Cloud computing : évolution de la réglementation

Les organisations de toute taille recourent aux prestations informatiques en libre-service pour leur souplesse et l’accès à des services à la demande. Le cloud computing, dénommé le plus souvent « cloud », est un marché dont la croissance est forte.

Le marché français des solutions de cloud et des services associés est estimé [1] à plus de 11 milliards d’euros en 2019, représentant plus de 19 % du marché des logiciels et services IT en France. Si OVHCloud, entreprise française, figure dans le top 10 du cloud consommé en Europe, les 5 majeurs sont d’origine américaine. Sur le plan international, en 2020, les acteurs du secteur ont vu croître leur chiffre d’affaires [2] de 17 % en 2020 pour atteindre 266,4 milliards de dollars, contre 227,8 milliards en 2018.

Au-delà de ce développement, quelles sont les tendances de l’informatique en nuage ?

Êtes-vous multicloud ?

Le développement des usages montre que les organisations ne mettent plus tous leurs œufs dans le même panier.

La répartition entre cloud public [3] et privé [4] évolue selon les secteurs. Le maintien d’infrastructures internes, dites « on premise », représente une option. Cependant de nombreux éditeurs de logiciels migrent leurs offres vers le cloud, et les entreprises voient dans ce cas leur choix se restreindre. Certaines d’entre elles se détournent d’une offre cloud public exclusive, afin de rapatrier une partie de leurs data dans le cloud privé. D’autre part, elles abandonnent leur cloud on premise au profit d’un service de cloud hybride ou privé hébergé (hosted private cloud) permettant de rallier le meilleur des deux mondes : une plus grande maîtrise des coûts et un niveau de sécurité plus élevé, le tout avec l’élasticité et la scalabilité du cloud.

Il est à noter également, dans l’écosystème du cloud, que le nombre croissant d’outils et de plates-formes d’automatisation jouent un rôle clé dans l’adoption accélérée de l’Open Source.

Pour articuler les différentes architectures, les infrastructures de cloud hybride permettent d’orchestrer les différents containers. L’avantage majeur de la gestion du multicloud, c’est-à-dire ce recours à différentes offres, est de maîtriser les coûts et les risques. Cependant, cette répartition nécessite une gestion rigoureuse et le recours à des méthodologies spécifiques dont les hyperscalers [5] .

La cybersécurité en nuage

Comme les organisations ont besoin d’un accès constant et sécurisé à leurs ressources informatiques, elles doivent s’adapter à l’évolution de la menace et aux innovations numériques.

Pour traiter ce sujet de la sécurité dans le cloud, le CLUSIF a publié en juillet 2020 un panorama des référentiels [6] , c’est-à-dire des documents en langue française ou anglaise, potentiellement utiles.

Au-delà de la politique de sécurité des entreprises et des outils traditionnels, les acteurs de la cybersécurité développent avec les prestataires des solutions intégrées au cloud. Aujourd’hui, les offres cloud mettent en avant le concept de SASE pour Security Access Service Edge. La sécurité des données, en transit et en stockage, est proposée dans cette offre ainsi que la granularité des autorisations d’accès.

Un cloud européen ?

Les solutions organisationnelles existent également pour renforcer la technologie du cloud européen. Le projet GAIA-X a été lancé lors du sommet européen de novembre 2020, dans le cadre d’une initiative franco-allemande. Il propose aux entreprises, aux administrations et aux acteurs de l'écosystème de participer à l'élaboration d'une infrastructure cloud de données européenne standardisée et sécurisée et de co-concevoir des services numériques basés sur la data. Grâce à ce projet, que plus de 200 organisations ont déjà rejoint, les entreprises pourront bénéficier, de la part des fournisseurs de cloud parties prenantes de l'initiative, d'une offre leur garantissant souveraineté, disponibilité, interopérabilité, portabilité, sécurité des données et transparence.

Riposte affichée aux grands acteurs américains du cloud, GAIA-X est maintenant une association internationale, créée à Bruxelles en février 2021 par ses 22 organisations fondatrices. Chaque État membre de l'Union européenne intéressé a été invité à organiser sur son territoire un hub permettant de fédérer les différentes parties prenantes.

Les évolutions juridiques

La sécurité de l’information dans le cloud est aussi bien une nécessité qu’une obligation. Nécessité car les organisations doivent protéger leurs données, leurs clients et la continuité d’activité, face au développement des cybermenaces. Obligation pour que les organisations se conforment à certains référentiels de cybersécurité, qu’ils soient juridiques et techniques. La volonté des régulateurs français et européens est de renforcer la cybersécurité, pour défendre l’économie numérique de manière systémique et assurer la protection des droits fondamentaux.

L’évolution de la régulation tend à renforcer la responsabilité des acteurs. L’ensemble des textes français et européens qui obligent la mise en œuvre de principes de sécurité s’appliquent à toute entreprise qui externalise tout ou partie de son système d’information dans le cloud. Et les prestataires sont également soumis, directement ou indirectement, à un ensemble d’obligations de sécurité, quelle que soit la nature du contrat de service proposé.

Le RGPD a renforcé l’obligation de sécurité et de confidentialité des données personnelles, déjà présente dans les textes fondateurs de protection des données, dont la loi française Informatique et Libertés de 1978. Le rôle des acteurs, entre responsable et sous-traitant, est clarifié. Une part importante des sanctions imposée par la CNIL et ses homologues, portent sur l’insuffisance de la sécurité des données.

Comme la cybersécurité est également un enjeu de souveraineté, la directive SRI (ou NIS [7] ) a instauré des règles communes en matière de cybersécurité des prestataires de services numériques. La France a construit un dispositif de cybersécurité de ses infrastructures d’importance vitale, depuis la Loi de programmation militaire de 2013, qui obligent les acteurs reconnus comme opérateurs d’importance vitale à mettre en œuvre des systèmes de détection des événements. La loi n° 2018-607 relative à la programmation militaire pour les années 2019-2025 a développé ces obligations. Elle comporte, dans son article 34, des dispositions relatives au renforcement des capacités de détection des attaques informatiques. Et son décret en a précisé les modalités de mise en application, avec une entrée en vigueur au 1er janvier 2019.

D’autres référentiels ont une application sectorielle, en matière bancaire notamment.

Quid du secteur bancaire ?

Le secteur bancaire, lorsqu’il externalise dans le cloud, reste soumis à différentes obligations de sécurisation. Celles-ci ne sont pas nouvelles car depuis les années 1990, et son évolution en novembre 2014 dans le cadre d’un arrêté, la mise en œuvre des dispositifs d’évaluation des risques et de contrôle des systèmes d’information est intégrée dans le Code monétaire et financier [8] . L’externalisation nécessite le respect d’obligations spécifiques, en particulier s’il s’agit de prestations considérées comme essentielles.

Par ailleurs, le Règlement général de l’AMF intègre dans la politique de gestion des risques, la sécurité des moyens informatiques et procède à des contrôles sur ce point.

Depuis 2018, les régulateurs financiers ACPR [9] et AMF [10] ont renforcé leur coopération avec l’ANSSI [11] dans le cadre d’accords. Cette coopération comprend un échange régulier d’informations entre les organisations concernant les incidents affectant la sécurité des systèmes d’information, ainsi qu’une collaboration dans la gestion des crises éventuelles et de façon plus générale en matière de sécurité du numérique.

Au plan européen, l'importance de l'externalisation dans le cloud est telle que l’EBA a formulé ses Recommandations sur ce sujet en décembre 2017. Ces différentes recommandations sont applicables aux établissements assujettis depuis le 1er juillet 2018, afin de sécuriser cette forme d’externalisation, et comprennent différents éléments :

– des orientations en matière de cybersécurité, notamment par la mise en œuvre de contrôles adéquats et l'utilisation de technologies de chiffrement ;

– la garantie contractuelle du droit d’audit des établissements et des autorités compétentes auprès des fournisseurs de services de cloud ;

– l’atténuation des risques associés à l'externalisation « en chaîne », lorsque le fournisseur de services cloud sous-traite des éléments du service à d'autres fournisseurs ;

– l’organisation de plans d'urgence et de stratégies de réversibilité.

Ces exigences ont été encore renforcées par les Orientations de l’EBA de février 2019 [12] . Celles-ci ont fait l’objet d’une notice de conformité de l’ACPR en juillet 2019 et sont applicables depuis le 30 septembre 2019 aux contrats nouvellement conclus. Les contrats existants doivent être mis à jour avant le 30 septembre 2021. Selon ces Orientations, l’analyse préalable à toute décision d’externalisation doit être renforcée pour intégrer la dimension du risque opérationnel et du risque de non-conformité. De même, les conditions de sorties et de réversibilité doivent être formalisées.

Quant à la contractualisation, les clauses du contrat d’outsourcing doivent être renforcées et complétées, comme nous le rappellerons ci-après.

Par ailleurs, pour organiser la résilience des infrastructures de marché, les établissements financiers sont également soumis aux référentiels de la BCE. À ce titre, le Cyber Resilience Oversight Expectations (CROE) fournit des recommandations visant à sécuriser les infrastructures de marché. Plus largement, le dispositif TIBER (Threat Intelligence-Based Ethical Red Teaming [13] ) fournit le cadre de l’organisation d’une réponse coordonnées à la simulation d’une attaque d’une infrastructure de place.

Comment encadrer le transfert de données ?

Le transfert de données dans une infrastructure en dehors de l’espace européen, ou soumise à l’application d’un droit non-européen, soulève la question de la conformité au RGPD. Depuis que la Cour de Justice de l’Union européenne a invalidé le Privacy Shield [14] , en juillet 2020, les conséquences sont majeures pour la pratique du cloud. Jusque-là, près de 5 400 entreprises américaines, dont les opérateurs de cloud, pouvaient garantir par une simple adhésion au Privacy Shield la protection légale des données personnelles des clients européens. Dorénavant, comment s’assurer que les prestations de transfert dans le cloud sont en cohérence avec le RGPD ? Le mécanisme de Clauses Contractuelles Type, auxquelles différentes entreprises se sont reportées depuis, est une solution qui reste partielle. En effet, la motivation de l’arrêt européen du 16 juillet est l’insuffisante protection des données, du fait de la réglementation américaine prévoyant la transmission de données à différentes agences gouvernementales.

Aujourd’hui, les entreprises européennes s’interrogent sur les moyens d’assurer la conformité de ces transferts et les risques de non-conformité au RGPD qu’elles prennent. Pour y répondre, le Comité européen de Protection des Données (CEPD) a publié, en novembre 2020, une Recommandation [15] sur les mesures permettant d’assurer cette conformité. Le CEPD indique une méthodologie de vérification de l’adéquation des transferts hors UE et des exemples de mesures.

Selon cette Recommandation, la méthodologie de vérification comprend six phases : l’identification des données, la vérification des outils de transfert, l’évaluation de la réglementation du pays destinataire, l’adoption de mesures complémentaires, le respect de procédures formelles et le réexamen périodique du niveau de protection.

Quant aux mesures complémentaires de protection, une annexe de la Recommandation, présente des exemples de mesures techniques, contractuelles et organisationnelles. Parmi les mesures techniques, le chiffrement figure en bonne place. Le CEPD énonce ses exigences liées à l’usage de ce chiffrement, dont notamment son mode renforcé, sa robustesse et l’attestation des spécifications du logiciel. Par ailleurs, les mesures contractuelles sont illustrées par des exemples d’obligations pour l’importateur de données, comme le recours à des mesures techniques spécifiques ou la transparence des règles légales applicables. Enfin, les mesures organisationnelles peuvent prendre la forme de procédures de minimisation des données, d’usage de certifications et normes, etc.

Dans l’attente de la formalisation d’un nouvel accord entre les États-Unis et l’Union européenne, la clarification apportée par la recommandation du CEPD reste en phase avec le haut niveau d’exigence de protection des données.

Souveraineté numérique

La protection des données personnelles joue parfois le rôle de révélateur d’une problématique plus large de protection du patrimoine informationnel et d’intelligence économique. Le recours au cloud soulève la question de la souveraineté des données. Comme la grande majorité de fournisseurs de cloud sont américains, la compétence des autorités américaines peut être déduite de la seule utilisation des services.

L’hébergement de données dans un data center situé hors de l’espace européen, ou sur le territoire européen mais chez un acteur du cloud non européen, peut entraîner l’application de règles extraterritoriales. Comme les données hébergées dans le cloud peuvent être facilement transférées d’un territoire à un autre, en raison de choix techniques du prestataire, cette localisation aura des impacts importants. Notamment, l’accès aux données par des autorités judiciaires et administratives peut représenter un risque du fait du caractère intrusif et méconnu de ces procédures. Prenons l’exemple des procédures judiciaires de pre-trial discovery américaines [16] , qui nécessitent qu’une entreprise communique à ses frais à la partie adverse tous les éléments de preuve dont elle dispose pour l’instruction d’une affaire.

Depuis l’application du Cloud Act (Clarifying Lawful overseas Use of Data Act), le 26 mars 2018, les autorités publiques américaines ont la possibilité de recueillir dans le cadre d'investigations judiciaires, les pièces, en s'adressant non pas directement aux entreprises françaises, mais en passant par les services numériques qui hébergent leurs données.

Ce Cloud Act, qui ne s’applique pas restrictivement au cloud, est un dispositif permettant à l’administration américaine de contraindre les fournisseurs de services basés aux États-Unis, par mandat ou assignation, à fournir les données en transit ou stockées sur des serveurs situés dans des pays étrangers. Dans les enquêtes relatives à une infraction grave, existe un droit de communication au bénéfice des autorités américaines, des données recherchées, sans considération du lieu, pour toutes les sociétés américaines et celles qu’elles contrôlent.

Les conventions internationales applicables jusque-là aux procédures judiciaires, ont été mises à mal par le Cloud Act, à savoir la convention de La Haye du 18 mars 1970 sur l’obtention de la preuve à l’étranger et le Règlement du Conseil du 28 mai 2001 relatif à la coopération entre les juridictions des États membres dans le domaine de l’obtention de preuves en matière civile et commerciale.

Selon le rapport parlementaire de juin 2019 sur la souveraineté de la France et de l’Europe [17] , dit Rapport Gauvain, nous pouvons assister à une instrumentalisation des procédures extrajudiciaires par les pouvoirs publics américains. Sur les 24 plus grosses condamnations du ministère de la Justice américain (Department of Justice), dans des affaires de corruption, 14 concernent des entreprises européennes.

Mais antérieurement au Cloud Act, différentes réglementations à portée extraterritoriales ont proliféré depuis la fin des années 1990. L’édiction de ces normes, essentiellement d’origine américaine, existent dans différents domaines, parmi lesquels la fiscalité [18] , la lutte contre le blanchiment d’argent et financement du terrorisme [19] ou la régulation financière et comptable [20] .

Ces lois à effet extraterritorial élargissent la compétence normative des États-Unis, en permettant aux autorités américaines de poursuivre aux États-Unis des personnes physiques ou morales étrangères suspectées d’avoir commis une infraction, même si les faits ont eu lieu en dehors du territoire américain.

La recherche de solutions juridiques qui peuvent être apportées dans le droit national, serait selon le rapport Gauvain, une éventuelle révision du Règlement 2271/96 du 22 novembre 1996 portant protection contre les effets de l’application extraterritoriale d’une législation adoptée dans un pays tiers.

Les solutions contractuelles

Pour sécuriser le service de cloud, en fonction du périmètre et de l’analyse de risque, différentes solutions existent et la contractualisation revêt une grande importance. Entre l’entreprise utilisatrice et l’opérateur de cloud, le contrat devra naturellement intégrer les exigences réglementaires applicables à l’entreprise.

Quant à la construction contractuelle, les points sur lesquels il faudra être vigilant porteront notamment sur le droit applicable, la localisation des données, leur sécurisation et confidentialité, prévoyant notamment l’organisation d’audits de sécurité. Les conditions d’information en cas de faille de sécurité complèteront ce thème.

Lorsque le contrat porte sur des prestations essentielles ou PSEE, l’arrêté de 2014 précité exige la formalisation de certaines dispositions spécifiques : le respect des niveaux de qualité, la mise en œuvre de dispositifs de secours, l’accord de l’établissement avant de modifier le PSEE, la mise en œuvre de contrôles et audits, et un reporting en cas de graves difficultés.

Quand le contrat est soumis aux Orientations de l’ABE du 25 février 2019 précitées, des dispositions contractuelles supplémentaires sont rendues obligatoires. Il s’agit notamment de l’assurance, de l’externalisation de second rang, de l’accessibilité et de la sécurité des données et de la formalisation des pouvoirs de l’autorité de résolution compétente.

Dans tous les cas, le respect des exigences de qualité du service sera encadré par des SLA (Service Level Agreement) permettant de suivre le niveau de prestation et de prévoir les modalités de contrôle. Le recours à la sous-traitance par le prestataire devra être formalisée, ainsi que les contours de la responsabilité des parties. Dans un esprit de prévention des risques, seront également importantes les clauses relatives à l’évolution des conditions contractuelles et de la réglementation. Afin d’envisager la fin des prestations, les conditions de réversibilité, devront être détaillées, permettant de rapatrier les données ou de les transférer à d’autres prestataires.

Le CEPD Contrôleur a publié des recommandations, dans le cadre d’un cadre d’un contrat qui liait Microsoft et les institutions européennes, en juillet 2020 [21] . Après avoir réalisé une enquête, le Comité a rendu publiques ses conclusions et recommandations portant sur les conditions contractuelles. Les critiques majeures portaient sur la possibilité pour Microsoft de modifier unilatéralement les clauses, la portée limitée des obligations du prestataire et l’absence de finalité du traitement de données personnelles.

Les actions du législateur européen

La Commission européenne souhaite réguler le marché du numérique et les agissements des géants du numérique associés avec ses projets de règlements DMA (Digital Markets Act) et DSA (Digital Services Act), présentés le 15 décembre 2020.

Le texte DMA vise en particulier les « plateformes structurantes » du monde de la publicité digitale, des réseaux sociaux, des moteurs de recherche, des systèmes d’exploitation ou encore des services online, telles que Facebook, Apple, Google ou encore Amazon… Avec ce règlement, les géants de la tech ne pourront pas favoriser leurs propres services ni exploiter les données de clients professionnels pour leur faire concurrence plus facilement par la suite. Le DMA est en effet construit autour de règles de concurrence, pour permettre aux autorités de la concurrence d’agir en amont et rapidement sur les « plateformes structurantes ». Alors qu’aujourd’hui, celles-ci n’agissent qu’en aval sur plainte ou enquête et sur un tempo lent. Outre des sanctions financières, d’autres iront jusqu’au démantèlement des organisations qui ne respecteraient pas ces règles de concurrence.

Le DSA traite des contenus. Le règlement a pour ambition d’en faciliter le contrôle et d’éliminer plus facilement des contenus illicites en unifiant les procédures et les sanctions.

Ces deux textes sont loin d'être adoptés. Les négociations devraient prendre entre un et trois ans, et les géants du numérique ont déjà engagé une intense campagne de lobbying.

Et le cloud de demain ?

Des phénomènes récents, tels que le réseau 5G ou l’Internet des Objets, auront un impact sur le développement du cloud. Le volume et la vitesse des données augmentant, leur transmission vers un cloud s’accroît également. Dans son étude sur la cybersécurité des produits de février 2021 [22] , l’OCDE consacre un chapitre à la sécurité du cloud.

Pour accompagner ce développement de cette gestion périphérique, dite edge, des technologies se développent pour que les entreprises transportent ou stockent uniquement les données dont elles ont besoin. Avec un traitement et une analyse en temps réel, des mini-centres de données distribués complèteront les services cloud.

Cette explosion du périmètre du réseau se produit en même temps qu’un autre changement massif : le développement de l’intelligence artificielle. Comme le cloud, l'IA est l’un des piliers de l'innovation numérique. Les capacités cognitives et de machine learning de l’IA reposent sur d'énormes volumes de données, qui à leur tour deviennent évolutives et instantanément accessibles dans le cloud.

Quant au contexte international du cloud, la forte croissance [23] du marché chinois est à observer, stimulée par les initiatives d’intelligence artificielle et soutenue par la construction de nouveaux datacenters. Demain avec les États-Unis, sachant que les observateurs politiques annoncent une politique davantage orientée vers le multilatéralisme, comment la confrontation entre les intérêts américains et européens évoluera-t-elle dans le domaine numérique ?

La stratégie nationale pour le cloud présentée le 17 mai par le Gouvernement pourrait faire bouger les lignes. Aux côtés de la transformation numérique du secteur public et d’une politique industrielle ambitieuse, cette stratégie comprend un label « cloud de confiance ». Ce label ne pourra être accordé qu’aux entreprises européennes et possédées par des Européens, disposant de serveurs opérés en France et d’un haut niveau de cybersécurité. Et afin que les utilisateurs puissent avoir accès aux services des meilleurs opérateurs mondiaux, à ce jour non européens, le label pourra être attribué à des entreprises proposant ces services « sous licence » de ces opérateurs. Une manière de retrouver une indépendance par rapport au caractère extra-territorial des lois américaines ?