Aller au contenu principal

Vers une régulation durcie du Cloud Computing dans les mois à venir ?

12 novembre 2011

Arnaud Alcabez

Il ne faut pas beaucoup d’imagination pour voir qu’aujourd’hui, le Cloud Computing présente de nombreuses similitudes avec la conquête du Far West ou de ruée vers l’or du Klondike.

Le Cloud… Les seules règles qui y prévalent sont celles des sociétés privées qui proposent des solutions basées sur cette nouvelle technologie.

Il suffit de changer de perspective pour voir que cette situation d’un monde non régulé des services de Cloud Computing arrive dans sa phase terminale.

Faisons un parallèle entre le cloud computing et d’autres outils de communication antérieurs, comme la radio FM ou la TNT (Télévision Numérique Terrestre). Pour cela, essayez d’imaginer Internet et ses services proposés comme une « bande de fréquence » et ses services cloud comme autant de radios émettant sur cette bande….

Si vous êtes prêt, je vous propose un petit retour arrière, il y a exactement 30 ans…

Souvenez-vous… Les radios libres… Cette facilité à créer une radio depuis n’importe quel lieu avec des budgets restreints.

A partir de 1981 le pouvoir considère avec une certaine méfiance l’essor anarchique des radios libres. En 1982, la bande FM devient l’objet de convoitise de groupes commerciaux, et le gouvernement est sommé, notamment en invoquant à l’époque des raisons techniques et de confort d’écoute, de mettre de l’ordre et d’attribuer rationnellement les fréquences de la bande FM. Cette régulation donne lieu à la création de la Haute Autorité de la communication audiovisuelle, ancêtre de l’actuelle CSA.

  • Certaines comme NRJ se sont vues obtenir une licence. NRJ est devenu un groupe international avec un chiffre d’affaires de 343 millions d’euros en 2010,
  • D’autres, comme Carbone 14, n’ont pas survécu…

Revenons au présent. Nous sommes à l’ère du Cloud et de l’Internet, et les raisons qui motivent la régulation rapide de ces services sont la sécurité et la géolocalisation de la donnée.

Déjà , dans l’étude sur les technologies clés 2015 commandée par le Ministère de l’Industrie, de l’Energie et de l’Economie numérique, réalisée de janvier à octobre 2010, le rapporteur soulignait l’importance stratégique que revêtent les technologies Cloud Computing en matière de sécurité et de protection des données pour notre économie. En voici quelques verbatim :

  • Le Cloud Computing représentera en 2020 entre 20 % et 25 % du marché informatique. L’informatique en nuage est vue comme prioritaire par les acteurs du secteur informatique […]
  • À l’instar des réseaux haut débit, les infrastructures d’informatique en nuage doivent être perçues par les pouvoirs publics comme un investissement important pour conserver et accroître la compétitivité du pays. Ainsi, les aides publiques, la fiscalité et une réglementation adaptées sont très importantes pour que la France accueille ces investissements […]
  • […] le gouvernement français prévoit d’investir (nb : dans les infrastructures en cloud computing) 780 M€ au titre des investissements d’avenir.
  • […]La France doit donc miser sur ses centres informatiques industrialisés (type informatique en nuages), pour éviter que ces travaux ne se délocalisent.
  • […] C’est aussi une question de souveraineté nationale, car si des données stratégiques, que ce soit pour une société ou pour le gouvernement, sont hors du territoire national, il y a des risques plus importants d’espionnage et de cyber criminalité.

Les plus nationalistes ou euro-optimistes parleront de mesures de protectionnisme. Les plus utopistes évoqueront la préservation des emplois locaux dans le monde de l’IT. Toutefois, avec les investissements nécessaires pour proposer des offres de cloud computing de droit français ou européen, il est raisonnable de penser plus simplement qu’il s’agit plutôt d’une affaire de gros sous.

Certains, prudents, sont déjà en train d’adapter leurs offres afin qu’elles puissent convenir aux nouvelles normes en termes de législation, comme Microsoft, qui s’associe à des partenaires locaux pour construire des centres de données conformes aux exigences locales.

D’autres se regroupent afin de disposer des fonds nécessaires pour construire des consortiums, comme Andromède (Dassault Systèmes, Orange Business Services, Thales, et l’Etat qui y investit 135 millions d’euros, soit 1/3 des droits de la future structure), et visent des services cloud souverains. Andromède ne sera pas uniquement destiné à des marchés publics, et d’ailleurs, ne devrait pas être considéré comme un « cloud d’état », mais une offre privée dans lequel l’état français participe.

Mais la France n’est pas le seul état en l’Europe qui commence à réfléchir fortement à régulariser les offres de Cloud Computing. En effet, début septembre 2011, les Pays-Bas publiaient une note d’information pour indiquer qu’ils étudiaient sérieusement la possibilité d’exclure les fournisseurs d’informatique en nuage des appels d’offres lancés par le gouvernement.

Pour en revenir à notre pays, les manœuvres pour réguler le cloud computing ont également démarré. La première initiative est initiée par la CNIL qui vient de lancer entre le 17 octobre et le 17 novembre 2011 une large consultation afin d’envisager toutes les solutions juridiques et techniques permettant de garantir un haut niveau de protection des données. La consultation est ouverte à tous.

A partir de ce point, et suite aux conclusions rendues par la CNIL, il est probable que le gouvernement français s’empare du dossier et mettre en œuvre le dispositif législatif permettant d’appliquer tout ou partie des recommandations issues de la CNIL.

Principalement, il s’agit de remettre en lumière le fait qu’un entrepreneur (ou ses équivalents dans l’entreprise) est le garant de la sécurité de ses données, et qu’il ne peut confier totalement cette tâche à un tiers. Aux yeux de la loi, il en est le seul responsable juridique.

Malheureusement, force est de constater que souvent, les services juridiques et les directions des ressources humaines ne sont pas sollicités lors des études de déplacement des données de l’entreprise vers une société tierce proposant des services cloud, comme le CRM, la messagerie ou la facturation…

Mais l’arme de persuasion ultime pourrait aussi faire son apparition. Actuellement, bien qu’elle existe déjà, elle s’applique uniquement aux fournisseurs de services Internet (FAI) sous le nom de 3ème paquet Telecom.

Le 3ème paquet Telecom a été ratifié par les FAI pour permettre au gouvernement d’appliquer la Loi d’Orientation et de Programmation pour la Performance de la Sécurité Intérieure, ce qui permet aux autorités de simplifier le processus de collecte de données lors d’enquêtes pour pédophilie, d’enquête sur des actions terroristes, ou plus simplement dans la lutte contre la fraude aux droits d’auteurs des œuvres numériques, pilotée par la HADOPI.

Le champ d’application du 3ème paquet Telecom pourrait inclure d’autres « fournisseurs » que les seuls FAI, tels que toute entreprise fournissant à un tiers un service payant de type cloud computing. Ceci entendrait qu’un « fournisseur » devrait appliquer la sécurité exigée par le client (et non l’inverse), et devrait également être capable de localiser la donnée de son client et assurer qu’il prend toutes les garanties pour que la donnée ne sorte pas du périmètre souverain.

Pour vous donner un exemple, imaginez que la petite société X  puisse exiger que l’opérateur américain mondial Y de service de cloud computing applique les recommandations de sécurité de la société et garantisse la souveraineté de l’emplacement de la donnée…. Presque impossible dans l’immédiat.

Si cette hypothèse se confirmait, cela mettrait un frein d’arrêt temporaire à l’exportation (ou la fuite) des données des entreprises sur des cloud hors de la zone de souveraineté, et constituerait un marché potentiel pour les offres telles qu’Andromède, le temps que les sociétés non européennes s’adaptent aux nouvelles conditions d’un cloud régulé.

Sans vouloir imaginer une forme quelconque de conspiration, ne pensez-vous pas tout comme moi que les administrateurs des sociétés participants à Andromède et que notre gouvernement ont tendance à fréquenter les mêmes cercles ?

J’en arrive donc cher lecteur, à la fin de mon article et de cet exercice de prospective, et je me dois de vous laisser réfléchir à cette conclusion :

Emettre et proposer des services cloud en Europe ou en France pourraient demander demain une licence d’opérateur attribuée par une instance représentative encore à créer.

Dans ce cas, j’espère que vous aurez choisi NRJ plutôt que Carbone 14….

(Pour Cloud Magazine, Octobre 2011)

Les commentaires sont fermés.

%d blogueurs aiment cette page :