Numéro 28 // Vendredi 23 juillet 2021
|
|
|
|
CLOUD : LA BATAILLE EUROPÉENNE POUR LA CONFIANCE ! |
|
|
|
Ce mois-ci, la Lettre du DPO a interrogé Henri d’Agrain (délégué général du CIGREF, nommé par le secrétaire d’État chargé du numérique pour animer le projet européen GAIA-X), ainsi que David Chassan (directeur de la stratégie chez OUTSCALE, fournisseur Cloud de confiance labélisé « SecNumCloud »). Ils livrent à la Lettre du DPO leur témoignage et éclairage pratique sur le Cloud Computing, qui constitue désormais un maillon technologique et industriel clé pour la compétitivité mais aussi pour le rayonnement économique et politique de l’Europe.
Un concept récent, fruit de la révolution numérique. Présenté en français par l’expression « informatique nuagique » (ou par la contraction « infonuagique »), le Cloud Computing emprunte un attribut céleste, qui n’est pas exempt de motivations publicitaires destinées à sublimer la nature de cette nouvelle forme de configuration et d’utilisation de ressources informatiques. Né en réponse à la formidable amplification de la demande informatique, au tournant des années 2000, le Cloud, à la différence des autres formes d’externalisation informatique (comme l’infogérance), se caractérise par son extériorité (recours à des moyens distants et extérieurs au système d’information - « SI » - de l’utilisateur), sa mutualisation et sa flexibilité. Il permet ainsi aux fournisseurs de déplacer les données d’un serveur à un autre, afin d’en optimiser les coûts et de garantir à l’utilisateur un paiement en fonction de son usage, ainsi qu’une capacité de dimensionnement élastique.
Les différents types de Cloud. Tout d’abord, il faut distinguer deux types de services « Cloud » : celui d’infrastructure, et celui de service ; le premier s’adresse à une population de développeurs (« IAAS » pour « infrastructure as a service » si les services fournis correspondent à la couche basse du SI, et « PAAS» pour « plateforme as a service» si les services consistent en la mise à disposition d’une plateforme facilitant le déploiement et l’exécution d’applications) ; le second, couramment dénommé « SAAS » (pour « software as a service»), est le plus répandu, et consiste en la mise à disposition d’un catalogue de logiciels applicatifs destinés à une population de clients utilisateurs. Ensuite, il faut distinguer deux types de déploiement pour le Cloud : le « privé », et le « public » ; le premier correspond à une infrastructure dédiée aux besoins propres d’une organisation, qui peut décider, soit d’héberger et gérer cette infrastructure sur ses propres ressources (on parle de Cloud « privé internalisé »), soit de confier cet hébergement et cette gestion à un tiers qui les opèrera sur des ressources dont il a la maîtrise (on parle alors de Cloud « privé externalisé ») ; le second correspond à une infrastructure appartenant et restant sous la maîtrise d’un fournisseur qui propose un ensemble de services (IAAS, PAAS, SAAS) qui ne sont pas dédiés à une organisation en particulier mais sont proposés à un large public d’utilisateurs.
Une industrie stratégique. Présenté comme une source importante de réduction de coûts directs (d’infrastructures, matériels et logiciels) mais aussi indirects (par la diminution de l’exposition aux risques, du fait du niveau de sécurité élevé pratiqué par certains fournisseurs de Cloud) et enfin d’accroissement de flexibilité et d’amélioration des capacités informatiques par les organisations, le Cloud est perçu, depuis peu, par les pouvoirs publics comme une filière de fournisseurs à développer sur le territoire national et communautaire, car pourvoyeuse d’emplois. Pour certains même, il conviendrait de restreindre le recours au Cloud, concernant certaines données, aux seuls fournisseurs opérant sur le territoire national, faisant ainsi du Cloud un enjeu de souveraineté. Des initiatives, comme celle de GAIA-X, visent à restaurer une alternative européenne, se distinguant par de fortes garanties de sécurité et conformité, dont la pandémie a révélé à quel point elle était fragile et vulnérable.
Matthieu Bourgeois et Laurent Badiane, associés en charge du département Immatériel & Numérique
Pour vous abonner, cliquez ici
|
|
|
|
« LE CLOUD N’EST PAS UN SOUS DOMAINE, PARMI D’AUTRES, DU SECTEUR NUMERIQUE ; IL EST CELUI QUI COMMANDE TOUS LES AUTRES » |
|
|
|
| Officier de marine pendant 27 ans, Henri d’Agrain a alterné les postes opérationnels et de commandement en mer avec des responsabilités dans le domaine de l’informatique et des moyens de communication : une carrière qui illustre bien la proximité – évoquée par certains – entre l’espace maritime et l’espace numérique. Depuis 2017, il occupe la fonction de Délégué général du Cigref (ex Club Informatique des Grandes Entreprises Françaises, créé en 1970). Le Cigref plaide ardemment pour une stratégie résolument volontariste de revitalisation de la filière numérique européenne, notamment à travers l’émergence d’un Cloud de confiance. Lui-même adepte d’un colbertisme éclairé en la matière, Henri d’Agrain livre la vision du Cigref sur le sujet à La Lettre du DPO.
1/- Pouvez-vous nous rappeler votre parcours et comment en êtes-vous arrivé à vous intéresser au numérique et à la donnée ?
Ma carrière militaire m’a amené très tôt à m’intéresser aux systèmes de communication, essentiels pour combattre en mer. C’est ainsi que, après avoir rejoint l’Etat-Major de la marine, j’ai pris la tête du bureau « système d’information et de communication » de la Marine nationale - qui correspond à la DSI (Direction des Systèmes d’Information) pour une entreprise -, où j’ai alors beaucoup travaillé notamment sur la numérisation de l’espace de bataille. Après mon départ en retraite de la Marine en 2013, j’ai co-fondé et présidé Small Business France, une société accompagnant les entreprises technologiques et innovantes françaises vers la commande publique et les achats des grands groupes. Puis, de 2014 à 2016, j’ai dirigé le Centre des Hautes Études du Cyberespace (CHECy), que j’ai créé en partenariat avec l’Ecole Européenne d’Intelligence Économique, pour proposer une formation de haut niveau aux cadres et aux dirigeants du public et du privé sur les notions et enjeux du cyberespace.
2/- Quels axes stratégiques défendez-vous actuellement au sein du CIGREF, et quel rôle celui-ci joue-t-il dans le projet GAIA-X ?
|
|
L’indépendance du Cigref (assurée grâce non seulement à l’origine de ses membres - utilisateurs de solutions numériques, à l’exclusion de tout fournisseur - ainsi qu’à ses ressources financières - cotisations de ses adhérents, à l’exclusion de tout sponsoring ou subvention) lui permet de travailler sur trois axes stratégiques : tout d’abord l’intelligence collective (à travers la publication d’études et prises de position sur des sujets d’intérêt commun) ; ensuite l’influence (à travers la défense de position commune dégagée par nos adhérents qui peuvent ainsi rééquilibrer le rapport avec les fournisseurs de produits/services numériques) ; enfin, l’échange (à travers la mise en place d’espaces de confiance et de convivialité), afin de créer du lien entre les utilisateurs et l’écosystème, propice à une meilleure compréhension et maturité commune. GAIA-X est précisément le fruit d’échanges, ayant amené à une prise de conscience quant à la faiblesse industrielle européenne et à la nécessité de favoriser l’émergence d’une offre Cloud de confiance, se distinguant notamment par de fortes garanties de sécurité/conformité ainsi que de souplesse. En pratique, GAIA-X se présentera comme une sorte de catalogue sélectif d’offres Cloud sécurisées répondant à des standards (sécurité, conformité, non soumission à certaines réglementations étrangères, etc.). Pour les utilisateurs de Cloud, cette plateforme constitue un puissant outil de lisibilité de l’offre. Le CIGREF a été officiellement nommé par le Secrétaire d’État chargé du Numérique, pour animer ce projet, sans pour autant être membre de l’association GAIA-X.
3/- Quelles sont vos convictions pour l’avenir, en particulier au sujet du Cloud ?
J’ai la conviction que le Cloud n’est pas un sous domaine, parmi d’autres, du secteur numérique ; il est celui qui commande tous les autres. La crise sanitaire a montré à quel point les européens sont dépendants d’acteurs étrangers, en particulier américains, lesquels ne jouent pas toujours avec les mêmes règles du jeu. Et ce ne sont pas les entreprises européennes utilisatrices de ces services qui pourront pallier plusieurs décennies de carence de la politique industrielle européenne en faveur de l'industrie du numérique. C’est à l’Europe, et aux autorités publiques de tous ses États membres, de mener une politique favorisant une offre européenne. Car la souveraineté est un attribut des Etats et des organisations comme l'Union européenne auxquelles ils délèguent des compétences en la matière. Cette souveraineté doit également s'exercer dans l'espace numérique au même titre que dans l'espace physique, à l’abri – autant que possible – des législations étrangères, et protégeant les utilisateurs contre les risques de dépendance technologique. L’État devra également intégrer, à l’avenir, les contraintes environnementales en régulant l’usage du numérique, et non en contraignant l’offre (car l’offre Cloud permet de l’optimisation du traitement de la donnée).
|
|
|
|
IL EST PRIMORDIAL POUR LE CLIENT DE FAIRE UN CHOIX ÉCLAIRÉ AFIN D’ÉVITER LA DÉPENDANCE TECHNOLOGIQUE À L’ÉGARD DU PRESTATAIRE |
|
|
|
Face à une menace croissante et de plus en plus sophistiquée, le choix du prestataire d’hébergement représente un enjeu stratégique pour les organisations tant publiques que privées. 3DS Outscale est une entreprise française spécialisée dans le domaine du cloud computing qui propose des services d'infrastructure en tant que service (« IaaS », type de cloud computing qui offre des ressources de calcul, de stockage et de mise en réseau essentielles à la demande, et sur une base de paiement à l'utilisation). Fondée en 2010 en France pour répondre au problème de la souveraineté des données, avec le soutien de Dassault Systèmes, 3DS Outscale est membre fondateur de l’association GAIA-X et présente à l’international. 3DS Outscale déploie ainsi des datacenters en Europe, en Amérique du Nord et en Asie. David Chassan, Directeur de la Stratégie de 3DS Outscale a accepté de livrer à la Lettre du DPO sa vision sur le Cloud de confiance.
S’assurer que le prestataire soit en mesure de démontrer la sécurité et qu’il ait fait l’objet d’audit
« En matière de service d’hébergement, il ne doit pas y avoir de délégation de sécurité au profit de l’éditeur d’une solution logicielle. Il doit montrer patte blanche afin de garantir la confiance auprès de ses propres clients. Il n’est donc pas possible de se dispenser de sécurité ainsi que de l’acquisition de labels standards notamment dans le cadre de la participation à des appels offres (publics et privés) pour lesquels la sécurité doit être démontrée à tous les niveaux indépendamment de la nature du service fourni (IaaS, PaaS ou SaaS). A ce titre, 3DS Outscale est certifiée ISO 27001 depuis 2014, ISO 27017 et ISO 27018 sur l’ensemble de ses activités. 3DS Outscale, est aussi certifiée HDS pour l’hébergement des données de santé. Enfin, 3DS Outscale, avec son offre Cloud Secteur Public, est la première infrastructure IaaS qualifiée SecNumCloud, le Visa de sécurité de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Il s’agit du plus haut niveau d’engagement en matière de sécurité. L’obtention du référentiel SecNumCloud permet à 3DS Outscale de répondre aux besoins les plus exigeants de sécurité, confidentialité et souveraineté numériques des acteurs publics, parapublics et des Opérateurs d’Importance Vitale (OIV). Pour obtenir cette qualification, le prestataire doit respecter un ensemble de règles qui vient encadrer le prestataire de service, son personnel et le déroulement de ses prestations. Aussi, une série d’audits réalisée par l’ANSSI évalue les dispositifs de protection et processus de traitement de données. »
Choisir l’interopérabilité
Il est primordial pour le client de faire un choix éclairé afin d’éviter la dépendance technologique à l’égard du prestataire. Il convient également de prêter une attention particulière aux coûts de réversibilité (les coûts de réseaux étant importants en cas de reprise massive de données). A cet égard, 3DS Outscale utilise des interfaces de programmation applicatives (API) compatibles avec les standards du marché, notamment les API d'Amazon Web Services, et les développements réalisés sur ses infrastructures sont aisément portables sur des infrastructures compatibles et interopérables.
|
|
|
|
Le label du cloud français de confiance et le PIIEC cloud : les "fers de lance" de la souveraineté numérique ? |
|
|
|
Le gouvernement français a annoncé la création d'un nouveau label relatif au cloud, s'appuyant sur le SecNumCloud de l'ANSSI, pour mener vers un cloud français souverain. Ce visa de sécurité requiert une triple nationalité (localisation des serveurs, nationalité des entreprises et de leurs détenteurs), permettant ainsi d'identifier les serveurs soustraits au droit américain.
Pour en savoir plus, cliquez ici
Entre temps, à l'échelle de l'Europe un projet important d'intérêt européen commun (PIIEC) voit le jour concernant le cloud. Il est financé par les Etats membres et le plan de relance de l'Union européenne, et sera "synchronisé avec les valeurs et les normes européennes de GAIA-X". Cette construction d'une infrastructure commune et décentralisée permettrait de constituer un « continuum multifournisseurs » entre le cloud et l’edge computing.
Pour en savoir plus, cliquez ici
|
|
|
|
Les nouvelles clauses contractuelles types de la Commission européenne |
|
|
|
La Commission européenne tire les enseignements de la décision de la Cour de justice dans l’affaire « Schrems II » (CJUE, 16 juillet 2020, C-311/18). Les nouvelles clauses contractuelles types (« CCT ») adoptent en effet une structure par module, correspondant à des scénarios différents de transfert. Ainsi, elles intègrent deux nouvelles situations de transfert par rapport à ses anciennes formulations, et permettent désormais de couvrir les transferts de sous-traitants UE à des responsables de traitement hors UE, ainsi que les transferts entre sous-traitants UE et sous-traitants hors UE. Elles comprennent également des clauses multipartites, permettant à tout nouveau responsable de traitement ou sous-traitant de devenir parties à ces CCT, et de faire l’économie d’un nouveau contrat. Elles imposent en outre à l’exportateur de données de tenir compte de la législation applicable à l’importateur pour déterminer si des CCT pourront produire tous leurs effets. Enfin, les parties conviennent des mesures techniques et organisationnelles énoncées à l’annexe II. Ces nouvelles clauses remplaceront les anciennes dès le mois de septembre 2021, les acteurs de traitement disposant d’une période de transition de trois mois pour les implémenter. Une période supplémentaire de 15 mois sera laissée aux exportateurs et importateurs de données pour invoquer les anciennes clauses, à échéance de laquelle tous auront dû mettre à jour leurs clauses contractuelles types ou un autre outil de transfert.
Pour en savoir plus, cliquez ici
|
|
|
|
La société BRICO PRIVEE condamnée à 500.000 euros d’amende par la CNIL |
|
|
|
Le 14 juin 2021, la CNIL, autorité chef de file dans le cadre de ce dossier, a prononcé une amende de 500.000€ à l’encontre de la société Brico Privé, éditrice du site de ventes privées bricoprive.com dédié au bricolage, jardinage et à l’aménagement de la maison. Les motifs ? Tout d’abord, la CNIL juge notamment qu’en conservant les données de 16.000 clients n’ayant pas passé commande depuis plus de 5 ans, la société Brico Privé n’a pas respecté les durées de conservation qu’elle avait fixées. De plus, la CNIL relève que la société a manqué à son obligation de mettre en place des mesures de sécurité en n’imposant pas la création de mots de passe robustes à ses clients et ses employés et, par ailleurs, que plusieurs cookies publicitaires étaient déposés sur le terminal des utilisateurs sans leur consentement préalable. Outre ces manquements au RGPD et à Loi Informatique et Libertés, la CNIL sanctionne Brico privé, sur le fondement de l’article L.34-5 du Code des postes et des télécommunications, pour avoir envoyé des emails de prospection sans le consentement préalable des prospects. Cette décision rappelle celle infligée à un autre cybermarchand, Spartoo, le 20 juillet 2020.
Pour en savoir plus, cliquez ici
|
|
|
|
30 août – 3 septembre, virtuel |
|
|
|
Ecole d’été OBVIA-SCAI sur l’IA responsable,
"Santé durable et changement climatique"
|
|
|
|
Le Sorbonne Center for Artifical Intelligence (SCAI) et l’Observatoire international sur les impacts sociétaux de l'IA et du numérique (OBVIA) organisent pour les chercheur(e)s et étudiant(e)s une école d'été virtuelle sur le thème de l'IA responsable, de la santé durable et du changement climatique. Les thèmes abordés incluent la médecine prédictive et augmentée, et l'inclusion et atténuation des biais. La plateforme est ouverte tout le mois d'août, puis des échanges auront lieu la semaine du 30 août, et un concours de récits prospectifs en octobre.
Pour en savoir plus cliquez ici
|
|
|
|
Le département Immatériel et Numérique de klein • wenner
Forte d’avocats expérimentés, experts en droit du numérique et du RGPD, l’équipe Immatériel & Numérique de klein • wenner a développé une pratique transversale inédite en droit de la donnée. En lien avec d’autres experts (cybersécurité, SI/gouvernance des données), elle propose une approche globale permettant de traiter l’ensemble des questions liées aux données (privacy, propriété intellectuelle, cybersécurité, et open data* – *avec l’équipe Droit public du cabinet).
|
|
|
|
La Lettre du DPO est une publication de klein • wenner qui traite vos données conformément à la règlementation protégeant les données à caractère personnel. Pour en savoir plus, cliquez ici.
|
|
|
|
|
|
|
|
