ECA : Protection des données et souveraineté | Série Cybersécurité Partie 2 - European Champions Alliance
1541
post-template-default,single,single-post,postid-1541,single-format-standard,ajax_fade,page_not_loaded,,qode_grid_1300,footer_responsive_adv,qode-content-sidebar-responsive,qode-child-theme-ver-1.0.0,qode-theme-ver-10.1.1,wpb-js-composer js-comp-ver-5.0.1,vc_responsive
 

ECA : Protection des données et souveraineté | Série Cybersécurité Partie 2

ECA : Protection des données et souveraineté | Série Cybersécurité Partie 2

Protection des données et souveraineté

Il y a quelques jours, nous avons eu la surprise d’apprendre que la plateforme des données de santé françaises, créée fin 2019 sous l’égide du ministère de la Santé et relevant de l’autorité de ce dernier, allait choisir l’offre de Microsoft pour héberger les données en question.

Cette annonce a immédiatement déclenché de vives réactions : le forum ATENA, les « Acteurs du numérique », d’autres ont dénoncé une décision aussi incompréhensible que dangereuse.

Plusieurs points retiennent l’attention :

  • La décision a été, semble-t-il, prise sans mise en concurrence, en considérant que seul Microsoft est capable d’offrir les services attendus. Ce point mérite à lui seul des explications : pas plus que d’autres nous ne disposons à ce jour du cahier des charges, mais on sait bien qu’il y a en France et en Europe des hébergeurs et des Cloud providers sérieux. Citons : Orange, OVHCloud, Scaleway (groupe Iliad) et 3DS OutScale.

 

  • Ces Cloud providers ont eu l’occasion, durant les dernières semaines, de faire la preuve de leur évolutivité et de leur capacité à faire face à une explosion de la demande. Deux d’entre eux au moins s’appuient sur de technologies qui limitent leur dépendance aux fournisseurs US et asiatiques, parmi ceux-ci, OVHCloud développe sa propre ligne de serveurs.

 

  • Les données de santé ne sont pas anodines. La loi française les protège particulièrement. A telle enseigne que, jusqu’à présent, leur hébergement n’avait été confié qu’à un nombre limité de fournisseurs, dont une filiale de La Poste et OVHCloud. En Europe, ces données personnelles sont protégées par le RGPD, le règlement général de protection des données. Malheureusement, les fournisseurs US obéissent pour leur part à une autre législation, le Cloud Act, qui les oblige à remettre les données en question, indépendamment de la localisation géographique des serveurs de stockage, aux autorités américaines en cas de demande formelle.

 

L’European Champions Alliance partage les critiques qui ont été émises. Il est singulier de voir qu’au moment même où des membres éminents du gouvernement français plaident pour plus de souveraineté numérique européenne, où le Commissaire européen en charge de l’industrie va dans le même sens, une instance aussi sensible mène la politique inverse. On aimerait que les déclarations et les actes soient mis en cohérence.

 

By Dominique Tessier

Head of the ECA focus group Cybersecurity

Sophia Linnenkohl
sophia.linnenkohl@european-champions.com