La souverainete numerique est devenue une preoccupation pressante a travers l'Europe, alors que les organisations cherchent a reduire leur dependance envers les fournisseurs de services bases aux Etats-Unis. Que vous exploitiez un site web, geriez une entreprise ou construisiez des produits numeriques, comprendre ou vivent vos donnees et qui peut y acceder n'est plus optionnel.

Le CLOUD Act americain et ses implications

Adopte en 2018, le CLOUD Act americain (Clarifying Lawful Overseas Use of Data Act) a resolu un litige juridique entre Microsoft et le gouvernement americain concernant des donnees clients stockees sur des serveurs en Irlande. Le resultat etait clair : les autorites americaines peuvent contraindre les entreprises americaines a fournir des donnees quel que soit l'endroit ou elles sont physiquement stockees.

Pour les organisations europeennes, cela cree un veritable conflit. L'article 48 du RGPD stipule que les autorites etrangeres doivent passer par les traites d'entraide judiciaire (MLAT) pour acceder aux donnees. Un fournisseur dont le siege est aux Etats-Unis et qui se conforme au CLOUD Act peut simultanement violer la legislation europeenne sur la protection des donnees, et vice versa.

Pourquoi les "centres de donnees europeens" ne suffisent pas

Les grands fournisseurs de cloud americains ont reagi en promettant que les donnees des clients europeens restent sur le sol europeen. AWS a construit un "European Sovereign Cloud" dans le Brandebourg, Microsoft propose une "EU Data Boundary" et Google promeut des "Sovereign Controls". Ce sont des avancees positives, mais elles ne traitent pas le probleme fondamental.

La juridiction legale suit l'entreprise, pas le rack de serveurs. Si l'organisation mere est constituee aux Etats-Unis, le CLOUD Act s'applique toujours, quelle que soit l'adresse du centre de donnees.

Des fournisseurs d'infrastructure veritablement europeens

Des entreprises comme Hetzner (basee a Gunzenhausen, Allemagne) et OVH (dont le siege est en France) offrent des alternatives de propriete europeenne. Toutes deux exploitent des centres de donnees en Europe, relevent du droit europeen et ne sont pas soumises au CLOUD Act.

Alternatives logicielles europeennes

Au-dela de l'infrastructure, un nombre croissant d'applications europeennes peuvent remplacer les outils domines par les Etats-Unis :

Email : Mailbox.org, Proton Mail, Tuta
Bureautique et collaboration : Nextcloud, OnlyOffice, CryptPad
Videoconference : Jitsi, BigBlueButton
Analyse web : plateformes d'analyse europeennes respectueuses de la vie privee au lieu de Google Analytics

Etapes vers une plus grande independance

Auditez vos charges de travail critiques et identifiez les dependances controlees par les Etats-Unis
Regardez au-dela de la localisation physique du centre de donnees vers la juridiction legale du fournisseur
Migrez les services progressivement plutot que tout d'un coup
Soutenez les fournisseurs europeens en les choisissant lorsque la qualite est comparable
Traitez la conformite RGPD comme un avantage concurrentiel plutot qu'un fardeau