Parole d’expert
« D’un simple point de vue juridique, et en dehors de tout principe de réalité, les entreprises françaises ne devraient pas recourir à des offres nord-américaines en matière de cloud. Mais, d’un point de vue économique, c’est difficile de ne pas le faire tant les offres sont alléchantes. Mais il ne faut pas croire que les autorités françaises restent les bras ballants face aux questions que soulève le recours à des offres cloud qui ne seraient pas souveraines. Par exemple, l’Anssi a rappelé à certains grands comptes les règles qu’impose le code pénale et dispose d’une liste secrète, contenant entre 300 et 500 sociétés, qui ne doivent pas être connectées à un système informatique américain et dont les données stockées doivent être localisées en Europe. Sous peine de sanction – amendes, prison – et au risque de voir les contrats annulés. Il est indéniable que l’extraterritorialité du droit américain est une arme dans la guerre économique que se livre entre eux les Etats. Avec le RGPD, l’Europe dispose aussi d’une arme. Il faut bien comprendre que le Cloud Act permet aux autorités judiciaires américaines publics, ainsi qu’aux services secrets, d’avoir accès à toutes les données. Alors comment faire ? On ne peut que conseiller aux entreprises de réaliser une analyse pointue de l’impact éventuel d’un recours à un cloud non souverain. Il s’agit ici d’adopter une démarche de risk management pour comprendre à quoi on s’expose en cas de problème. »
