Le gouvernement n’exclut pas de contraindre les entreprises françaises à recourir à des services de cloud échappant aux lois extra-territoriales pour leurs données sensibles, a annoncé lundi le ministre de l’Economie et des Finances, Bruno Le Maire.
«Je souhaite que les entreprises s’engagent davantage dans la sécurisation de leurs données», en choisissant des prestataires immunisés contre les lois extra-territoriales, a déclaré M. Le Maire, en inaugurant un nouveau centre de données du groupe français OVHCloud à Strasbourg. Au départ, cette sécurisation sera faite sur une «base volontaire», a expliqué le ministre. Mais, «je le dis avec beaucoup de gravité, si nos entreprises qui ont des données extraordinairement sensibles ne se saisissaient pas» des offres de cloud sécurisées, «je ne peux pas exclure qu’à un moment ou à un autre, nous en venions à une norme obligatoire, pour protéger notre souveraineté industrielle et protéger notre indépendance», a-t-il déclaré. Le marché des services de cloud (le stockage de données sur des serveurs externes à l’entreprise qui les récupère, NDLR) est dominé par les grands acteurs américains comme AWS (Amazon), Microsoft ou Google. Le gouvernement veut pousser les entreprises et les administrations à basculer sur le cloud mais il s’inquiète des lois extra-territoriales des Etats-Unis, qui permettent aux autorités américaines de demander à leurs entreprises de cloud de fournir les données de leurs clients, quel que soit l’endroit où elles se trouvent sur la planète. La France a défini une norme de sécurité, dite SecNumCloud, qui, outre des critères techniques de sécurité, exige que l’opérateur du service de cloud soit européen pour échapper à ces lois extra-territoriales.
Pour l’instant, très peu de services ou d’entreprises ont réussi à décrocher ce label exigeant – le gouvernement recense 7 services de 5 entreprises françaises différentes, dont OVHCloud. M. Le Maire a précisé que le gouvernement indiquerait «dans les semaines qui viennent, par voie de circulaires», ce qu’il entendait par «données sensibles». La question se pose en particulier pour les données industrielles, qui ne sont pas protégées par la législation comme le sont les données personnelles. «Je ne vois pas au nom de quoi ou de qui nous accepterions que la justice américaine se saisisse de données essentielles à notre souveraineté ou à notre indépendance», a souligné le ministre.
