L’invalidation du Privacy Shield nous renvoie à la question de la territorialité des données. Pour Philippe Naelten, CEO, Win, une prise de conscience s’impose.

° A la mi-juillet, la Cour européenne de justice invalidait le Privacy Shield, le bouclier de protection des données entre l’Union européenne et les Etats-Unis partant qu’«il n’offre pas de garanties suffisantes pour protéger la vie privée». Quelle lecture en faites-vous ?

Philippe Naelten : C’est là, à tout le moins, un signal fort qui met à nouveau la question de la sécurité des données de nos citoyens, entreprises et organisations sous le feu des projecteurs. Par cette invalidation, la Cour considère que le niveau de protection des données personnelles aux Etats-Unis est inférieur à celui assuré en Europe. D’un point de vue légal, nos entreprises doivent cesser de transférer des données personnelles vers les Etats-Unis si elles n’utilisaient que le cadre légal du Privacy Shield…

° Et sur le plan opérationnel ?

Bien des interrogations demeurent. Car si, aujourd’hui, plusieurs dispositifs légaux tendent à converger vers une protection accrue -comme le GDPR et la Loi NIS- il reste à se poser la question du choix des opérateurs qui sont en charge de nos données, que ce soit pour leur collecte, leur transport, leur stockage ou leur traitement. En toile de fond, c’est l’enjeu de la capacité de garantir la territorialité -ou souveraineté- de ces données qui est posé…

La donnée, nouvel enjeu économique

° L’invalidation du Privacy Shield ne serait-elle qu’un épisode de plus du conflit larvé entre les Etats-Unis et l’Europe ? Un conflit, il est vrai, moins direct qu’entre les Etats-Unis et la Chine ?

La puissance, aujourd’hui, vient de la donnée, moteur de la transformation numérique. Utilisée dans tous les secteurs de notre société, elle est un facteur d’innovation important. Elle est intégrée dans toutes les stratégies de développement. C’est pourquoi elle est devenue l’enjeu d’une guerre économique à l’échelle mondiale, entre plusieurs opérateurs étrangers qui souhaitent en obtenir le monopole -de leur production jusqu’à leur traitement.

Ces opérateurs, ces big players, on les connait tous. Ils sont américains ou chinois. Ils sont ultra-dominants via leurs services de cloud computing, d’e-commerce ou d’e-services. Mais aussi au travers d’infrastructures réseaux (transport) et de data centers (stockage des informations), qu’elles implantent sur l’ensemble du globe.

Extra-territorialité des lois

° Où, précisément, situez-vous le danger ?

Une fois hébergées sur des serveurs distants et opérées par des acteurs non-européens, nos données échappent à notre législation. Elles sont, tout simplement, soumises à un droit étranger. Et ce droit ne nous est pas favorable…

Outre-Atlantique en particulier, la donnée numérique ne jouit pas de la même protection qu’en Europe. Tout d’abord à cause de la conception qui en est faite. Ainsi, aux Etats-Unis, la marchandisation des données individuelles, y compris les données médicales, est admise et acceptée de tous. Ensuite, à cause de la législation à laquelle elle est soumise.

Depuis 2001, en effet, le gouvernement américain s’emploie à déployer un arsenal législatif visant à garantir sa sécurité nationale, grâce au contrôle des données sur et même par-delà de son territoire. Le Patriot Act et le Cloud Act en sont les piliers.

Trop de données sensibles dans le cloud public

° La Commission européenne a pourtant réagi…

De fait, face à ces lois extra-territoriales invasives, l’Europe oppose le GDPR et la Directive NIS, traduite en loi belge en avril 2019. Mais il n’est pas certain que ce soit suffisant face à la force de frappe commerciale et législative américaine… souvent prompte, disons-le, à contourner les législations en vigueur.

° Nos entreprises en sont-elles conscientes ?

A voir le nombre de grands groupes européens -industriuels ou financiers- qui basculent leurs données sensibles dans le cloud public, il m’arrive de douter. Sans compter les instances publiques, voire les gouvernements. A plus petite échelle, imaginez une commune ou une ville dans l’incapacité d’accéder aux données relatives à sa population. Bref, la question n’intéresse pas seulement les CEO, mais aussi les citoyens !

Le bon sens nous invite à maintenir les données sur le territoire national, voire régional. Il nous faut garantir leur souveraineté. Ou, pour le dire autrement, veiller à ce que leur production, leur transport, leur stockage et leur traitement soient réalisés sur le territoire.

Les data centers, au cœur des politiques de territorialité

° Concrètement, qu’avons-nous besoin ?

Rien de plus que nous n’ayons déjà ! Disposer de data centers locaux et d’offres de cloud computing opérées par des acteurs nationaux. Travaillons plutôt sur la prise de conscience !

En tant que lieux de stockage et de traitement des données, les data centers sont devenus les pièces maîtresses des politiques de souveraineté des données des Etats. A ce titre, ils doivent être les garants de la disponibilité des données -une disponibilité à tout moment, grâce à une localisation physique permettant une connexion de haute qualité aux dorsales Internet. Les garants, aussi, de l’intégrité de nos données. Et de leur confidentialité.

Nouvelle stratégie numérique européenne

° Que pensez-vous des initiatives de cloud souverain lancées dans les pays limitrophes ?

Une intention justifiée, mais un échec à l’arrivée. Je pense ici au projet français Andromède. Dès 2009, le gouvernement français appelait de ses vœux la mise en place d’un ‘cloud souverain’. Hélas, les groupes technologiques sélectionnés pour le réaliser ne sont tout simplement pas parvenus à s’entendre…

En février 2020, la Commission européenne a présenté sa feuille de route en matière de transformation numérique. L’objectif ? Garantir la souveraineté numérique de l’Europe, grâce à plusieurs axes, dont les infrastructures critiques. Quatre mois plus tard, la France et l’Allemagne annonçaient vouloir combiner leurs forces pour concurrencer les GAFAM sur le secteur du cloud. C’est le lancement du projet Gaia-X, qui édictera les grands principes de sécurité, d’interopérabilité et de portabilité des données, auxquels les entreprises volontaires devront répondre pour proposer leurs offres de services. Gaia-X, c’est bon signe, devrait s’ouvrir à d’autres pays…

Une philosophie «multi-clouds»

° Et en Belgique ?

Les acteurs ICT nationaux ont un rôle majeur à jouer. Ils doivent être capables de proposer des services offrant toutes les garanties de transparence sur les données. Pour ce faire, opérer en propre une architecture globale -transport, hébergement, traitement des données- et située sur le territoire national ou régional, apparait comme une solution adaptée, puisque l’opérateur pourra garantir la traçabilité et la maîtrise sur les données de ses clients.

Notre pays dispose d’infrastructures multiples, que ce soit en réseaux, ou data centers, et d’opérateurs dont l’expertise est reconnue. Pour l’externalisation des services IT de ses clients, Win a développé son propre cloud privé qui est hébergé dans son data center. Et il est connecté à la demande aux clouds publics. L’objectif, en effet, n’est pas de se passer de ces fournisseurs, aujourd’hui incontournables, mais de permettre aux organisations de s’engager dans une philosophie «multi-clouds» où un cloud privé est utilisé pour traiter les données sensibles et les clouds publics pour les données standards.

Win et l’enjeu de la territorialité des données

Win a placé cet enjeu de la territorialité des données au cœur de sa stratégie. Les différents investissements structurels et les développements de produits réalisés ces dernières années l’ont été en ce sens.

La vision de Win est de proposer à ses clients professionnels et aux institutions nationales et régionales une solution de transport, d’hébergement et de traitement garantissant une totale maîtrise et traçabilité sur les données.

Win occupe un positionnement singulier sur le marché télécom professionnel : il est l’un des rares acteurs capable de proposer à ses clients une architecture ICT complète, depuis la connectivité réseau, jusqu’au cloud en passant par la sécurisation des données, la téléphonie et les outils collaboratifs