrastructure informatique d’Amazon AWS, vous bénéficierez de :
de machines virtuelles aptes aux calculs hautes performances, un must si votre entreprise est dans le secteur de la finance ou du marketing ;
des analyses en temps réel de vos données, grâce à des algorithmes de machine Learning ;
un espace de stockage extensible à l’infini, répondant à vos besoins en termes d’agilité et de flexibilité, et bien d’autres.
Malgré cette offensive de charme qui ne laisse aucun DSI indifférent, certaines associations font la traque aux clients des datacenters d’Amazon.
Et voici pourquoi.
Pourquoi AWS est parfois critiqué en France ?
Drapeau américain
La réponse tient en une phrase : Amazon est une entreprise américaine, et par conséquent soumis aux lois états-uniennes.
Si l’amour du pays de Joe Biden pour l’espionnage n’est plus un secret, courant 2018, il a pris des proportions jamais atteintes.
Et ce, à cause du vote de deux lois extraterritoriales par le congrès américain visant l’informatique en nuage : le Cloud Act et le FISAA.
Les lois extraterritoriales des USA : une arme de surveillance
Connaissez-vous les lois extraterritoriales ?
Si votre réponse est non, sachez qu’il s’agit d’un type de lois qui ont la particularité de s’étendre hors de la juridiction du pays du législateur qui les promulgue.
Et dans ce domaine, les champions toutes catégories sont les USA et leurs 14 agences de renseignements.
Vous voyez le rapport avec le fait d’utiliser les infrastructures d’Amazon Cloud ou ne serait-ce que l’un de ses services de stockage ?
Pour bien le comprendre, un point sur les deux lois évoquées plus haut s’impose.
Le Clarifying Lawful Overseas Use of Data Act, ou Cloud Act
Entre les nombreux scandales de l’ère Trump, la promulgation du Cloud Act en 2018 est passée relativement inaperçue. Excepté dans la presse spécialisée dans l’informatique et chez les grandes entreprises.
Que dit le Cloud Act ?
Cette loi donne aux organismes gouvernementaux américains le droit d’accéder aux données des applications hébergées hors des USA. Et ce, qu’importe que la société — l’hébergeur tout comme l’entreprise cliente — soit américaine ou non.
Avant de crier au génocide des libertés individuelles permit par le Cloud Act, sachez que cette loi n’est pas seule.
Le Foreign Intelligence Surveillance Act (FISA)
La loi FISA est une loi datant de 1978, votée par le congrès américain afin de servir de cadre légal à la collecte d’informations via les ressources informatiques alors naissantes.
Seulement, depuis 2001, ses pouvoirs ont été étendus grâce au “PATRIOT ACT”, avant d’être modifiés en 2008 suite à la crise des subprimes.
Pourquoi nous parlons de cette loi d’une autre époque ? Parce qu’elle a encore été étendue en 2018 pour 5 ans.
D’ailleurs, voici ce que dit le site officiel du bureau d’assistance à la justice (américaine) : « [La loi FISAA] définit les procédures pour la surveillance électronique et physique et la collecte sur les renseignements étrangers ».
Dès le premier paragraphe, vous êtes mis(e) dans le bain : « La section 702 est une disposition clé de la loi de 2008 modifiant la loi FISA qui permet au gouvernement de procéder à une surveillance ciblée de personnesétrangères situées en dehors des États-Unis, avec l’assistance forcée des fournisseurs de services de communication électronique, afin d’obtenir des informations sur les services de renseignement étrangers. »
Et avant que vous ne vous posiez la question : non, votre consentement n’est pas requis pour que les agences puissent collecter vos données. D’ailleurs, ni mandat ni décision de justice ne sont requis –ce qui suscite la colère des GAFAM.
En lisant ces deux lois, vous avez sans doute remarqué que le respect de la législation des pays des cibles n’est pas une priorité pour le législateur américain.
Et voilà, vous venez de comprendre la principale peur des entreprises qui ne souhaitent pas utiliser le stockage cloud d’Amazon.
La souveraineté numérique française, ou pourquoi héberger ses données chez AWS inquiète
Vous l’avez compris, la raison pour laquelle certaines personnes vous déconseillent d’utiliser AWS n’est pas due à ses performances. Mais plutôt à la perte de souveraineté de la France sur vos données.
Et ces personnes ont à moitié raison, et à moitié tort.
En effet, le sujet de la souveraineté technologique de la France est un sujet brûlant. Aussi bien à l’Élysée que dans les cercles de réflexions français et chez les experts des systèmes d’informations.
Preuve en est cette déclaration du président Emmanuel Macron le jour de la clôture du salon VivaTech 2023:
La French Tech fait partie de notre quotidien. Elle apporte des solutions à nos défis sociétaux, crée des emplois et sert notre souveraineté technologique. Partout en France, avec ses milliers de startups, la French Tech est devenue essentielle à notre économie et notre société.
Heureusement pour vous, l’Europe n’a pas tardé à vous protéger, ainsi que vos données et celles de votre entreprise, de l’espionnage américain.
Le RGPD et le Data Privacy Framework (Ex Privacy Shield) : les ripostes européennes
Imaginez un instant…
Lors d’un meeting avec votre responsable informatique, vous apprenez que les données de vos clients ont été dérobées par les USA directement auprès de votre hébergeur.
Ce serait un cauchemar, vos clients ne tardant pas à vous claquer la porte au nez et à revenir accompagnés d’une légion d’avocats.
Heureusement, grâce aux deux lois de protection des données de l’Union Européenne, cela n’a aucune chance d’arriver.
Le RGPD
Le RGPD, ou Règlement Général sur la Protection des Données, est un ensemble de mesures qui visent à rendre impossible l’usage de données personnelles par un tiers sans son autorisation.
Il dit ceci : « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, […], sans préjudice d’autres motifs de transfert en vertu du présent chapitre. »
Cela signifie 2 choses pour vous :
les données de votre entreprise ainsi que celles de vos clients européens et/ou stockées en Europe ne seront pas partagées sans votre accord tacite ;
même si vous faites appel à un sous-traitant, vos données sont toujours protégées.
Et bonne nouvelle : Amazon AWS est membre du CISPE (Cloud Infrastructure Services Providers en Europe) et dispose d’un Data Center installé en France depuis 2017. Autant dire donc qu’en hébergeant vos données chez AWS France, vous êtes certain d’être sous la protection du RPGD européen.
De plus, les membres du CISPE se sont engagés à stocker leurs données entièrement dans l’Espace Économique Européen. Bien loin de l’oncle Sam et de ses agences de renseignements.
Mais, ne cédez pas à l’optimisme trop vite.
En effet, le RGPD est clair : vos données peuvent être échangées avec une puissance étrangère – les USA – si un accord international existe.
Et une ébauche d’accord existe : le Data Privacy Framework.
Le Data Privacy Framework
Bien avant l’essor des technologies cloud, l’échange de données USA-UE faisait déjà l’objet d’âpres débats.
Preuve en est le Safe Harbor, promulgué en 2000 et aboli en 2015.
Suivi du Bouclier de Protection des données UE-USA, promulgué en 2016.
Il visait à améliorer le sort des données informatiques européennes sur 3 aspects :
l’option pour un plaignant (européen) de faire supprimer ses données ;
la collecte de quantités importantes de données ;
une délimitation des pouvoirs et de l’indépendance du médiateur.
Seulement, cet accord a vite été jugé insuffisant et a été enterré en 2020 par la Cour de Justice de l’Union Européenne par l’arrêt Schrem contre Facebook Ireland Ltd.
Depuis mars 2022, les deux puissances travaillent en commun sur un nouvel accord : le Privacy Shield 2.0 ou Data Framework Privacy.
Ici, nous n’allons pas détailler le Privacy Shield de long en large, vu qu’il a été abandonné. Ni même son successeur, dont les informations sont encore rares.
Notre objectif étant de vous faire savoir que de tels accords existent.
Au final, est-ce qu’héberger vos données chez AWS France est une mauvaise idée ?
Réponse courte : non.
Stocker vos données chez Amazon vous offre les garanties qu’elles seront traitées selon le RGPD. Et pour cause : la firme américaine est parfaitement conforme au RGPD et stocke toutes vos données sur le sol européen.
Vous vous demandez comment l’entreprise réagirait face à une injonction de l’oncle Sam lui ordonnant de partager vos données ?
Comment Amazon compte protéger vos données des lois américaines
Amazon le sait, si des scandales de partage de données d’utilisateurs européens venaient entacher son image, sa croissance serait brutalement interrompue.
Sur sa page web dédiée à la confidentialité des données, voici ce que la firme déclare :
elle ne divulguera pas vos données, y compris aux organismes gouvernementaux américains ;
en cas d’injonction d’une agence fédérale, elle redirigera la source vers vous, afin que vous puissiez donner votre accord tacite ou pas ;
Si elle est obligée à partager vos données, elle vous donnera un préavis raisonnable pour que vous puissiez obtenir une ordonnance préventive ;
elle délivrera uniquement le minimum d’informations si toutes les possibilités de recours sont épuisées ;
et enfin, elle contestera toute demande non-conforme au RPGD.
Et pour finir, voici quelques avantages offerts par Amazon.
L’aspect légal étant parfaitement défini et sécurisé, une autre raison peut vous pousser à utiliser les services d’Amazon : les fonctionnalités de sa branche Cloud.
Les avantages du Cloud computing d’AWS France
En voici quelques-uns :
AWS Activate, qui offre aux PME et aux Start-up 100 000$ de crédit à utiliser dans les services Amazon ;
un chiffrement sur une clé longue de 256 bits grâce à la norme AES 256 qui rend impossible le déchiffrement de vos données par une attaque de force brute ;
des tarifs flexibles, qui ne vous font payer que ce que vous utilisez réellement ;
une puissance de calcul extensible au besoin.
En conclusion, est-ce que stocker vos data chez Amazon est risqué ? Non, pas du tout.
