Contre le Patriot Act : une certification française pour le Cloud

Une association, Cloud Confidence, propose une certification pour le Cloud. Objectif : distinguer les prestataires garantissant un respect strict des normes européennes et l’absence de soumission à une réglementation extra-communautaire, de type Patriot Act.

Ce mardi 9 décembre, sera officiellement dévoilée Cloud Confidence, une association loi 1901 créée en juillet dernier et dont l’objectif est « de clarifier les positions sur le marché du Cloud », explique Olivier Itéanu, son vice-président. « Chacun jure ses grands dieux de sa conformité, assurant ne pas être soumis au Patriot Act américain. Mais le flou demeure », ajoute cet avocat spécialiste du droit des nouvelles technologies.

Pour y voir plus clair, l’association, qui réunit aujourd’hui une quinzaine d’organisations *, a mis sur pied une certification issue d’un travail commun entre utilisateurs et prestataires, assure Olivier Itéanu. « Juridiquement, ce sera bien une certification et non un label. Pour les acteurs français, c’est une façon de prendre son destin en main : on ne peut pas tout attendre de la loi. » La certification sera basée sur un audit réalisé par LSTI, un organisme de certification notamment employé par l’Anssi (Agence nationale pour la sécurité des systèmes d’information), ainsi que sur un contrôle annuel. D’autres organismes de certification devraient également proposer le label Cloud Confidence, assure l’association. Qui précise que deux prestataires se sont déjà engagés dans ce processus, l’un ayant obtenu la certification et l’autre étant aujourd’hui proche du but.

Et pour les filiales de groupes US ?

La certification Cloud Confidence vise à vérifier trois éléments essentiels. La protection de l’information tout d’abord, qu’il s’agisse d’informations personnelles ou relatives aux affaires. « Le prestataire s’engage pour tous types de données à offrir un niveau équivalent de sécurité à celui que propose le règlement européen sur les données personnelles », dit Olivier Itéanu. Second point, très sensible : l’accès, par des gouvernements étrangers, aux données stockées dans le Cloud par des entreprises, à l’insu de ces dernières. Précisément le point qui cristallise les anxiétés des dirigeants européens vis-à-vis de prestataires américains soumis au Patriot Act. « Un prestataire certifié s’interdit d’appliquer une telle réglementation », précise Olivier Itéanu. Qui indique que les filiales d’entreprises américaines peuvent construire des offres conformes, l’audit vérifiant notamment que ces infrastructures ne sont pas accessibles depuis les Etats-Unis, répertoriant la liste des personnes habilitées à y accéder et validant le fait que l’offre est bien soumise à la loi européenne ou à celle d’un de ses Etats membres. Enfin, Cloud Confidence se penche sur la sécurité du Cloud, en s’appuyant notamment sur les référentiels déjà publiés par l’Anssi.

Ce cadre est censé faciliter les choix des entreprises utilisatrices qui, aujourd’hui, n’ont que le recours de l’audit pour évaluer leurs prestataires. « Mais, dans le Cloud public, l’audit n’existe pas. Et, dans le Cloud privé, tout dépend de la bonne ou de la mauvaise foi du prestataire », tranche le vice-président de l’association. Évidemment sensible à ces questions, le Cigref (qui réunit les DSI de grandes entreprises françaises) est membre du comité stratégique de Cloud Confidence.

Développement européen

Les tarifs de la certification sont basés sur le chiffre d’affaires du prestataire. Comptez 5 000 euros pour une durée de 3 ans, plus entre 3 000 et 5 000 euros pour le contrôle annuel. S’y ajoutent les frais d’adhésion à l’association. Après la sortie de la version 1.0 de son label, cette dernière réfléchit aujourd’hui à de premières évolutions, pour intégrer les questions de portabilité des données ou d’interopérabilité des logiciels en mode Saas. « Des groupes de travail se sont formés sur ces sujets », précise Olivier Itéanu.

L’association, présidée par Olivier Darrason (le dirigeant de du cabinet de conseil en stratégie CEIS), se place également dans une perspective européenne et assure avoir noué de premiers contacts en Allemagne, pays où le débat sur la souveraineté des données dans le Cloud est également très vif. Rappelons que, récemment, le leader du Cloud public, AWS (Amazon Web Services), a ouvert un datacenter outre Rhin, manifestement aiguillonné par les attentes des entreprises locales.

* : EasyVista, Oodrive, Orange Business Services, Waycom, CEIS, DenyAll, Edicia, Eptica, Iteanu Avocats, Adsia (association des DSI d’académies), Parstream, Telehouse, Aspaway, Scalead.

A lire aussi :

Accès aux données Cloud hors US : Microsoft résiste aux injonctions de la justice

Stéphane Duproz, Telecity : « les DSI veulent échapper au Patriot Act »

Crédit Photo : Semistach-shutterstock