Une réaction au CLOUD ACT ?

Adopté en 2018, le CLOUD ACT permet aux forces de l’ordre américaines de demander l’accès à des données stockées par des entreprises américaines dès lors qu’elles sont nécessaires dans une enquête judiciaire et ce, quels que soient leurs lieux géographiques de stockage.

Dans un marché largement dominé par des entreprises américaines (Microsoft, Amazon et Google s’en partageant près de la moitié), le CLOUD ACT représente un risque pour la souveraineté des données européennes.

Un message politique fort accompagné d’une ambition économique

GAIA-X est un nouvel outil de l’Union européenne dans son combat pour la souveraineté des données européennes. Ce nouveau projet s’inscrit, tout comme le RGPD, dans cette stratégie visant à créer un « espace souverain de données personnelles et industrielles protégées par des mécanismes techniques et juridiques eux-mêmes souverains ».

Un tel projet répond aussi à une ambition économique : par la création de GAIA-X, l’Union européenne entend promouvoir le développement des entreprises européennes sur le marché du cloud.

GAIA X, un « meta-cloud » ?

L’objectif du projet GAIA-X n’est pas la création d’une nouvelle entreprise européenne capable de concurrencer les acteurs étrangers du marché, mais un cadre visant à favoriser les entreprises européennes par le biais de directives et standards communs.

GAIA-X sera une entité de gouvernance en charge d’édicter de grands principes relatifs à l’interopérabilité, à la portabilité des données et à la cybersécurité. Une fois ce corpus réglementaire établi, les entreprises pourront proposer leurs offres de service compatibles/conformes avec GAIA-X.

Ce projet a donné lieu à la création d’un consortium Public-Privé regroupant 11 membres allemands et 11 membres français. Parmi ses membres, on compte des sociétés fournisseurs de service cloud mais pas uniquement ; il comporte aussi des sociétés utilisatrices et des acteurs académiques spécialisés dans la recherche en sciences du numérique.

GAIA-X entend travailler à la mise en œuvre de deux types de standards pour uniformiser les clouds européens :

• Des standards techniques pour harmoniser les pratiques des acteurs : c’est une condition clé pour faciliter la portabilité des données. Chaque entreprise doit pouvoir changer de prestataire CLOUD sans être contraint de modifier ses bases de données pour les rendre compatibles avec les services du nouveau prestataire.

• Des standards éthiques et réglementaires qui permettront d’introduire de la transparence et de la clarté dans les relations contractuelles entre les prestataires CLOUD et leurs clients. Actuellement, un grand nombre de structures, et en particulier les PME, ne disposent pas des ressources requises pour évaluer les subtilités contractuelles. Par ces standards réglementaires, le consortium entend donner aux entreprises le pouvoir de changer de prestataire CLOUD en toute transparence. C’est en ce sens, une approche très similaire à celle du RGPD.

L’entité légale « GAIA-X » a récemment été créée en Belgique. Le lancement de la plateforme est prévu pour début 2021.

Un outil utile pour les professionnels de la protection des données ?

L’invalidation du Privacy Shield en juillet 2020 est lourde de conséquences et synonyme de nouvelles obligations pour les entreprises exportatrices de données personnelles. Elle est aussi source de questionnements géopolitiques en matière de souveraineté : comment l’Union européenne peut-elle assurer la protection des données personnelles de ses citoyens lorsqu’elles sont transférées/traitées par des sociétés américaines sous le joug du Cloud Act ?

Si les autorités américaines et la Commission européenne ont déclaré travailler à la création d’un nouvel accord prenant en compte les irrégularités entachant le Privacy Shield, cette solution semble difficile à mettre en œuvre : l’obstacle principal à l’effectivité d’un tel accord résidant dans l’extraterritorialité du droit américain. Les enjeux liés à la souveraineté numérique sont désormais omniprésents dans le discours politique et se matérialisent par des prises de position forte tant au niveau européen (voir en ce sens, les déclarations du commissaire au marché intérieur, Monsieur Thierry Breton) que national : un récent rapport parlementaire appelle, par exemple, à rétablir la souveraineté de la France et de l’Europe.

La solution la plus protectrice pour les données personnelles des citoyens européens repose sur la création d’un « cloud souverain » : le projet franco-allemand GAIA-X, initiative économique respectueuse des engagements européens en matière de protection des données, tend à atteindre cet objectif. Les professionnels de la protection des données comptent sur le succès de ce projet, synonyme de conformité au RGPD et d’indépendance technologique européenne.