Accueil > Financement et politiques publiques > Loi SREN : le cloud souverain au cœur des débats Loi SREN : le cloud souverain au cœur des débats Depuis l’été, d’âpres discussions animent députés et sénateurs autour du volet cloud de la loi SREN (Sécuriser et réguler l'espace numérique). Cette dernière, qui doit être promulguée d’ici la fin de l’année, laisse encore beaucoup de points de discordes autour de ce que la définition d’un “cloud souverain” et de la méthode pour y parvenir. mind Health a interrogé les rapporteurs de ce projet de loi, côté Sénat et Assemblée nationale, pour comprendre les enjeux économiques et stratégiques de la loi SREN, notamment en santé. Par Romain Bonfillon. Publié le 14 novembre 2023 à 23h07 - Mis à jour le 20 août 2024 à 17h26 Ressources En pleine période estivale, les discussions autour du cloud souverain auront été particulièrement chaudes. L’automne n’aura pas dissipé le brouillard sémantique qui plane autour de l’informatique en nuage, chaque camp ayant une conception spécifique (cf. notre encadré) de ce que devrait être un “cloud souverain”. C’est un amendement, l’article 10 BIS A, introduit pendant l’été par la sénatrice Catherine Morin-Desailly qui a mis le feu aux poudres. Ce dernier voulait imposer aux fournisseurs de solutions cloud traitant de données sensibles – et notamment de données de santé – la qualification la plus élevée en la matière : SecNumCloud. Une telle disposition revient concrètement à exclure les trois hyperscalers américains – Amazon Web Services (AWS), Microsoft Azure et Google Cloud – qui représentaient 70 % du marché français en 2022 (dont 45 % pour le seul AWS, source : Markess by Exægises). Anne Le Hénanff, députée Horizons et rapporteure du volet cloud de la loi SREN. Cet article 10 bis A a finalement été retoqué le 21 septembre dernier lors de son examen en Commission spéciale, avant d’être réintroduit et complètement réécrit par plusieurs membres de l’Hémicycle, notamment Anne Le Hénanff, députée Horizons et rapporteure du volet cloud de la loi SREN. “L’article 10 BIS A, explique-t-elle à mind Health, tel qu’écrit par le Sénat n’était pas réaliste. Nous avons rencontré les principaux clouders français, qui sont en train de s’organiser pour conquérir le marché européen.” TENDANCES 2023 : La course au cloud souverain est lancée Le choix du pragmatisme Avancer franchement ou prudemment sur la souveraineté numérique : deux méthodes s’opposent actuellement, qui vont décider du message politique adressé aux clouders français et à l’Europe au travers de la loi SREN. La position minimaliste, soutenue et qualifiée de “pragmatique et réaliste” par Anne Le Hénanff a consisté à imposer deux types de contraintes différentes, selon la nature des données traitées. “Pour les données sensibles, qui étaient les données publiques des administrations centrales, c’est-à dire les ministères, c’est désormais la doctrine “cloud au centre” qui s’appliquerait (cf. encadré). Nous aurions pu adresser un message politique très fort en imposant la qualification SecNumCloud pour tous, mais cela coûterait trop cher aux acteurs et, au niveau technique, les clouders français ne pourraient pas accueillir toutes ces données techniques en même temps. Il faut compter au minimum 18 mois pour les migrations”, explique Anne Le Hénanff. “Les données de santé, poursuit-elle, n’appartiennent pas à la même sphère, et nous les avons sorties du cadre de l’article 10 BIS A (elles ont été intégrées dans un article 10 BIS B, ndlr). Pour celles-ci, le référentiel HDS apporte déjà de solides garanties, et il est d’ailleurs en cours de réactualisation. Ce n’est certes pas le niveau SecNumCloud, mais pour avoir discuté avec des opérateurs de santé comme Doctolib et Medaviz (tous deux ont des données hébergées dans le cloud AWS, ndlr), ce niveau de sécurité est déjà très élevé !” Patrick Chaize, sénateur Les Républicains et co-rapporteur du projet de loi SREN Du côté du Sénat, le sénateur Les Républicains et co-rapporteur du projet de loi SREN Patrick Chaize ne décolère pas : “soit on fait la loi, soit on est au gouvernement. Un parlementaire ne devrait pas se poser la question des moyens, il doit avoir en tête ce qui est le meilleur pour le pays et la défense de nos concitoyens”. Et d’ajouter : “si à chaque fois nous réfléchissons à la mise en œuvre, nous devenons forcément minimalistes dans nos positions”. Lui considère “les données de santé comme les plus sensibles qui soient”. Il a également rencontré des clouders français mais observe que “là où certains sont réticents et mettent en avant des complexités, d’autres se disent prêts à répondre à la contrainte”. Les textes européens en ligne de mire La prudence de la position prise majoritairement par l’Assemblée nationale s’explique par les débats en cours au niveau européen, notamment à propos du Data Act. “Nous avons examiné le texte de la loi SREN à un moment où l’encre n’était pas tout à fait sèche du côté européen, ce qui explique qu’il a fallu attendre fin octobre pour que l’on ait des éléments stables sur le Data Act, en produisant du droit qui soit raccord avec lui”, explique le député Renaissance Eric Bothorel. “Nous allons bientôt avoir les conclusions de ce texte , ajoute Anne Le Hénanff, nous allons aussi avoir peut-être des avancées sur les négociations EUCS (la certification européenne relative aux prestataires de cloud, appelée à remplacer le référentiel SecNumCloud). Nous n’avons pas voulu être plus royaliste que le roi et nous faire finalement retoquer par l’Europe. Plutôt que de planifier rapidement une CMP (Commission mixte paritaire, ndlr) pour tomber d’accord sur un texte qui serait potentiellement retoqué, notre ministre, Jean-Noël Barrot, a choisi d’envoyer à Bruxelles le texte du Sénat, modifié par l’Assemblée nationale. La notification de l’Europe a eu lieu très rapidement et nous avons déjà eu des retours sur les titres. Je n’ai pas eu accès au courrier de la Commission européenne, mais selon mes sources, le titre 3 (le volet concernant le cloud, ndlr) n’a pas été modifié et a été estimé conforme”. Ce motif de satisfaction ne fait pas la joie de tous les parlementaires. Pour Patrick Chaize, cette prudence assumée “est une façon de dire “attendons que l’Europe fasse”. Mais l’Europe c’est nous !, s’exclame-t-il. J’ai été en 2021 l’auteur de la loi Reen (Réduction de l’empreinte environnementale du numérique, ndlr),, et lorsque j’ai lancé ce travail, beaucoup m’ont dit qu’il allait être impossible de le mettre en place, puisque c’est l’Europe qui décide. Le texte est sorti, nous atteignons nos objectifs et l’Europe regarde aujourd’hui ce qu’a fait la France pour pouvoir étendre cette loi à d’autres pays.” Health Data Hub : vers un statu quo ? Autre sujet de discorde : le cas du Health Data Hub (HDH), qui, pour des raisons de souveraineté de la donnée, doit depuis plusieurs années migrer vers un nouveau cloud (opéré jusqu’à présent par Microsoft Azure), à minima européen. Or, l’article 10 BIS A, dans sa dernière version, propose une dérogation pour tous les projets déjà en cours. La question est des plus délicates pour les parlementaires, le gouvernement (Cédric O, puis Jean-Noël Barrot) s’étant clairement prononcé, tout comme le Conseil d’État en 2020, pour une migration du HDH. La députée Horizons tempère : “Je ne suis pas favorable à ce qu’il y ait beaucoup de dérogations. Je pense d’ailleurs que les sénateurs nous demanderont des précisions là-dessus.” Patrick Chaize confirme : “le Health Data Hub est un des points de discussion”. L’avenir de la loi SREN Si la date de la Commission mixte paritaire (CMP) – qui, statutairement, rassemble 7 députés et 7 sénateurs pour tomber d’accord sur une version définitive d’un texte – n’est pas encore fixée (elle était pressentie pour le 28 novembre mais les parlementaires pourraient se laisser plus de temps), les conclusions de celle-ci pourraient survenir d’ici mi-décembre, et la loi SREN devenir opérationnelle. C’est en tout cas ce que soutient la députée Anne Le Hénanff, qui sait que “le point de discussion le plus dur concernera l’article 10 BIS B” (celui qui concerne spécifiquement les données de santé). En cas d’échec de cette CMP, une nouvelle lecture serait organisée dans chaque chambre, puis le gouvernement peut donner le dernier mot à l’Assemblée qui peut, dans ce cas, reprendre le dernier texte voté par elle. “On marche sur des oeufs, mais ce serait un très mauvais signal sur le numérique que le gouvernement choisisse cette voie”, prévient le sénateur Patrick Chaize. Le député Renaissance Eric Bothorel, membre de la Commission spéciale chargée d’examiner le projet de loi SREN, se veut optimiste : “L’expérience que j’ai de la configuration actuelle de l’Assemblée nationale et du Sénat est qu’elle arrive très souvent à une CMP positive et je n’ai pas repéré d’élément irritant entre les deux chambres, qui soit d’une nature à la compromettre. Je suis donc assez confiant sur une CMP qui, si elle devait avoir lieu tout début décembre, permettrait d’aboutir à l’adoption d’un texte peut être avant la fin de l’année”. Cloud “souverain”, “de confiance”, “au centre”…quelles différences ? Le label “cloud de confiance” s’appuie sur le référentiel SecNumCloud délivré par l’Anssi (Agence nationale de la sécurité des systèmes d’information). Ce label représente aujourd’hui le plus haut niveau de sécurité et de protection des données et protège du risque de droit extra-territorial. Dans sa dernière version (3.2, datée du 8 mars 2022), SecNumCloud impose au prestataire l’application exclusive du droit européen. Les prestataires dont le siège social est établi hors de l’UE, ou ceux qui dépendent de manière capitalistique d’acteurs non européens, ne sont donc pas éligibles à la qualification. Rappelons que l’Anssi et la DGE ont défini un nouveau seuil de capital que devaient détenir des acteurs européens dans une joint venture type S3NS ou Bleu. Il est passé de 51 % à 61 %. Le label “cloud de confiance”n’impose pas seulement d’être SecNumCloud. Il impose également de ne pas dépendre de droits extra-européens, qualifiés “d’inamicaux et intrusifs” par Bruno Le Maire, faisant référence à deux législations américaines : le Cloud Act et le FISA (qui décrit notamment les procédures de surveillance physique et électronique, ainsi que la collecte d’information sur des puissances étrangères soit directement, soit par l’échange d’informations avec d’autres puissances étrangères). Voici la liste des services et prestataires qualifiés SecNumCloud au 19 septembre 2023. Lancée en octobre 2021, la doctrine “cloud au centre” stipule que “le cloud devient dorénavant le mode d’hébergement et de production par défaut des services numériques de l’État, pour tout nouveau produit numérique”. Elle précise que “les services numériques des administrations doivent être hébergés sur l’un des deux cloud interministériels internes de l’État ou sur les offres de Cloud proposées par les industriels satisfaisant des critères stricts de sécurité. L’offre de Cloud commerciale retenue devra impérativement respecter la qualification SecNumCloud (ou une qualification européenne garantissant un niveau au moins équivalent, notamment de cybersécurité). “La partie qualification SecNumCloud, précise le député Renaissance Eric Bothorel, est déconnectée, tout en étant subordonnée, au Cloud au centre, qui autorise les modèles hybrides sous licence américaine (type Bleu ou S3NS, ndlr). Cette doctrine dit que par rapport au risque d’extra-territorialité que contient certaines dispositions du droit américain, la meilleure manière de s’en protéger est de faire naître ces offres hybrides, tout en rappelant qu’il existe une diversité d’offres de cloud public sans licence américaine et un cloud opéré de manière régalienne par le ministère de l’Intérieur, qui opère un certain nombre de services pour des missions très critiques de l’Etat” (la défense et le nucléaire notamment, ndlr). La notion de cloud souverain ne s’appuie quant à elle sur aucune doctrine ou référentiel. Elle est donc beaucoup plus floue. Parle-t-on d’une souveraineté française ou européenne ? Les solutions des GAFAM, exploitées sous licence par des acteurs du Vieux Continent, peuvent-elles être qualifiées de souveraines ? Chez les élus eux-mêmes, le périmètre de la souveraineté est très flou. “Le label cloud de confiance assure un cloud souverain, mais ce n’est pas parce qu’un cloud est souverain qu’il est de confiance, assure la députée Horizon Anne Le Hénanff alors que pour le sénateur LR Patrick Chaize , “le cloud souverain permet la confiance”. Pour ce dernier, la notion de souveraineté implique le respect des critères imposés par le référentiel SecNumcloud ,principalement pour se défendre du principe d’extra-territorialité de la loi américaine, mais tous les parlementaires ne conçoivent pas la souveraineté de manière aussi restrictive. Loi SREN : ce qu’en pensent les clouders français Dans leur ensemble, les clouders français – particulièrement ceux qui sont déjà qualifiés SecNumCloud – se disent favorables aux dernières évolutions de la loi SREN. Ainsi, Guillaume Poupard, directeur général adjoint de Docaposte (qui porte l’offre de cloud Numspot) et artisan de la stratégie SecNumCloud au sein de l’Anssi, dont il a été le directeur général, soutient dans une récente tribune l’orientation prise par les dernières évolutions du projet de loi. “Maîtriser ne signifie pas tout faire soi-même, tourner le dos à l’innovation technologique, s’enfermer dans une vision rétrograde et conservatrice. Maîtriser c’est au contraire savoir tirer profit des progrès technologiques d’où qu’ils viennent (-) Maîtriser le cloud, c’est encore être capable de s’assurer par nous-mêmes du niveau de sécurité, de confidentialité, de disponibilité de ces services devenus absolument essentiels à notre société”, écrit-il. Ajoutons que Docaposte et son cloud Numspot labellisé HDS SecNumCloud semble être aujourd’hui bien positionné pour s’arroger le marché stratégique du Health Data Hub (ses concurrents Bleu et S3NS n’ont pas à date la qualification SecNumCloud). À l’occasion de la présentation de sa nouvelle stratégie en santé, le groupe La Poste a, par la voix de Dominique Pon, directeur du pôle La Poste Santé & Autonomie du groupe, précisé : “D’ici le printemps 2024, nous aurons déjà un premier paquet de services managés qui permettront de remplir des fonctions de sécurité, d’administration des développements”. Du côté du français OVH Cloud (qualifié lui aussi SecNumCloud), Solange Viegas Dos Reis, sa directrice juridique, qui dit “[souffrir] des pratiques anticoncurrentielles des hyperscalers”, confiait récemment à 01Net : “Nous accueillons avec énormément d’enthousiasme et d’espoir ce projet de loi sur l’espace numérique, et nous suivons de près ce nouveau texte. Il vient anticiper le cadre européen pour de très bonnes raisons. La dégradation du marché du cloud en Europe n’est pas un fantasme, c’est une réalité”. Cet enthousiasme vis-à-vis du volet cloud de la loi SREN est partagé par le cloud provider Cloud Temple, filiale de l’entreprise de services du numérique (ESN) française Neurones qui a été, en mars 2022, le premier infogérant français à être certifié SecNumCloud. Romain Bonfillon cloudCommission EuropéenneCybersécuritéDonnées de santéEuropeGAFAMHealth data hubPolitique de santéRèglementaire Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind