Connexion Abonnez-vous
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

La souveraineté en 10 questions (version courte, version longue)

Sous vœux rein

La souveraineté en 10 questions (version courte, version longue)

Le sujet pourrait presque être l’intitulé du bac de philosophie : la souveraineté, vous avez 4 h. Nous avons eu besoin d’un peu plus de temps pour faire le tour de la question et, à lire nos réponses, vous risquez de vous demander si « vous n'avez jamais vraiment bien saisi la question ». Il y va pourtant de l’avenir de notre indépendance.

Le 24 juillet à 08h01

Nous commençons par une approche en douceur, avec dix questions autour de la souveraineté (numérique). Dans cette version courte, nous donnons simplement les grandes lignes afin de permettre à tout un chacun de se faire une idée du sujet. La version longue donne plus de profondeur aux réponses, avec les mêmes dix questions.

10 questions et autant réponses, en moins de 10 minutes

C’est quoi la définition de la souveraineté numérique ? C’est compliqué…

En version courte, on pourrait dire « c’est le bordel, mon colonel » ; tout le monde n’est pas d’accord. Un consensus serait de dire : « la possibilité de faire ce qu’on veut, sans que d’autres aient leur mot à dire ». Un exemple totalement au hasard : non, les États-Unis, vous ne pourrez pas accéder à mes données.

Existe-t-il plusieurs « souverainetés » ? Oui !

On peut voir la souveraineté comme un nom auquel on ajoute un adjectif : numérique, données, militaire, surveillance, santé… Vous avez compris l’idée. Dans tous les domaines, on garde la notion de pouvoir décider seul, d’avoir le dernier mot en toute circonstance.

Que permettent les lois extraterritoriales ? Mettre son nez dans les affaires des autres

Les lois extraterritoriales permettent d’agir en dehors des limites territoriales d’un pays… merci Captain Obvious. Elles permettent à des gouvernements, américains et chinois principalement, de s’imposer auprès de sociétés ou de personnes américaines ou chinoises pour récupérer des informations, peu importe où elles se trouvent dans le monde. Cerise sur le gâteau, elles permettent aussi d’interdire aux « cibles » d’en parler à leurs supérieurs, à leurs clients, etc. Bref, d’agir en toute discrétion. En Europe aussi, nous en avons.

Les États-Unis sont-ils les seuls avec un « Cloud Act » ? Bien sûr que… non !

Si vous avez lu la question précédente, vous savez déjà que non. Les Chinois font de même. Comme ce genre d’agissement est généralement couvert par une culture du secret, il est difficile de savoir ce qu’il en est partout dans le monde. Une chose est sûre : ça existe et c’est déjà utilisé, peu importe finalement que 2 ou 150 pays disposent de telles lois.

Existe-t-il un conflit entre le Cloud Act et le RGPD européen ? Bien sûr que… oui !

La problématique est assez simple. D’un côté, il s’agit de récupérer des données en douce ; de l’autre, un règlement européen qui encadre le transfert d’informations et protège les données personnelles des citoyens. Nous sommes presque en face du yin et du yang dans le monde numérique.

La qualification SecNumCloud permet-elle de se protéger ? Oui, mais…

La version 3.2 de SecNumCloud permet de s’assurer que l’hébergeur est immunisé contre les lois extraterritoriales. Si la cybersécurité est renforcée avec la qualification SecNumCloud (l’ANSSI effectue des contrôles poussés, y compris sur site), rappelons qu’aucun système n’est infaillible. Et n’oubliez pas de vérifier vos propres systèmes : rien ne sert de louer une porte blindée avec accès biométrique si la fenêtre ferme par un simple bout de scotch.

Existe-t-il des certifications européennes ? Oui, beaucoup

Oui, en Allemagne, en Espagne, en Italie… mais aucune actuellement au niveau de SecNumCloud de l’ANSSI. Il y a bien EUCS en préparation, mais cette directive européenne est pour le moment dans une impasse à cause de divergences entre les États membres.

La dépendance technologique est-elle compatible avec la souveraineté ? Oui (ouf, sauvé)

Oui, on peut être souverain et utiliser du matériel d’autrui. Heureusement d’ailleurs, sinon la souveraineté n’existerait pas puisque la grande majorité du matériel informatique (processeurs, cartes mères, mémoire, stockage, routeur…) vient des États-Unis et d’Asie. C’est comme tout, cela dépend de ce que l’on en fait.

Chiffrer les données, est-ce suffisant ? Nein, No, Non

Redisons-le encore une fois, doucement, pour être sûr que le message passe : non, car il est impossible de garantir un chiffrement sans faille. Le chiffrement n’est pas suffisant pour assurer la souveraineté, mais c’est un bon point de départ.

Quels sont les liens entre souveraineté et intelligence artificielle ? Une relation maitre/esclave

Les intelligences artificielles se nourrissent de quantités astronomiques de données pour leur entrainement. La souveraineté des données est donc liée à une souveraineté des intelligences artificielles, et vice-versa.

Nous venons à peine d’effleurer ce sujet et certaines questions méritent un développement bien plus long. Reprenons donc depuis le début, avec les mêmes dix interrogations.

C’est quoi la souveraineté (numérique) ?

Cette première question est bien plus complexe qu’il n’y parait. Le Conseil d'État peut en témoigner avec une étude (2024) de pas moins de 594 pages sur cette notion (en remontant jusqu’à… l’Antiquité). Selon l’institution, la souveraineté « est historiquement et juridiquement la capacité d’exercer le "dernier mot", la liberté de choisir […] sans dépendre d’aucune autorité supérieure ».

Il reste 78% de l'article à découvrir.

Déjà abonné ? Se connecter

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Commentaires (16)

votre avatar
Merci pour cet article instructif mais il y a toujours des zones d'ombre selon les interlocuteurs.
OVHCloud est SecNumCloud 3.2 sur quelques services (https://corporate.ovhcloud.com/en/newsroom/news/secnumcloud-qualification-bare-metal-pod/) mais est-ce que cela empêche le Cloud Act de s'appliquer ?
OVHCloud fait du business aux USA et est donc de fait soumis au Cloud Act, même si les données ne sont pas sur le sol US (de ce que je comprends).
AWS a publié un article de blog (https://aws.amazon.com/fr/blogs/security/five-facts-about-how-the-cloud-act-actually-works/) sur le Cloud Act (il y a même une traduction en français et en allemand, preuve que les européens se posent beaucoup de questions !!) et où il vise spécifiquement OVHCloud (en indiquant qu'ils sont soumis, comme toutes les entreprises faisant du business aux US, au Cloud Act).

Bref, je ne comprends pas en quoi SecNumCloud 3.2 est une protection des lois extraterritoriales... Qui va trancher en cas de conflit ?
votre avatar
En complément à mon message, j'avais suivi cette boucle de message sur LinkedIn (https://www.linkedin.com/feed/update/urn:li:activity:7335235370093088768/) qui en rajoute une couche sur les offres dites "souveraines" comme Bleu, S3NS ;-(
votre avatar
L'article de ce matin de Next avec AWS permet d'avoir une bonne réponse sur OVHCloud et Cloud Act : next.ink Next
votre avatar
SecNumCloud n'empêche pas le Cloud Act de s'appliquer, c'est une certifications de cybersécurité avec des centaines de critères dont l'un d'entre eux est de ne pas être soumis à des lois non-européennes.
Une entreprise soumise au Cloud Act ne peut pas obtenir la certification SecNumCloud. SecNumCloud n'est pas un bouclier contre le Cloud Act, c'est un tampon "je possède un bouclier".

Dans le cas des entreprises européennes, elles sont soumises au Cloud Act si elles opèrent aux États-Unis.
OVH n'opère pas aux États-Unis, seule sa filiale OVH US opère là-bas. Évidemment, un serveur hébergé par OVH US aux États-Unis est saisissable par la justice des États-Unis, mais pas un serveur hébergé par OVH tout court en Europe ou ailleurs dans le monde.
votre avatar
Bravo pour tout ce travail. :inpactitude:
votre avatar
Je mettrai mon petit grain de sel sur deux points.

1) Côté souveraineté : étant pragmatique, je dirais que ça n'est pas un objectif en soit. D'ailleurs c'est rappelé par Seb dans le § La qualification SecNumCloud permet-elle de se protéger ? ==> La vraie question n'est pas vraiment (selon moi) d'être souverain : c'est comme dire "mon système est sécurisé". La vraie question est de savoir contre quoi on veut se protéger. Et là la définition du mot "souverain" devient critique... ou inutile ! Je pense que ce terme s'est imposé pour son côté "imagé" qui correspondait à ce qu'on pressentait comme menaces et comme obligations de protection, mais sans bénéficier d'une définition commune, d'où cette difficulté à savoir ce que cela recouvre. Cela conduit même à l'utilisation d'autres termes, cf. l'offre "maîtrisée" de Guillaume P./Docaposte).

2) Une précision sur le modèle de responsabilité partagée, communément cité et intégré chez les fournisseurs de services. Je cite souvent la version Microsoft (https://learn.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility) qui complète ce modèle avec un aspect trop souvent oublié : la gestion des droits. En effet, il y a d'une part les droits (comptes applicatifs, identités, etc.) qui correspondent au paramétrage métier, mais il ne faut pas oublier que cela repose sur une infrastructure qui est toujours de la responsabilité du fournisseur ! C'est pour cela qu'AWS propose une version européenne de son cloud, car son IAM (dans la version actuelle globale de son cloud) est basé aux USA (US East - N. Virginia si je ne m'abuse).

En résumé, tout tient finalement dans la formule : "c’est le bordel, mon colonel ".

:fumer:
votre avatar
C'est un sujet que je maitrise assez bien et il m'arrive d'intervenir sur ce sujet.

Pour précision, on préfère aujourd’hui parler d’autonomie numérique stratégique. On parle également d’hébergement ou de cloud de confiance lorsqu’il s’appuie sur un partenaire privé qualifié SecNumCloud (comme Outscale, OVHcloud, Scaleway…), et de cloud souverain lorsqu’il s’agit d’un cloud opéré par l’État, comme Nubo ou Pi.

J'aime bien présenter plusieurs typologies de risques sur l'aspect "souveraineté numérique" :
* le risque financier qui peut être en lien avec les tensions géopolitiques (par exemple via l’instauration de taxes douanières).
* le risque de déclassement numérique et technologique c’est-à-dire une dépendance indirecte à d’autres États du fait d’un retard technologique. Ce n’est pas un risque nouveau (nous sommes déjà dépendants pour des ressources comme le pétrole ou l’uranium), mais il appelle au développement de notre industrie tech ou au renforcement de partenariats internationaux.
* Le risque souverain (dépassant le numérique) -> Le scénario où l'industrie numérique d'un pays est utilisé dans des négociations géopolitiques apparait comme plausible. Exemple de scénario fictif : embargo sur le cloud Microsoft au Danemark dans le cas d'une négociation avec les Etats-Unis pour le contrôle du Groenland. Exemple réel : fin de Schrem II dans la négociation UE - USA pour la défense de l'Ukraine.
* Le risque de perte de la juridiction de ses données, c'est à dire le fait de devenir juridiquement dépendant d'un autre état. C’est sur ce point, à juste titre, que l’article s’est concentré. Sans protection, les citoyens, les entreprises et les organisations publiques devront se plier aux droits américains dès lors qu'ils utilisent un SN américain. Les citoyens et les entreprises ont la liberté de choisir, l'Administration Publique a le devoir de protéger son économie et ses citoyens. Bref ses intérêts.

Il y aurait beaucoup à dire sur ce sujet… et en même temps, rien de simple. La souveraineté numérique ne peut pas être abordée de manière manichéenne : elle se construit dans un équilibre complexe entre ouverture, coopération internationale et maîtrise stratégique. Au moins, des initiatives existent au sein de l'Etat avec des partenaires européens.
votre avatar
Attention Scaleway n'est pas (encore) qualifié SecNumCloud, ils sont en train d'obtenir la certification.
D'ailleurs ils veulent l'obtenir pour toute leur infrastructure, pas juste une gamme "SecNumCloud" tarifée plus chère, ce qui est louable et je crois que ce sont les seuls à essayer de le faire de cette manière.
votre avatar
merci pour la version longue, la version courte, et la version ultra-courte-pour-tiktokeur (en rouge) :fume:
votre avatar
Suite à la clarification du fait que tout stockage réalisé en Europe ou non d'un acteur soumis au droit US est incompatible avec le RGDP et que cela a enfin imprimé dans la tête de nos députés, une question se pose désormais :

Peut-on imposer aux différents détenteurs de nos données personnelles de changer de prestataire si ce dernier n'est manifestement pas compatible (au hasard, AWS au Luxembourg), et si oui, sous quelle menace ?

Quid également des prestations de AWS comme serveur mandataire ? A ce titre Amazon voit passer toutes les données en clair il me semble.
votre avatar
Suite à la clarification du fait que tout stockage réalisé en Europe ou non d'un acteur soumis au droit US est incompatible avec le RGDP
Ça vient d'où cela ?

Vraie question.
votre avatar
Incompatibilité entre cloud act/ FISA et le RGPD. Tout stockage de données personelles soumis à ces lois US viole de fait le RGPD
votre avatar
Quel(s) point(s) précis du RGPD (numéros d'article) est (sont) violé(s) ?

Je rappelle à toute fin utile que tant qu'il n'est pas invalidé (par la CJUE), le Data Privacy Framework autorise le transfert des données personnelles de l'UE aux USA.
votre avatar
C'est écrit dans l'article: il existe un conflit entre le cloud act et le RGPD car on ne peut pas empêcher la collecte des données personelles par un tiers autre que l'autorité locale.
votre avatar
Ce n'est pas si simple que cela.

Il est écrit en version longue :
L’Assemblée nationale, dans son rapport visant à « rétablir la souveraineté de la France et de l’Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale », y va aussi de son analyse : « S’agissant des données personnelles des personnes physiques, le "Cloud Act" semble entrer en conflit direct avec les dispositions du Règlement Général sur la Protection des Données de l’Union européenne ».
Ils disent "semble", ce qui fait que ce n'est pas établi.

Maintenant raisonnons par l'absurde :
Si c'était vrai, aucune société US ne pourrait traiter des données personnelles d'un ressortissant de l'UE et ce n'est pas le cas.
votre avatar
Absurde ? Non, idéal :D

La souveraineté en 10 questions (version courte, version longue)

  • 10 questions et autant réponses, en moins de 10 minutes

  • C’est quoi la souveraineté (numérique) ?

  • Existe-t-il plusieurs « souverainetés » ?

  • Que permettent les lois extraterritoriales ?

  • Les États-Unis sont-ils les seuls avec un « Cloud Act » ?

  • Existe-t-il un conflit entre le Cloud Act et le RGPD européen ?

  • La qualification SecNumCloud permet-elle de se protéger ?

  • Existe-t-il des certifications européennes ?

  • La dépendance technologique est-elle compatible avec la souveraineté ?

  • Chiffrer les données, est-ce suffisant ?

  • Quels sont les liens entre souveraineté et intelligence artificielle ?

Fermer