La France rapporte que l’offre Office 365 de Microsoft sur Azure ne répond pas aux exigences de la doctrine cloud de l’État. Tous les détails

Le 15 septembre 2021, la directrice interministérielle du numérique Nadi Bou Hanna a publié un communiqué aux ministères les informant que l’offre Office 365 de Microsoft sur Azure Cloud ne répondait pas aux exigences de la doctrine cloud française de l’État (Cloud au Centre), et notamment sa règle R9.

Elle prévoit que le traitement des données sensibles ne doit être possible que par des hébergeurs qualifiés et également à l’abri de toute loi extraterritoriale (loi cloud, FISAA, etc.). Suite à ce communiqué, les administrations françaises ne devraient plus utiliser le service hébergé par Microsoft.

En réponse à ce communiqué, huit acteurs français se sont réunis pour proposer un ensemble de solutions alternatives à Office 3655. Atolia, Jalios, Jamespot, Netframe, Talkspirit, Twake, Whaller et WIMI qui comptent 3 millions d’utilisateurs et une offre souveraine 100% hébergé par des joueurs européens. Le collectif mentionne que toutes ces solutions sont aptes à s’intégrer dans des infrastructures certifiées SecNumCloud.

L’Agence Nationale des Systèmes d’Information (ANSSI) offre un visa de sécurité appelé SecNumCloud de 2016. Cette marque est destinée aux fournisseurs de services cloud (IaaS, PaaS et SaaS) qui souhaitent apporter des garanties sur la qualité du service rendu et le niveau de confiance qu’on peut leur accorder. C’est aussi un atout marketing fort car la marque SecNumCloud est largement reconnue en France et atteste d’un niveau de sécurité de pointe certifié par l’ANSSI. Cette note est attribuée aux fournisseurs répondant à l’ensemble des exigences de sécurité définies par l’ANSSI et ayant fait l’objet d’une évaluation de conformité par un organisme agréé. Le label SecNumCloud permet donc aux clients d’avoir confiance dans la sécurité mise en œuvre dans l’offre cloud à laquelle ils souscrivent. Lors de la conférence cybersécurité 2021, l’ANSSI a publié une nouvelle version de SecNumCloud. Cette nouvelle version fournit des critères d’immunité contre les lois non européennes, notamment américaines.

L’interdiction d’utiliser Office 365 hébergé par Microsoft dans les administrations françaises remet donc en cause la légitimité d’héberger les données de santé du Health Data Hub (HDH) dans des infrastructures Microsoft non certifiées SecNumCloud et soumises à la loi américaine. HDH, créé en 2019, il s’agit d’un projet de regroupement des données de santé de plus de 67 millions de personnes et vise à favoriser le développement de l’intelligence artificielle dans le domaine de la santé en fournissant des données aux différents pôles de la recherche médicale. Microsoft a été sélectionné pour héberger ces données, notamment avec sa certification « Health Data Hosts » (HDS). Ce choix a été fortement critiqué car les États-Unis disposent d’instruments législatifs (FISAA, cloud Act) qui pourraient porter atteinte à la confidentialité des données hébergées par des fournisseurs de cloud soumis à la loi américaine, même s’ils sont situés dans des centres de données sur le territoire européen. Afin de ordinaire transferts de données personnelles vers les États-Unis, en 2016, un accord, appelé « Privacy Shield », a été formalisé avec l’Europe.

Le « Privacy Shield » a fourni des garanties sur la protection des données personnelles des citoyens européens stockées et traitées par des sociétés basées aux États-Unis. Le « Privacy Shield » a donc permis, en théorie, de protéger les données personnelles stockées dans les infrastructures Microsoft Office 365, par exemple.

Or, le 16 juillet 2020, la Cour de justice de l’Union européenne a invalide le « Privacy Shield », le jugeant non conforme au Règlement général sur la protection des données (RGPD) et rendant ainsi illégal le transfert de données personnelles vers les États-Unis en l’absence de mesures supplémentaires. Suite à l’invalidation du « Privacy Shield » et par crainte de transférer des données de santé vers les États-Unis, associations et syndicats ont fait appel au Conseil d’État pour demander une suspension d’urgence de la plateforme HDH. Le 14 octobre 2021, le Conseil d’État a indiqué qu’aucune donnée personnelle hébergée dans le data center de Microsoft ne pouvait être transférée hors de l’Union européenne dans le cadre de l’accord avec Microsoft. Cependant, le juge a montré qu’il n’était pas exclu que les autorités américaines, dans le cadre de programmes de veille et de renseignement, puissent demander à Microsoft et à sa filiale irlandaise l’accès à certaines données.

Pour régler ce problème à court terme, le Conseil d’État a demandé à la CNIL de travailler avec Microsoft pour renforcer les mesures de sécurité liées aux HDH. Cependant, il a estimé que le risque identifié ne justifiait pas un arrêt à court terme de l’HDH. Concernant l’avenir de HDH, le ministre de la Santé évoquait en novembre 2020 la volonté de trouver une « nouvelle solution technique » pour protéger HH d' »une éventuelle divulgation illégale aux autorités américaines (…) dans les plus brefs délais. entre 12 et 18 mois et, en tout état de cause, n’excédant pas deux ans ». Le but est oser temps pour les acteurs français et européens d’être prêts à accueillir HDH.

Notamment, les États-Unis disposent de deux armes législatives qui permettent aux autorités fédérales d’accéder aux données clients des fournisseurs de services cloud.

Le premier, le Cloud Act, permet Les tribunaux américains de solliciter auprès de prestataires opérant aux États-Unis les communications personnelles d’un individu sans que celui-ci en soit informé, ni les autorités de son pays de résidence ni celles du pays où ces données sont stockées. Le Cloud Act s’applique également aux entreprises étrangères actives sur le sol américain.

Le second, appelé FISAA (FISA Amendments Act), est un amendement au Foreign Intelligence Surveillance Act de 1978 qui décrit les procédure de surveillance physique et électronique et permet la collecte d’informations sur les puissances étrangères. FISAA permet une surveillance en masse et s’étend à toutes les données dans le cloud. Le but, notamment de la NSA (National Security Agency), est d’avoir la possibilité d’intercepter, décrypter, copier, analyser et archiver toutes les communications mondiales qui transitent par satellites, câbles… C’est notamment cette loi qui a autorisé l’utilisation d’outils de surveillance utilisés par la NSA et le FBI dans le cadre du projet PRISM révélé par Edward Snowden en 2013.

Ces deux lois permettent ensuite aux autorités fédérales d’obliger les acteurs américains du cloud à fournir des données à la demande, même sur des serveurs situés en Europe et sans en informer les individus ou organisations ciblés. D’où le projet Gaia-X est né qui est un ‘initiative Allemand-français lancé en juin 2020 qui vise à offrir une réponse européenne à l’essor du cloud GAM (Google, Amazon, Microsoft) et Alibaba (fournisseur de cloud chinois) en partageant des données technologiques et industrielles entre ses membres. L’idée n’est pas de créer une entreprise unique, mais plutôt de s’appuyer sur le principe de la décentralisation pour créer une « infrastructure de données européenne ». Par exemple, pour des activités de recherche autonomes, Gaia-X pourrait fournir un volume de données très élevé grâce à tous ses membres actifs sur ce segment. Pourtant, le projet Gaia-X a été récemment critiqué lorsque de nouveaux membres de Google, Microsoft, Amazon, Alibaba, Palantir, Huawei… sont apparus au sein de l’association. Pour les défenseurs de la souveraineté numérique, le soutien de ces membres contredit l’objectif initial du projet et discrédite les objectifs poursuivis.

De son côté, Gaia-X répond qu’il ne s’agissait jamais de créer un écosystème de cloud et de données souverain et sécurisé soutenu par des acteurs 100% européens, mais d’inviter des fournisseurs américains et chinois à la table pour collaborer.