La souveraineté du cloud à l’autopsie

Partager
La souveraineté du cloud à l’autopsie
70 % des données européennes résident aujourd’hui dans des environnements cloud basés aux États-Unis

70 % des données européennes résident aujourd’hui dans des environnements cloud basés aux États-Unis. Une situation qui a poussé des experts à évaluer réellement le niveau juridique de souveraineté du cloud en Belgique. Explications avec le partenaire IT Inetum et le cabinet d’avocats Stibbe.

 Sans conteste, les technologies cloud offrent aux organisations une flexibilité et une capacité de mise à l’échelle sans commune mesure. Sauf qu’en pratique, la plupart des grands fournisseurs de cloud sont américains ou chinois. Il n’en fallait pas plus pour que, dans le climat géopolitique chaotique actuel, les organisations se décident (enfin) à accorder une plus grande attention à la manière dont leurs données sensibles sont stockées et gérées, y compris leur localisation. 

 C’est dans ce contexte -désormais très à la mode- que le fournisseur de services numériques Inetum a mandaté le cabinet d'avocats bruxellois Stibbe pour réaliser une évaluation juridique indépendante du niveau de souveraineté du cloud. L’enjeu de cette collaboration étant d'apporter davantage de clarté dans un paysage cloud où les questions de souveraineté, conformité ou contrôle numérique deviennent plus complexes à appréhender pour les organisations.

 « Selon le Centre for European Policy Studies, environ 70 % des données européennes résident aujourd’hui dans des environnements cloud basés aux États-Unis ».

La souveraineté cloud, un défi stratégique majeur pour les entreprises 

 Même lorsque les données sont stockées en Europe, il importe aux organisations de tenir compte de facteurs tels que la législation étrangère, les demandes et les injonctions d'accès aux données, les dépendances opérationnelles et techniques, ainsi que les exigences en matière de conformité. 

 Autant dire que le sujet de la « souveraineté cloud » s’est imposé ces derniers temps comme un sujet majeur pour les entreprises, les institutions publiques et les secteurs réglementés dans toute l’Europe. Il représente même un enjeu stratégique de taille à en croire la dernière édition du classement des 20 priorités Beltug Priorities Compass, où le virage vers des alternatives cloud européennes est entré directement dans le top 10 des priorités des CIO belges, tandis que la souveraineté numérique et la gestion des risques géopolitiques se situe à la 15e place !

 Un cadre d’évaluation baptisé rCloud

 Malgré l’enjeu de taille que représente désormais la question plus globale de la souveraineté technologique, il n’existe toujours pas de définition juridique claire de ce que signifie réellement un « cloud souverain ». Cette complexité a donc conduit la société Inetum à se tourner vers le cabinet Stibbe pour évaluer sa plateforme rCloud et l’aider à déterminer ses atouts et ses éléments différenciants en matière de souveraineté. 

En combinant un cas d’usage concret à une méthodologie plus large, la collaboration entre les experts technologiques et juridiques espère apporter plus de clarté au débat, tant sur le plan juridique qu’opérationnel.

 La clarté juridique pour éclairer le concept de souveraineté du cloud

 Le cadre d’évaluation mis en place par les experts combine des critères juridiques, opérationnels et techniques afin d’aider les organisations à mieux comprendre et évaluer la souveraineté cloud. Plutôt que de traiter la souveraineté comme un sujet purement technique, ce cadre analyse la manière dont les environnements cloud sont structurés, gouvernés, exploités et protégés dans la pratique.

 Le processus tient compte du droit européen et belge, notamment des législations relatives à la protection des données (dont le RGPD), de la jurisprudence relative aux transferts internationaux, des lois en matière de cybersécurité et du Data Act, ainsi que des législations étrangères à portée extraterritoriale, telles que le U.S. CLOUD Act, le FISA, etc. 

Il prend également en considération des éléments tels que la localisation des données, les structures de gouvernance, le contrôle opérationnel, l’accès par des sous-traitants, les mesures de sécurité, et l’exposition potentielle à des législations étrangères ou à des demandes d’accès externes. 

 « La souveraineté cloud n’est ni un concept figé ni un concept purement technique. C’est une question juridique, opérationnelle et stratégique qui exige nuance et contexte. Notre rôle dans cette collaboration est d’aider à clarifier ce que signifie la souveraineté dans le cadre juridique actuel, et de donner aux organisations une compréhension plus claire des risques et des responsabilités liés à leurs services cloud », explique Erik Valgaeren, partner chez Stibbe. 

 Et à Thomas Breuer, General Manager chez Inetum Belgique de conclure : « les entreprises ont besoin de clarté quant à la manière dont leurs environnements cloud sont structurés et gérés, en particulier dans les secteurs fortement réglementés. Mais la souveraineté cloud n’est pas une question de tout ou rien. Les organisations ont des profils de risque, des besoins opérationnels et des exigences de conformité différents. Avec cette évaluation indépendante menée par Stibbe et avec rCloud, nous proposons une approche de cloud souverain alignée sur les attentes européennes pour offrir aux clients une vision plus transparente du concept de souveraineté ».

 

Lire la suite