Discussion :

[Bruno]

Les « clouds de confiance » Bleu et S3ns seront bien soumis au Cloud Act américain
qui s'applique aussi quand un fournisseur de cloud européen utilise du hardware ou un logiciel américain

Les résultats d’une étude commandée à un cabinet d'avocats américain par le ministère néerlandais de la justice et de la sécurité sur le Cloud Act, indique que les entités de l'UE peuvent être soumises au cloud act, même si elles sont situées en dehors des États-Unis. Elle précise même que le Cloud Act s'applique aussi quand un fournisseur de cloud européen utilise du hardware ou un logiciel américain, ce qui est le principe même des futures offres de « Cloud de confiance » Bleu (les technologies de Microsoft proposées par Orange et Capgemini) et S3ns (celles de Google avec Thales).

Le cloud act pour Clarifying Lawful Overseas Use of Data Act est une loi américaine de 2018 clarifiant l’utilisation légale des données à l’étranger et permet aux autorités américaines de disposer des outils juridiques adéquats pour obliger les entreprises aux États-Unis de fournir les données stockées sur leurs serveurs, y compris ceux situés à l’étranger, en cas de mandat ou d’assignation en justice.

Laure de la Raudière, députée de la troisième circonscription d'Eure-et-Loir de 2007 à 2021, avait déclaré : « Je ne veux pas comparer les lois américaines et chinoises, car elles ne sont évidemment pas identiques, mais ce que nous constatons, c'est que des deux côtés, chinois et américain, il y a clairement une pression pour un accès extraterritorial aux données. Cela doit constituer un signal d'alarme pour que l'Europe accélère sa propre offre souveraine dans le secteur des données ».

Selon le Gouvernement français, certaines des données les plus sensibles de l'État français et des entreprises peuvent aujourd’hui être stockées en toute sécurité en utilisant la technologie cloud développée par Google et Microsoft, si elle est concédée à des entreprises françaises.

L’année dernière, Capgemini et Orange ont annoncé leur partenariat en vue de la création d'une nouvelle société spécialisée dans le cloud de confiance, baptisée Bleu. En partenariat avec Microsoft, Bleu met à disposition de ses clients les solutions sécurisées cloud du géant américain, en l'occurrence les suites de collaboration et de productivité Microsoft 365 ainsi que l'ensemble des services de la plateforme cloud Microsoft Azure.

Bleu « fournira ses solutions aux Opérateurs d’Importance Vitale (OIV), aux Opérateurs de Services Essentiels (OSE), à l’État français, à la fonction publique, aux hôpitaux et aux collectivités territoriales requérant la mise en place d’un cloud de confiance adapté au degré de sensibilité de leurs données et à leur charge de travail », précise un communiqué du gouvernement français.

L’année dernière encore, Le géant Français de la défense, Thales, et Google ont annoncé la création d'une nouvelle entreprise commune pour offrir un service de cloud souverain en France. « En adressant à la fois les aspects techniques et juridiques du label “cloud de confiance'' du gouvernement français, cette approche illustre notre compréhension commune des enjeux et bénéfices du cloud pour les entreprises et institutions françaises, et la volonté de collaborer étroitement et concrètement, en France, pour créer des conditions favorables à l’innovation, de façon ouverte et autonome », a déclaré Samuel Bonamigo, Vice President EMEA South, pour Google Cloud

Thales annonce une nouvelle collaboration avec Google Cloud qui accélérera la capacité des entreprises à migrer en toute sécurité des données sensibles entre des infrastructures informatiques à base de clouds publics, hybrides et privés. Ensemble, les deux sociétés offriront de nouvelles fonctionnalités permettant aux équipes de sécurité des entreprises de posséder et de contrôler leurs clés de chiffrement tout en contribuant à répondre aux exigences réglementaires accrues, le tout en supportant des environnements de travail de plus en plus répartis, a indiqué l’entreprise française sur son Site officiel.

« Fidèles à notre mission, nous avons établi une relation plus étroite avec Thales afin de mieux protéger les informations les plus sensibles de nos clients. Les entreprises de tous types et tailles sont confrontées à un environnement business extrêmement instable et dynamique où même les meilleures lignes de défense sont constamment mises à l'épreuve. Tout comme Thales, nous sommes conscients du panorama actuel et restons vigilants pour fournir à nos clients les solutions les plus avancées et capables de répondre aux besoins d'aujourd'hui et de demain en matière de cybersécurité », Google.

L'étude, dont les analyses sont validées par plusieurs experts du droit du numérique contredit donc la communication du gouvernement français ainsi que celles de Bleu et de S3ns. Pour qu'une entité de l'UE puisse éviter complètement d'être soumise cloud act, il lui faudrait traiter les données en utilisant une entité non américaine, qui soit :

• n'a pas de relation d'entreprise avec une société ayant une présence aux États-Unis (telle que une filiale américaine) et qui n'a pas de contacts suffisants avec les États-Unis pour que les États-Unis raisonnable pour les États-Unis d'affirmer leur compétence à l'égard de l'entité de l'UE/l'entité non américaine (ce qui inclut le fait de ne pas vendre de produits ou de services à des clients) ;
• si elle a une relation d'entreprise avec une société basée aux États-Unis, la société américaine ne doit pas avoir la possession, la garde, le contrôle ou la responsabilité de l'entité européenne.

En aucun cas, l'entité de l'UE ne peut avoir une société mère américaine, car la société mère serait considérée comme ayant la possession ou le contrôle des données de sa filiale. En outre, il est conseillé de ne pas employer de ressortissants américains ayant accès aux données pertinentes. Contrairement à ses exigences, Bleu commercialisera sous licence les offres cloud logicielles de Microsoft Azure (notamment la suite Office 365), tandis que S3ns proposera celles de Google Cloud.

Source : Ministère néerlandais de la justice et de la sécurité

Et vous ?

Quel est votre avis sur la question du « cloud de confiance » ?

Les conclusions de cette étude commandée à un cabinet d'avocats américain sont-elles pertinentes ?

Voir aussi :

La France choisit Google et Microsoft pour la protection des données sensibles, Bruno Le Maire, Amélie de Montchalin et Cédric O ont présenté la stratégie nationale pour le cloud

France : Thales et Google créent une coentreprise française de cloud souverain, une offre conçue en France et pour la France

Capgemini et Orange annoncent le projet de créer « Bleu », une société qui fournira un « Cloud de Confiance » en France

[defZero]

Quel est votre avis sur la question du « cloud de confiance » ?

Tout est dans le nom, on demande au client de "faire confiance" ... à des inconnues .
De manière générale, "les promesses n'engages que ceux qui y croit".

Les conclusions de cette étude commandée à un cabinet d'avocats américain sont-elles pertinentes ?

Elles démontre surtout que les USA ne sont pas des "partenaires" de l'Europe, mais qu'ils sont les moins pires parmi les pays ayants des capacités de nuisances.
Le truc qui ma toujours choqué, c'est l'extra territorialité des lois que s'abroges certains pays (les USA étant champion), mais qu'aucuns de nos politiques ne semble remettre en cause (collusion ?).

[Invité]

Bonjour

Les « clouds de confiance » Bleu et S3ns seront bien soumis au Cloud Act américain qui s'applique aussi quand un fournisseur de cloud européen utilise du hardware ou un logiciel américain

Quel est votre avis sur la question du « cloud de confiance » ?

C'est un cloud de confiance " de facade" . Quand on creuse Nextcloud et OVH sont encore hyper dépendants de la tech US ! A quand un service 100 % made UE sans passer par la tech US ?

Les conclusions de cette étude commandée à un cabinet d'avocats américain sont-elles pertinentes ?

Les US ont pouvoir partout , donc même en essayer de dire qu'il n'y aura pas de contrôle US . On l'a déjà vu allégrement par le passé. Les USA ne se privent pas d'aller au délà de leur juridiction nationale géographique.

[HaryRoseAndMac]

Bonjour

C'est un cloud de confiance " de facade" . Quand on creuse Nextcloud et OVH sont encore hyper dépendants de la tech US ! A quand un service 100 % made UE sans passer par la tech US ?

Les US ont pouvoir partout , donc même en essayer de dire qu'il n'y aura pas de contrôle US . On l'a déjà vu allégrement par le passé. Les USA ne se privent pas d'aller au délà de leur juridiction nationale géographique.

Rassurez vous, on vient de rallumer une 20aines de centrales Françaises subrepticement sur ordre de la république, dont la moitié avait été éteinte pour des raisons de maintenances et de remise aux normes, tout ça, parce que certains la haut, ne savent absolument pas ce qu'ils font et tires à vue.

Donc ... une véritable autonomie technologique d'OVH, c'est pour bientôt ! ...

[Anselme45]

Le "maître du monde" impose, les laquais s'empressent d'exécuter les ordres avant même qu'ils ne soient donnés!

Les pays occidentaux sont bel et bien devenus les "valet de pied" des USA.

L'Union Européenne devrait simplement demander son adhésion aux USA comme 51ème Etat, non seulement on aurait moins de règles imposées par Washington mais on aurait même plus d'indépendance qu'à l'heure actuelle!

[Anselme45]

C'est un cloud de confiance " de facade" . Quand on creuse Nextcloud et OVH sont encore hyper dépendants de la tech US ! A quand un service 100 % made UE sans passer par la tech US ?

Quand? JAMAIS!!!!!!!!!!!!!!!!!!

Quand un continent de plus de 500 millions d'habitants est incapable d'avoir une industrie capable de produire des semi-conducteurs, des ordinateurs ou une simple souris d'ordinateur, est dépendant de la Chine pour la fourniture de plus de 90% des composants entrant dans la fabrication de ses médicaments (quand ce n'est pas tout simplement le médicament entier qui est fabriqué en Inde ou en Chine), est incapable de produire même une ampoule électrique, il ne faut pas s'imaginer que l'on soit les témoins de notre vivant d'une solution "100% made UE".

Lorsqu'un pays européen doit s'équiper pour mettre à niveau ses réseaux de télécommunication, il y a toujours quelques personnes pour s'inquiéter de l'utilisation de matériel venu de puissance étrangère. Et quelle est la réponse immuable des services de sécurité? "La seule question à vous poser est de savoir par qui vous voulez être espionné".

Certains pays privilégient les USA, d'autres, comme la Suisse, pays neutre, décident d'être espionné par tout le monde et donc s'équipent en matériel aussi bien US que chinois


PS: Pour info, l'armée français utilise les produits Microsoft pour répondre à ses besoins informatiques, qui plus est, achetés auprès de Microsoft Irlande, histoire que Microsoft n'ait pas à laisser un dollar d'impôt dans les caisses du gouvernement français...