TRIBUNE
Pierre-Alain Raphan responsable des relations institutionnelles de l’hébergeur de sites web Claranet et vice-président de la French TechCorporate Community
Après le vote, le 10 avril, par l’Assemblée nationale de la loi sur la sécurisation de l’espace numérique (SREN), l’expert du cloud Pierre-Alain Raphan plaide dans une tribune au « Monde » pour l’innovation technologique dans la sécurisation des données sensibles
L’adoption définitive de la loi sur la sécurisation de l’espace numérique (loi SREN), le 10 avril, soulève un certain nombre de questions quant à son application pratique et à sa pertinence, notamment pour l’hébergement des données. Après plusieurs mois de discussions sur les législations liées au concept de souveraineté numérique en France, il serait opportun de se concentrer sur une approche moins dogmatique de la protection des données, en privilégiant plutôt la mise en œuvre opérationnelle et l’innovation technologique dans un espace numérique sans frontières physiques.
Avec ce texte, le législateur a associé la protection des données sensibles à la nécessité de les préserver de potentiels accès d’Etats tiers, au nom de la « souveraineté numérique ». Cette approche a été en partie confirmée par la volonté du gouvernement, affichée dans une liste de quinze règles exposées dans la circulaire « Cloud au centre », publiée le 31 mai au Journal officiel (« Actualisation de la doctrine d’utilisation de l’informatique en nuage par l’Etat »). La protection des données sensibles est certes essentielle. Toutefois, cet objectif doit être mis en œuvre de façon intelligente afin de permettre l’utilisation de technologies innovantes, notamment pour servir l’intérêt général (santé, recherche, environnement, sécurité nationale, etc.). Aussi, il serait plus pragmatique de se pencher sur les solutions technologiques réalistes et efficaces déjà disponibles.
La sécurité des données par des solutions technologiques
En Europe, l’approche adoptée par la BSI, l’équivalent allemand de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) française, mérite largement d’être étudiée. La BSI privilégie l’étanchéité d’accès aux données par la qualité technologique, en particulier le chiffrement des données, plutôt que de s’obstiner sur le dogme de sécurité juridique, qui est en incohérence totale avec la volonté de la France d’attirer les investisseurs étrangers pour booster l’innovation.
C’est ainsi que certains fournisseurs de services s’assurent de ne pas posséder les clés de déchiffrement des données qu’ils hébergent, rendant ainsi leur divulgation impossible. Cette approche combinant protection des données et solutions technologiques est beaucoup plus efficace et encourage la confiance et la responsabilité des utilisateurs.
Nous invitons le Conseil d’Etat à considérer cette approche dans la rédaction des décrets d’application. Le concept de sécurité juridique n’a d’ailleurs jamais empêché l’accès aux données des acteurs de la cyberdélinquance ou de l’espionnage, comme l’a démontré l’épisode Pegasus.
Les efforts visant à renforcer la sécurité des données doivent être soutenus par des solutions technologiques appropriées, capables de s’adapter aux évolutions du paysage numérique et d’innover constamment pour répondre à des besoins changeants. La mise en œuvre des solutions proposées est un élément capital à considérer, maintenant que le texte législatif a été adopté. Il nous faut veiller à ce que les décisions prises ne soient pas uniquement louables en théorie, mais également réalisables dans la pratique des réseaux numériques.
La French Tech Corporate Community est un groupe de travail pour la transition numérique des entreprises françaises (120 membres).
Pierre-Alain Raphan (responsable des relations institutionnelles de l’hébergeur de sites web Claranet et vice-président de la French Tech Corporate Community)