Blog d’inspiration – souveraineté du cloud

La souveraineté du cloud est un sujet brûlant. Tout le monde en parle, souvent avec une interprétation différente. À l’occasion des 15 ans de rCloud, nous avons jugé que c’était le moment idéal pour apporter de la clarté. C’est pourquoi nous avons demandé à l’expert juridique Erik Valgaeren de bien positionner les différents modèles cloud dans le contexte de la souveraineté.

Avocat spécialisé en droit des technologies de l’information, Erik Valgaeren sait combien il est crucial d’associer tôt son équipe juridique lors de la définition d’une stratégie cloud. « Une fois le contrat signé avec un fournisseur cloud externe, il est généralement trop tard pour réaliser les ajustements nécessaires en matière de conformité », explique-t-il. « Pourtant, malgré l’importance croissante de la réglementation IT chaque année, beaucoup d’entreprises n’ont pas intégré ce paramètre clé dans leur tableau de bord de gestion. » Un traitement négligent aux risques multiples : amendes en cas de non-conformité, pertes financières, ou encore atteinte à la réputation en cas d’incidents.

La souveraineté du cloud : une solution commerciale face au risque juridique ?

« La souveraineté du cloud correspond au degré de contrôle que vous avez sur votre cloud », précise Erik Valgaeren. « Ce contrôle détermine à son tour celui que vous avez sur vos données et les processus de traitement associés. Imaginez un fortin construit autour de vos données : quelle est la solidité de ce fort ? Dans quelle mesure est-il inviolable ou imprenable ? »

Clé juridique 1 : le RGPD

Dans la stratégie cloud définie par l’Union européenne, innovation, autonomie digitale, souveraineté et contrôle sont au cœur des priorités. « La réglementation nécessaire pour atteindre ces objectifs stratégiques agit aussi comme un bouclier pour mieux protéger nos données et systèmes, notamment face aux hyperscalers opérant au-delà des frontières », explique Erik Valgaeren. « Cette protection est indispensable. » Les hyperscalers américains partent trop souvent du principe que ce qui est permis sur leur marché intérieur l’est automatiquement à l’étranger. Ce n’est pas le cas.

Le règlement européen le plus connu pour bâtir un fort autour des données est sans doute le RGPD, en vigueur depuis 2018. Cette législation standardise les règles relatives au traitement des données personnelles par les entreprises et les administrations dans l’UE, mais s’applique aussi aux organisations hors UE traitant des données de citoyens européens. « Bien que le concept soit aujourd’hui largement connu, beaucoup ignorent encore son impact et les exigences de conformité. »

Protection adéquate des données

Le RGPD interdit le transfert de données personnelles en dehors de l’Espace économique européen (EEE), qui comprend les 27 pays de l’UE ainsi que l’Islande, le Liechtenstein et la Norvège. « Cela n’empêche pas l’existence de mécanismes permettant le transfert de données vers un pays tiers », note Erik Valgaeren.

Il cite notamment la décision d’adéquation : un acte adopté par la Commission européenne qui reconnaît qu’un pays tiers offre un niveau de protection des données essentiellement équivalent à celui de l’UE. Cela permet de transférer des données vers une entreprise située dans ce pays sans autres garanties ou conditions supplémentaires, comme s’il s’agissait d’un transfert intra-UE.

Les États-Unis ont par ailleurs négocié avec l’UE un Data Privacy Framework (DPF), garantissant le traitement conforme des données personnelles des citoyens européens par des entreprises américaines selon les principes du RGPD. Reste à voir si ce mécanisme perdurera sous l’administration Trump actuelle.

Évaluation d’impact et contrat de sous-traitance

Avant de transférer des données à une entité bénéficiant d’un statut d’adéquation, il faut réaliser une évaluation formelle de l’impact de ce transfert sur la protection des données. De plus, le responsable du traitement doit conclure un Data Processing Agreement (DPA) avec tous les (sous-)traitants impliqués. « Ces conditions sont souvent négligées », souligne Erik Valgaeren. « Certaines entreprises en respectent une ou deux, alors que trois sont requises : adéquation, évaluation d’impact et contrat de sous-traitance. »

Par ailleurs, la notion de « transfert de données » est interprétée largement. « Si vous stockez des données clients dans un datacenter en Belgique, mais effectuez une sauvegarde dans un datacenter hors UE, ou si vous utilisez une assistance technique hors UE ayant accès aux données stockées en Belgique, il s’agit dans les deux cas d’un transfert. Si le pays tiers ne bénéficie pas du statut d’adéquation ou si une condition n’est pas respectée, vous êtes en infraction. »

Clé juridique 2 : réglementation sectorielle spécifique

Certains secteurs disposent de règles adaptées concernant le stockage, le traitement et la protection des données sensibles. Erik Valgaeren prend l’exemple du secteur médical, en particulier les hôpitaux : « Jusqu’il y a quelques années, tous les dossiers patients devaient être stockés localement dans l’hôpital, ce qui empêchait l’usage du cloud, même local. Pour suivre les évolutions technologiques et l’externalisation, cette exigence a été assouplie : les données doivent désormais être stockées par l’hôpital, mais pas nécessairement physiquement dans ses locaux. »

D’autres secteurs, comme les télécommunications, exigent que certaines données restent au sein de l’UE. Mais quel que soit le secteur, les employeurs doivent conserver tous les documents sociaux de leurs employés (contrats, fiches de paie, etc.) dans un lieu situé en Belgique. « En implémentant une stratégie cloud, il est donc crucial de bien connaître la réglementation sectorielle applicable », insiste Erik Valgaeren.

Clé juridique 3 : portée extraterritoriale des lois étrangères

Pour protéger nos données contre des acteurs hors UE, il ne suffit parfois pas de les conserver au sein de l’UE. Certaines lois étrangères applicables en Europe peuvent en effet compromettre les obligations existantes.

Un exemple marquant est la loi américaine CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Elle permet au gouvernement fédéral américain d’accéder à des informations situées hors des États-Unis. Cette loi s’applique non seulement aux entreprises américaines, mais aussi à leurs filiales européennes. Ainsi, les autorités américaines peuvent contraindre ces entreprises à fournir des données d’utilisateurs, même si celles-ci sont hébergées en Europe.

« Non seulement seules les entreprises américaines peuvent, et encore, contester cette exigence, mais elles peuvent aussi se voir imposer une clause de silence », précise Erik Valgaeren. Cela les empêche d’alerter leurs clients européens sur un transfert illégal selon les normes européennes, même si leur contrat le prévoit. « C’est un élément à prendre en compte dans la stratégie cloud. » En réponse, Erik Valgaeren préconise le recours à des alternatives européennes aux services cloud et IT américains.

Évaluation multifactorielle des risques

« Tout est finalement une question d’évaluation des risques », conclut Erik Valgaeren. Celle-ci dépend de plusieurs facteurs à considérer successivement. « D’abord la catégorie des données : sensibles et/ou personnelles, ou non personnelles ? Ensuite, il faut intégrer plusieurs considérations juridiques dans l’analyse : RGPD, réglementation sectorielle, lois étrangères. Puis vient l’aspect sécurité, avec les options d’encryption et d’anonymisation ou pseudonymisation. Ensuite, les critères commerciaux liés aux fonctionnalités, outils et niveaux de service. Enfin, des facteurs comme l’interopérabilité et la normalisation. »

« Votre stratégie cloud doit intégrer toutes ces dimensions. En sélectionnant les clés juridiques appropriées, vous pouvez renforcer suffisamment la forteresse autour de vos données et protéger efficacement votre royaume cloud », conclut Erik Valgaeren.

rCloud : un datacenter souverain éprouvé pour une cloud souveraine ?

Vous souhaitez garder le contrôle total de vos données et de votre infrastructure IT ? Une obligation juridique liée à votre secteur ou région vous y contraint-elle ?

Le rCloud dans l’Inetum Datacenter présente toutes les caractéristiques et qualités pour endosser ce rôle de cloud souverain :

• Résidence des données garantie : vos données restent 100 % dans les frontières nationales
• Opérations locales : personnel fiable et certifié en Belgique et au Portugal gère intégralement votre environnement cloud
• Conformité réglementaire : respect des règles de protection des données et exigences sectorielles
• Infrastructure autonome, entièrement maîtrisée par Inetum, sans intervention ni contrôle externes
• Security by design : votre environnement cloud est conçu et construit selon des normes souveraines de cybersécurité

Besoin de plus d’informations sur notre solution cloud souveraine ou souhaitez-vous une visite guidée de notre rCloud ? Contactez-nous par email à info.belgium@inetum.com.