Sous la pression de Trump, les accords sur les transferts de données entre l’Union européenne et les États-Unis sont à nouveau menacés. La souveraineté numérique ne semble plus être un luxe, mais une nécessité pour les entreprises européennes. Ou est-ce une illusion ?
L’organisation autrichienne de protection de la vie privée noyb a diffusé au début de cette année un avertissement notable. Noyb craint que sous le régime de Donald Trump, le cadre de confidentialité des données entre l’Union européenne et les États-Unis ne soit compromis. La disparition de ce cadre pourrait avoir des conséquences majeures : l’utilisation des services cloud américains serait alors « illégale » selon la lettre de la législation européenne sur la protection de la vie privée. « En principe, il ne faut rien de plus qu’une signature de Trump pour cela », déclare Max Schrems lors de Cybersec Europe à Bruxelles.
Bien que nous n’en soyons pas encore là, la perception des entreprises technologiques américaines change plus largement en Europe. Cela est largement dû au langage et aux méthodes souvent agressifs des dirigeants de Washington. L’appel politique pour que l’Europe devienne plus indépendante se fait de plus en plus fort, et les entreprises réfléchissent également à qui elles peuvent confier leurs données. La quête de la souveraineté numérique est lancée.
Schrems I, II et III ?
Les transferts de données entre l’Union européenne et les États-Unis sont régis par le TADPF (Transatlantic Data Privacy Framework), en vigueur depuis l’été 2023. Ce cadre impose des conditions aux fournisseurs de cloud américains tels que Google, Microsoft et AWS pour le traitement des données personnelles de leurs clients européens.
Le TADPF était dès le début un compromis fragile, ou selon les termes de Schrems, « un tour de passe-passe sur papier ». Les accords précédents entre l’UE et les États-Unis n’ont pas survécu. À deux reprises, Schrems a été l’homme qui a fait tomber l’accord. En 2015, l’accord Safe Harbour a été invalidé, et l’affaire Schrems II de 2020 a signifié la fin du « bouclier de protection de la vie privée » UE-États-Unis.
Les visions fondamentalement différentes que l’Europe et les États-Unis ont concernant les données et la vie privée sont difficiles à concilier. Deux traumatismes collectifs du passé déterminent cette attitude. En Europe, dans le sillage de l’Holocauste, la protection des données personnelles est devenue un droit acquis, tandis qu’aux États-Unis, depuis le 11 septembre, l’ingérence du gouvernement dans la sphère personnelle est acceptée. Les compromis tels que le TADPF sont donc par définition construits sur une base instable.
lire aussi
Le cloud illégal ? La souveraineté comme Saint Graal pour le secteur informatique européen
« Le TADPF a les mêmes limitations que ses prédécesseurs. Seul le langage est un peu plus clair. Les États-Unis ont élaboré une toute nouvelle définition du concept de “proportionnalité” pour rester en dehors de la zone interdite de la législation européenne. En tant qu’entreprise européenne, vous êtes pris entre la protection de la vie privée et la surveillance », déclare Schrems. Une affaire Schrems III ne semble être qu’une question de temps.
Nouveaux patrons, nouvelles règles
Donald Trump semble en tout cas vouloir y travailler. Le président américain n’hésite pas à donner des coups de pied dans les tibias qui ne lui plaisent pas. Dès les premiers jours de son second mandat, il a fait table rase au sein du Privacy and Civil Liberties Oversight Board en évinçant tous les magistrats démocrates. Ce comité est chargé de veiller à ce que les accords entre l’Union européenne et les États-Unis soient respectés du côté américain.
La direction que cela prendra est toujours difficile à dire avec Trump. Jusqu’à présent, le TADPF est toujours en vigueur, mais Schrems craint que les dents de l’organe de contrôle n’aient été arrachées. Cela risque de rendre l’accord impraticable à long terme et cela pourrait avoir des conséquences de grande portée pour les entreprises européennes. Sans accord juridique, les flux de données entre les entreprises européennes et américaines seraient illégaux et l’utilisation des services cloud américains serait « illégale » dans l’UE.
« Toutes les décisions prises sous Biden peuvent être annulées par Trump d’un simple trait de plume sous un décret exécutif. Dans le cas du TADPF, cela affecterait toute la pile : non seulement l’infrastructure cloud, mais aussi les services SaaS de Salesforce et Meta, par exemple. Il me semble peu probable que cela se produise immédiatement, mais ce n’est pas impensable », déclare Schrems de manière sinistre.
Les entreprises européennes sont prises au piège entre la protection de la vie privée et la surveillance.
Max Schrems, noyb
Noyb n’est pas la seule organisation à s’inquiéter. Beltug, l’association belge des DSI et des dirigeants en technologie numérique, exhorte les entreprises belges à ne pas attendre que la situation se dégrade davantage. « La conformité est le premier de nos onze ‘principes équitables’ pour l’industrie du cloud, mais elle n’est pas toujours respectée car la législation manque de clarté », déclare Danielle Jacobs, PDG de Beltug.
« La souveraineté n’est pas un nouveau thème, mais elle est désormais plus visible. Les données deviennent de plus en plus précieuses. Presque toute la méthode de travail des organisations se trouve aujourd’hui dans le cloud, et les entreprises n’ont pas toujours d’alternatives sur site ou locales. L’émergence de Trump accroît l’incertitude des entreprises quant à leur conformité à la réglementation, voire leur crainte que leurs données ne soient plus en sécurité. Cela va bien au-delà des données personnelles : pour les entreprises, une grande partie de leurs données sont très sensibles. »
Un cloud européen teinté d’américain
L’industrie du cloud est largement dominée par trois acteurs américains : Microsoft, Google et AWS. Les hyperscalers ne sont pas aveugles à ce qui se passe sur le marché européen. Ils voient dans la demande de souveraineté numérique une opportunité commerciale. Avec des centres de données locaux et des régions cloud, les entreprises européennes sont séduites par des promesses que leurs données resteront sur le sol européen. Ceux qui souhaitent aller encore plus loin peuvent souscrire à des services cloud souverains proposés par ces fournisseurs.
La présence locale est particulièrement mise en avant dans le contexte actuel. « Notre cloud souverain est entièrement construit en Europe et pour l’Europe », nous affirme Danielle Gorlick, Directrice Générale d’AWS pour le Benelux, lors d’une réunion du géant du cloud à Amsterdam. Microsoft, qui s’apprête à ouvrir une région cloud belge, a récemment renouvelé ses engagements envers l’Union européenne, et Google ne manquera pas de souligner qu’il a implanté ses premiers centres de données sur le sol européen il y a quinze ans déjà.
lire aussi
Microsoft promet davantage de données, de sécurité et de contrôle pour l’Europe
Combell, un fournisseur belge de services d’hébergement web et de cloud, prend ces déclarations avec une certaine réserve. « Les données des clients européens peuvent être soumises à la législation américaine qui entre en conflit avec le RGPD. L’incertitude que cela engendre incite les entreprises européennes à examiner plus attentivement où se trouvent leurs données et sous quelle législation elles tombent. Les acteurs locaux peuvent garantir le respect de la législation européenne », déclare Combell dans une déclaration à la rédaction.
Jacobs porte également un regard critique sur les services cloud promus comme « souverains ». Selon elle, il est important d’examiner le rôle attribué au partenaire local dans l’offre. « Le terme est flou. Il ne suffit pas que les données restent simplement dans l’UE. Même si vous êtes une entreprise européenne, le gouvernement américain peut demander des données si votre client est chez un fournisseur américain. Soyez critique et demandez qui possède les clés de chiffrement, pour vous assurer que vos données ne peuvent pas être réclamées ».
Pris au piège
La question est de savoir si l’industrie informatique européenne peut vraiment se passer de la technologie américaine. EuroStack, une initiative pour plus de souveraineté en Europe, tire la sonnette d’alarme dans un rapport. Les « trois grands » Microsoft, Google et AWS représentent près de soixante-dix pour cent du marché du cloud européen. Derrière eux viennent IBM, Oracle et des fournisseurs chinois.
Ce sentiment est également exprimé par le ministre-président flamand Matthias Diependaele (N-VA) lors de son discours d’ouverture à Cybersec : « L’Europe doit urgemment réfléchir à sa dépendance stratégique vis-à-vis de quelques acteurs technologiques ». Vous pouvez probablement deviner vous-même qui il désigne par « quelques acteurs ».
Le terme « souveraineté » est flou. Soyez critique envers votre fournisseur et demandez qui possède les clés.
Danielle Jacobs, PDG de Beltug
La dépendance à un fournisseur a souvent un effet amplificateur. Les écosystèmes cloud sont conçus de telle manière qu’une fois que vous y êtes, il n’est pas facile d’en sortir : en termes techniques, on parle de « verrouillage du fournisseur ».
« Chez les hyperscalers, tout est intelligemment intégré. Cela vous rend rapidement très dépendant et les coûts sont difficiles à prévoir car les prix peuvent être modifiés unilatéralement. Mais comme tout dans votre environnement informatique doit pouvoir communiquer, les entreprises ne sont pas enclines à changer rapidement. Les fournisseurs alternatifs ne peuvent en offrir qu’une partie. La transition demande du courage car vous mettez vos œufs dans plusieurs paniers », explique Jacobs.
« Dès qu’une entreprise s’intègre profondément à des technologies ou services spécifiques au sein d’un écosystème fermé, il devient techniquement et financièrement complexe de migrer.
C’est pourquoi il est essentiel de choisir dès le départ des technologies ouvertes, basées sur des standards, qui garantissent la flexibilité, telles que Kubernetes. Ainsi, vous conservez la possibilité de changer », déclare Combell.
Data Act : une bouée de sauvetage ?
Si vous vous reconnaissez dans cette situation, elle n’est pas aussi désespérée que vous pourriez le penser. Le Data Act européen, qui entrera en vigueur en septembre, représente selon Jacobs une étape importante pour démanteler le verrouillage des fournisseurs. La législation oblige les fournisseurs de services cloud à permettre une sortie dans les trente jours sans facturer de coûts excessifs. Si le fournisseur peut donner une bonne raison pour laquelle ce n’est pas possible dans les trente jours, il y a une limite maximale de six mois.
lire aussi
Le cloud illégal ? La souveraineté comme Saint Graal pour le secteur informatique européen
« Récupérer vos données peut coûter beaucoup d’argent et de temps. Aujourd’hui, seulement cinq pour cent des contrats cloud possèdent une “clause de sortie”. Le Data Act rend le transfert ou la sortie moins coûteux en supprimant les frais facturés pour la restitution des données. Les entreprises regagnent ainsi plus de contrôle sur leurs données. C’est un pas dans la bonne direction, mais il faut alors qu’il y ait des alternatives », affirme Jacobs. Le Data Act ouvre-t-il la voie à l’indépendance numérique ?