Thomas Fauré a animé un atelier lors du salon Digital Workplace 2022 en compagnie de Philippe Latombe, député de la 1ère circonscription de la Vendée. Il fait partie d’une mission parlementaire sur la souveraineté numérique française et européenne. Retour sur cet échange constructif.
Comment avez-vous amené la question de souveraineté numérique à l’Assemblée nationale ?
C’était pendant la pandémie. Avec plusieurs de mes collègues députés, nous avons fait le constat que pour continuer à travailler, nous devions passer par des applications étrangères du types Zoom ou Teams. En conséquence de quoi, le président de l’Assemblée nationale a décidé de constituer une équipe transpartisane pour travailler sur la question de notre souveraineté numérique.
Comment évaluez-vous les transferts de données USA/UE ?
Nous pouvons nous appuyer sur deux décisions importantes sur ce sujet clé. La première est un arrêt rendu par la Cour de justice de l’Union européenne (CJUE) en 2020. Il invalide le Privacy Shield, un accord signé entre Bruxelles et Washington pour permettre aux entreprises et organisations américaines de se conformer à la directive européenne sur la protection des données. La deuxième est une décision prise en 2022 par la CNIL française qui a été reprise par tous ses pairs des Etats membres de l’Union européenne. Elle considère que Google Analytics ne respecte pas le Règlement sur la protection des données (RGPD), en conséquence de quoi elle a mis Google en demeure de ne plus utiliser son outil sous peine de sanctions. Cette décision est importante parce qu’elle montre que la CNIL applique la décision de la CJUE précédente. Nous pouvons imaginer que d’autres autorités, vont dans les mois à venir, sortir des décisions dans le même sens. Cela aura un impact important pour toutes les entreprises, notamment, qu’elles soient vendeuses ou acheteuses de services dans le cloud puisqu’elles devront se mettre en conformité avec ces décisions.
📖 Retrouvez la dernière tribune de Thomas Fauré à propos des accords autorisant le transfert des données personnelles entre l’Union Européenne et les États-Unis.
Ces décisions ont-elles un réel impact sur la protection des données ?
Sur le plan légal, les décisions de la CJUE sont une voie efficace puisqu’elles s’expliquent à tous les Etats membres. Néanmoins, elles ne sont pas suffisantes car se pose la question de leur application effective. Par exemple, l’administration française utilise des services de cloud américains, d’ailleurs, il faut le dire, souvent emmenée dans ce choix par des cabinets de conseil numériques. La question, qui est du ressort de la volonté politique, se pose alors de savoir si l’administration veut ou non appliquer le RGPD et la décision de la CJUE.
Or, dans les faits, nous voyons que ce n’est pas le cas. Par exemple, la SNCF, recapitalisée récemment à hauteur de 4 milliards par l’Etat français, a choisi AWS (Amazon) comme hébergeur de tous ses serveurs. La SNCF illustre ainsi le fait que très souvent, l’argent du plan de relance européen voté pendant la pandémie sert à acheter des services numériques américains.
Comment les marchés publics peuvent garantir une protection des données ?
En France, l’Autorité de la concurrence s’est récemment autosaisie de la question au sujet du cloud. C’est une première dans son histoire, ce qui montre que quelque chose ne va pas. Au niveau de la Commission européenne, des plaintes ont été déposées, notamment de la part d’OVH. A la suite de quoi, celle-ci a ouvert des investigations. Nous nous trouvons dans la situation du monde bancaire il y a trente ans quand en ouvrant un compte, la banque vous obligez à lui acheter tout un tas de services dont souvent, vous n’aviez nullement besoin. Au fil du temps, la législation européenne a interdit ce type de ventes. C’est vers ça que la Commission européenne veut aller.
Concernant les appels d’offre, il va falloir clarifier la position des filiales des entreprises américaines en Europe. En France, il faudrait que nous puissions découper en lots les appels d’offre important, comme cela se fait en Allemagne. Car, qui peut répondre à un marché de plusieurs centaines de millions en un lot, si ce n’est toujours les mêmes, c’est-à-dire les GAFAM ? Il faut également avoir le courage politique d’inclure dans ces marchés le RGPD et le respect de la décision de la CJUE sur la protection des données. Signe positif, les collectivités territoriales le font de plus en plus. La bonne nouvelle est que la Commission européenne a commencé à travailler sur un accord de réciprocité des marchés public avec les Etats étrangers. C’est un signe positif envoyé aux acteurs du marchés européens, même s’il va falloir du temps et beaucoup de volonté politique pour la mettre en œuvre.
Le Cloud Act est-il suffisant pour stocker en sécurité nos données ?
Une décision récente de la Cour suprême américaine consacre le fait que le FBI a le droit de disposer de toutes les données présentes sur les serveurs américains. Un RGPD américain s’éloigne à nouveau, et pour longtemps. On reste donc dans le cadre du Cloud Act qui permet aux autorités américaines d’obtenir ce qu’elles veulent auprès des hébergeurs américains.
Pour le secteur public, il va falloir se poser la question du cloud souverain pour de nombreux cas, au sujet de notre défense nationale notamment. En aucun cas, par exemple, nos codes nucléaires ne peuvent être hébergés aux Etats-Unis. Pour le privé, la question de la souveraineté se pose différemment. Les dirigeants doivent s’interroger sur la confidentialité des informations qu’ils ont en main, comme leurs fichiers clients ou leurs plans stratégiques. Ensuite, en fonction de la réponse qu’ils apporteront, ils choisiront leurs fournisseurs de cloud, étranger ou français. Dans tous les cas, ils sont les maîtres mais aussi les responsables de leurs actes.
Que proposez-vous pour jouir d’une souveraineté numérique ?
La première voie est d’appliquer la réglementation européenne, c’est-à-dire d’appliquer le RGPD. La deuxième voie est la mise en œuvre le plus rapidement possible du Digital Market Acte et du Digital Service Act. La troisième voie est d’investir dans les briques technologiques pour lesquelles nous dépendons des Américains, même si nous aurons du retard. Par exemple, c’est ce que nous avons réussi à faire avec Galileo face au GPS. La brique cloud en est une, comme celle concernant la cybersécurité. La quatrième voie concerne la formation des jeunes dans les sciences dures, notamment du numérique, pour former les talents futurs. Ainsi, ces quatre voies sont autant de facteurs clés de succès pour retrouver notre souveraineté numérique.
0 commentaires