Breaking news

"Nuage souverain" ou "lavage souverain" ? Un cheval de Troie aux portes de l'Europe numérique.

AWS, Microsoft, Google - tous ont récemment lancé des "nuages souverains". Mais en réalité, toutes les entreprises américaines sont soumises à la législation américaine en matière de partage des données. Voyons s'il est sûr d'utiliser les nuages américains ou s'il s'agit simplement d'un "lavage souverain".

Sovereign clouds or sovereign washing? A Trojan Horse at Europe's digital gates.

L'ambition de l'Europe en matière de souveraineté numérique est plus urgente que jamais. Mais au lieu de soutenir des services véritablement européens et respectueux de la vie privée, de nombreuses entreprises européennes et même des autorités européennes et locales continuent de s'appuyer sur la technologie américaine et pourraient considérer les offres flambant neuves et brillantes de "nuage souverain" comme une solution utile. Mais que se passe-t-il si le "nuage souverain" est moins sûr que ce que les entreprises américaines veulent nous faire croire ? Nous allons nous pencher sur le "Cloud souverain de Microsoft", le "Cloud souverain de Google" et la "Souveraineté numérique européenne d'Amazon Web Services" annoncée, et nous demander s'il est sûr de les utiliser en tant qu'autorité ou entreprise européenne.

“Sovereign washing” : le conte de fées de la Big Tech américaine

Ces derniers mois, toutes les grandes entreprises technologiques américaines ont lancé des “nuages souverains”, qu’il s’agisse du “Microsoft Sovereign Cloud”, du “Sovereign Cloud de Google” ou de la “Souveraineté numérique européenne d’Amazon Web Services” - elles promettent toutes aux organisations de l’UE de protéger leurs données et d’adhérer à des normes européennes élevées en matière de protection des données.

Leur message semble très convaincant : “Nous stockerons vos données en Europe, nous respecterons vos règles et nous apporterons des emplois et des infrastructures”, mais lorsque cela semble trop beau pour être vrai, c’est généralement le cas. En fait, le “nuage souverain” n’est rien d’autre qu’un cheval de Troie - bien qu’il ait l’air bien à l’extérieur, il vise à inciter les entreprises et les autorités de l’UE à confier leurs données à des services américains.

En réalité, il ne s’agit pas de souveraineté, mais de marketing . Il s’agit de marketing. Il s’agit d’un lavage de souveraineté .

L’illusion de la souveraineté numérique

Commençons par l’évidence : ce n’est pas parce que vos données sont stockées en Europe qu’elles sont protégées par les lois européennes. Les fournisseurs américains de services en nuage, même lorsqu’ils opèrent à partir de centres de données européens, sont soumis à la juridiction des États-Unis, notamment par le biais de lois telles que le CLOUD Act et la FISA 702.

Cela signifie qu’en vertu de la législation américaine, des entreprises comme Microsoft, Amazon et Google peuvent être contraintes de fournir aux autorités américaines un accès aux données des entreprises et autorités européennes, même si ces données sont stockées au sein de l’UE et en dehors des États-Unis.

Certes, ces entreprises peuvent créer une entité juridique européenne distincte ou s’associer à une société locale au nom d’une prétendue “souveraineté”. Mais tant que la technologie, le code source, les mises à jour des services ou les mécanismes de contrôle restent entre les mains des Américains, l’Europe n’a pas de véritable souveraineté sur ses données ou son infrastructure numérique.

De nombreuses tentatives ont été faites pour permettre aux organisations de l’UE d’utiliser les offres américaines d’informatique en nuage dans le respect de la loi, mais en raison des lois de surveillance américaines, aucune de ces tentatives n’a été couronnée de succès à ce jour. Par exemple, l’arrêt Schrems II de la Cour européenne de justice a annulé l’accord Privacy Shield entre les États-Unis et l’UE précisément parce que les lois de surveillance américaines sont incompatibles avec les droits de l’UE en matière de protection des données garantis par le GDPR européen. Les “offres de nuages souverains” ne sont qu’une nouvelle tentative de légaliser les nuages américains dans l’UE.

Mais chaque fois que des données personnelles sont - ou pourraient être - transférées vers un pays tiers comme les États-Unis, un niveau de protection adéquat doit être garanti. Du point de vue de l’UE, cela pose problème en raison du Cloud Act et de certains risques politiques, qui compromettent le niveau requis de protection des données.

Même la Commission européenne craint que son utilisation de Microsoft ne soit contraire aux lois européennes sur la protection des données. La Commission envisage maintenant de faire appel à des fournisseurs européens de services en nuage pour remplacer Microsoft Azure.

Le contrôle promis par les fournisseurs américains d’informatique en nuage est une dangereuse illusion.

Turn ON Privacy in one click.

Les recours juridiques sont inutiles

Même les garanties techniques les plus solides n’offrent aucune protection réelle. Que ce soit par un accès direct ou par la coopération forcée d’entreprises partenaires, Microsoft, Google et Amazon peuvent être contraints de divulguer les données d’entreprises et d’autorités européennes.

Le “gardien des données” de Microsoft peut donner l’impression d’être transparent, mais une fois que l’accès a eu lieu, même les journaux les plus infalsifiables sont inutiles : Ils ne font que documenter un événement, par exemple la transmission de données aux autorités américaines, qui ne peut être annulé.

Microsoft, qui a le plus à perdre dans ce mouvement européen en faveur d’une plus grande souveraineté numérique, fait également les promesses les plus audacieuses. L’une d’entre elles consiste à contester légalement les demandes américaines de communication de données. Mais qu’est-ce que cela signifie réellement ? En fait, c’est plus symbolique que pratique. Ces actions en justice n’empêchent pas vraiment la transmission des données, car même en contestant une demande, Microsoft doit d’abord s’y conformer, de sorte que les données ont déjà disparu. Le mal est déjà fait. Dans la plupart des cas, une action en justice est absolument inutile.

Lavage souverain

Ces solutions prétendument souveraines ne sont pas des signes d’indépendance technique mais plutôt des stratégies de communication parfaitement orchestrées. Elles sont conçues pour créer de la confiance là où, en réalité, aucun contrôle n’existe. Les entreprises américaines n’offrent pas de réelle souveraineté numérique, ce qu’elles font ici n’est qu’un habile reconditionnement d’un problème non résolu, et c’est très similaire au “privacy washing”.

Et tout comme les revendications des entreprises technologiques américaines en matière de “protection de la vie privée”, la stratégie du “sovereign washing” est exactement la même :

  1. Commercialiser durement - Présenter le nuage américain comme étant “conforme aux normes européennes”.
  2. Créer une dépendance - Rendre les entreprises et les autorités européennes dépendantes de leurs offres de “cloud” par le biais d’intégrations et de code source fermé.
  3. Lobbying intensif - Inonder Bruxelles de lobbying, d’influence et surpasser la concurrence européenne dans tous les efforts de lobbying.
  4. Ne pas payer d’impôts - Les bénéfices sont rapatriés aux États-Unis et, grâce à des stratégies d’optimisation fiscale, les entreprises américaines ne paient que très peu d’impôts dans l’UE.

C’est astucieux. Mais ce n’est pas dans l’intérêt de l’Europe.

L’emplacement, l’emplacement, l’emplacement

Ce qui est vrai pour les acheteurs de maisons l’est aussi pour la souveraineté numérique : tout est une question d’emplacement.

Alors que les fournisseurs américains de services en nuage continuent de dominer le marché européen, les entreprises technologiques américaines ne peuvent pas garantir les promesses qu’elles font en matière de souveraineté numérique. Les offres américaines peuvent désormais porter le drapeau européen sur leur manche, mais le label de souveraineté n’est rien d’autre qu’un label : les entreprises qui proposent ces soi-disant “nuages souverains” continuent d’être soumises aux lois et aux pouvoirs de surveillance des États-Unis - et cela ne peut pas être effacé. Donc, oui, le CLOUD Act et la FISA 702 s’appliquent toujours, même si le serveur se trouve à Francfort, Bruxelles ou Paris.

Si l ‘Europe prend au sérieux la souveraineté numérique, elle doit dépasser l’illusion qu’un tel contrôle est possible avec les services américains. Une véritable souveraineté ne peut s’appuyer que sur des infrastructures fournies par des entreprises européennes, non soumises à la juridiction américaine.

La souveraineté ne vient pas de nouveaux noms de produits brillants comme ces “nuages souverains”. Elle provient d’un contrôle juridique et technique total. Tout le reste n’est rien d’autre que du lavage souverain.

Faites le bon choix : Choisissez l’Europe.

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.