Aller au contenu | Aller au menu | Aller à la recherche

Les failles du CloudAct

En décembre 2017, Amazon AWS annonçait l’ouverture - promise de longue date - de sa “région de Paris” s’appuyant sur 3 centres de données. En Mars 2018, Microsoft suivait, ouvrant deux nouvelles régions Azure en France, à Paris et à Marseille. Leur objectif, au delà des besoins techniques de latence et de haute-disponibilité (assurés pour la très grande majorité de leurs clients par leurs régions européennes), était d’offrir aux entreprises françaises la possibilité d’héberger leurs données sur le territoire national, nouvelle gouvernance oblige, selon le mot d’ordre de la Souveraineté numérique.

(source)

Cependant, le CloudAct (clarifying lawful overseas use of data act), adopté dans la nuit en mars par le Congrès et le gouvernement américains, organise le cadre de la communication de données personnelles hébergées par les fournisseurs de cloud américains. Selon cette loi, les fournisseurs d’infonuagiques (cloud providers) doivent mettre à disposition du gouvernement américain, sur sa demande, les données de leurs clients même si celles-ci sont hébergées à l’extérieur des États-unis, et ce sans avertir les clients. Nuance, cependant, les cloud-providers disposent de 14 jours pour 1) rejeter la demande si le client n’est pas américain et ne réside pas sur le sol américain, et 2) pour contacter le pays hébergeant les données afin d’apporter la preuve que fournir lesdites données enfreindrait la loi du pays d’accueil de celles-ci. Cela étant, cette “protection” est légère et le Cloudact ressemble à une nouvelle forme d’extraterritorialité, conformément à ce que l’on observe par ailleurs avec le régime des sanctions : l’actualité géopolitique nous l’a rappelé avec le retrait américain de l’accord nucléaire avec l’Iran.

Ainsi, nous serions en présence d’une nouvelle manifestation de cette puissance américaine qui édit son droit et le ferait valoir urbi et orbi.

Ce que peu observent pourtant, c’est que le CloudAct met un frein à la stratégie des cloud-providers américains vers la France (et au-delà, l’Europe), puisqu’ils ne peuvent plus répondre aux exigences de leurs clients en matière de gouvernance et de souveraineté de leurs données. Leurs centres de données, même s’ils sont établis en France, ne garantissent plus que ces données resteront en France quoiqu’il advienne. Et les grands comptes français, déjà frileuses à l’idée du cloud, vont être d’autant plus difficiles à convaincre. Les annonces rassurantes d’AWS ou d’Azure ne tarderont probablement pas, assurant respecter la législation du pays d’accueil et prenant à cœur la confidentialité des données de leurs clients. Cela risque d’être insuffisant pour convaincre leurs clients. Aujourd’hui en tout cas, les collaborateurs des grands fournisseurs américains ne savent pas encore quoi très bien répondre et devront probablement botter en touche en attendant les premières applications du texte.

Cependant, le CloudAct est un règlement qui n’a pas encore été appliqué. A l’inverse du RGDP européen, qui a été pensé de longue date et qui a accompagné les entreprises dans la transformation qu’il nécessite en leur accordant un délai de préparation, il faudra attendre les premières jurisprudences pour savoir comment le règlement américain sera appliqué. Ses failles potentielles (notamment la nécessité de respecter la loi du pays hébergeant les données) peuvent amener à rendre le CloudAct impuissant et inutilisable : il est en tout cas parfaitement dissuasif et contraire probablement à ce que recherchaient les autorités de Washington. Il est toutefois trop tôt pour le dire, et il est peu probable que les sociétés françaises veuillent tenter le pari, surtout en ces temps de sanction transatlantique.

Il y a pourtant un gagnant dans toute cette affaire : OVH. Le fournisseur français s’est en effet efforcé de n’installer aucun de ses centres de données sur le territoire américain, allant jusqu’à créer une entité différente (OVH US) pour attaquer le marché états-unien. “C’est par le biais de cette entité et uniquement qu’il sera possible de commander un service OVH hébergé aux États-Unis. Ce cloisonnement des données est clair et permanent” affirme l’hébergeur sur son site. On peut retrouver une stratégie similaire chez Microsoft qui, avec son offre Office 365 “acloud”, offrent toutes les fonctionnalités d’Office 365, mais sans OneDrive, le cloud de Microsoft.

Aujourd’hui, OVH est le seul fournisseur cloud à être hors d’atteinte du CloudAct, ce qui offre à la France d’héberger un des “Paradis fiscaux de la données”, un Data Paradise, hors de portée des États-Unis. A terme, on pourrait même voir les acteurs européens s’y déplacer, préférant rester sous le giron protecteur de l’UE plutôt que d’être soumis à une justice américaine plus instable. La volonté d’indépendance des groupes français par rapport aux États-Unis est une réalité que les experts français du cloud rencontrent depuis plusieurs années. Alors que l’adoption du cloud s’accélère, c’est souvent des solutions hybrides que les groupes choisissent. Et si OVH leur offre les avantages de souplesse et de haute-disponibilités des fournisseurs américains tout en leur assurant l’indépendance d’hébergement de leurs données, nul doute qu’ils préféreront ce fournisseur.

Quant à OVH, si Octave Klaba a été visionnaire, il ne lui reste qu’à s’assurer d’offrir le même potentiel d’agilité sur les services associés. Le DevOps n’attend pas !

Paul-Antoine Kempf

NB : Egea est heureux d'accueillir ce billet d'actualité, par un bon expert du sujet (K junior!) : merci à lui. OK

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

La discussion continue ailleurs

URL de rétrolien : http://www.egeablog.net/index.php?trackback/2187

Fil des commentaires de ce billet