La doctrine « Cloud au centre » contre l’extra-territorialité du droit américain

La doctrine « Cloud au centre » contre l’extra-territorialité du droit américain

Le 15 septembre 2021, la Direction Interministérielle du Numérique (DINUM) a publié une note adressée aux Ministères français sur le rejet de l’offre cloud Microsoft 365.

Cette annonce a créé la surprise. Désormais l’État français affirme la primauté de sa souveraineté face aux GAFAM, accusés d’être des instruments de Washington dans la guerre économique mondiale.

Microsoft illustre parfaitement cette mainmise sur le numérique avec le Pack office, le service de stockage Onedrive ainsi que les outils de messagerie instantanée tels que Teams ou encore Skype. Ces produits sont devenus indispensables au bon fonctionnement de nombreuses structures. Pour preuve, le 1er trimestre 2020, l’offre cloud Microsoft 365 était utilisée par 258 millions d’utilisateurs. Ce nombre a notamment augmenté à la suite de la crise sanitaire et à la généralisation forcée du télétravail.

À noter que la DINUM n’interdit que la partie « cloud » des logiciels. Cette décision s’inscrit dans un contexte où de nombreuses administrations publiques ont fait part de leur volonté de remplacer leurs solutions de bureautiques et de messagerie actuellement déployées sur les serveurs étatiques.

En effet, la note pointe l’incompatibilité de l’offre cloud de Microsoft vis-à-vis de la circulaire n°6282-SG[1] du 5 juillet 2021 appelée « Cloud au Centre ». Deux critères ne sont pas respectés : le premier est l’obtention du label SecNumCloud délivré par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Le second point est la nécessaire immunité contre les règlementations extraterritoriales telles que le Cloud Act.

Microsoft 365 est hébergé sur Azure, la solution cloud computing du géant américain est donc soumise au Cloud Act. Ce dernier signifie Clarifyng Lawful Overseas Use of Data Act et désigne un ensemble de lois américaines de 2018 permettant aux autorités d’accéder aux données stockées par des entreprises américaines ou étrangères présentes sur le sol américain. Il s’agit d’un des principaux instruments de l’ »extraterritorialité » du droit américain.

Ce terme désigne l’ensemble des instruments juridiques extranationaux dont se sont dotés les États-Unis depuis la Seconde Guerre mondiale. Parmi ces derniers, on peut citer le cas du dollar, avec lequel toute transaction effectuée à l’international tombe sous la juridiction américaine. Cette mesure avait notamment conduit la banque française BNP Paribas à être la cible d’une sanction de 9 millions de dollars en 2014 pour non-respect d’un embargo américain. L’affaire avait alors fait scandale et provoqué un électrochoc au sein de la classe dirigeante française. Une des conséquences de cette affaire a été l’entrée en vigueur de la Loi Sapin II en 2017. Cette dernière permet de lutter contre la corruption et ainsi éviter qu’une entreprise condamnée pour des faits de corruption à l’étranger ne le soit aussi par les États-Unis.

Avec la stratégie « Cloud au centre », le gouvernement français souhaite ainsi réduire son exposition face à ce genre de menaces.

D’ici là, les projets les plus avancés au 5 juillet 2021 peuvent bénéficier d’une dérogation de 12 mois uniquement pour les services de messagerie et de cloud personnel. Les deux services font l’objet d’une exception, car ils ne sont pas concernés par le SNAP (sac à dos numérique de l’agent public). Le terme désigne l’environnement de travail numérique prévu pour 2022. Ce dernier sera uniquement composé de solutions open-source françaises.

À l’inverse, les services de messagerie instantanée, de travail collaboratif et de visioconférence ne peuvent être exemptés.

Dans ce cas, la DINUM évoque plusieurs solutions :

  • Se tourner vers une offre certifiée SecNumCloud. Parmi celles-ci, on trouve Oodrive, 3DS Outscale et OVHcloud ;
  • Attendre la labellisation de la société Bleu, co-créée par Orange et Capgemini, offrant la solution Microsoft 365 mais hébergée par les deux acteurs français donc distincte des datas centers de `Microsoft` ;
  • Opter pour le report du projet de migration par les administrations publiques.

En définitive, cette décision de la DINUM va dans le bon sens même si en parallèle certains exemples de l’actualité sont contraires à la notion de souveraineté : le cas du partenariat entre Thalès et Google annoncé le 6 octobre est parlant. Ce dernier illustre le fait que notre émancipation sur le plan juridique se heurte souvent à une réalité technologique.


Références :

[1] https://www.legifrance.gouv.fr/circulaire/id/45205

CERT-XMCO

Découvrir d'autres articles