Berlin – Le chancelier Friedrich Merz (CDU) et le président français Emmanuel Macron ont annoncé leur participation à la réunion des ministres du numérique et des experts en informatique à Berlin. Environ 900 participants sont attendus mardi au sommet européen sur la souveraineté numérique. Ce qui a longtemps été un sujet de niche pour les professionnels de l’informatique figure désormais en bonne place sur l’agenda politique.
De nombreux entrepreneurs et cadres de l’administration publique se posent la question anxieuse : dans quelle mesure mes données sont-elles sécurisées dans les cloud de grandes entreprises technologiques américaines telles qu’Amazon Web Services (AWS), Microsoft Azure ou Google Cloud ? Et est-ce qu’un jour l’accès à mon compte email pourrait être bloqué ? Il ne s’agit pas expressément d’inquiétudes concernant d’éventuelles attaques de pirates informatiques, mais d’éventuelles mesures prises à la demande du gouvernement américain.
Pas un sommet technologique anti-américain
Le gouvernement fédéral a déclaré que le sommet de Berlin n’était pas explicitement dirigé contre les Etats-Unis. Mais peut-être ne souhaitez-vous tout simplement pas jeter de l’huile sur le feu étant donné les dépendances existantes et les questions douanières sensibles.
Accès à la justice américaine ?
Quoi qu’il en soit, le Centre pour la souveraineté numérique dans l’administration publique, fondé en 2022 par le ministère fédéral de l’Intérieur, a publié cet été la référence suivante aux risques juridiques sous le titre « Le droit américain ne connaît pas de frontières » : « Grâce à des lois telles que le CLOUD Act et la FISA 702, tous les fournisseurs de cloud américains sont soumis à l’obligation de divulguer les données même si elles sont stockées en dehors des États-Unis. Il en va de même pour les ordonnances contraignantes correspondantes du président américain. Le cloud Amazon Web Services est utilisé, par exemple, pour stocker les enregistrements des caméras de la police fédérale.
La FISA 702 permet aux agences de renseignement américaines telles que la NSA d’intercepter les communications fournies par des entreprises américaines. Le Cloud Act permet aux agences d’enquête et aux forces de l’ordre américaines d’accéder aux données stockées par les entreprises américaines, quel que soit l’endroit où elles se trouvent physiquement, y compris dans les centres de données européens.
Défis géopolitiques
« Le renforcement de la souveraineté numérique européenne est une question importante pour le gouvernement fédéral ainsi que pour les gouvernements des autres États membres de l’UE – notamment au vu des défis géopolitiques actuels », déclare un porte-parole du ministère du Numérique. Le sommet devrait envoyer « un signal fort indiquant que l’Europe est consciente des défis et qu’elle s’engage à faire progresser la souveraineté numérique ».
Pour le Centre pour la souveraineté numérique, l’objectif déclaré est de briser les « dépendances critiques » de l’administration publique à l’égard des grands fournisseurs de logiciels et de cloud, pour la plupart non européens, dont les solutions font désormais partie intégrante de nombreuses infrastructures informatiques étatiques.
Presque rien ne fonctionne sans le cloud
Certaines entreprises sont également alarmées. Selon une étude publiée au début de l’été par l’association professionnelle Bitkom, neuf entreprises allemandes sur dix comptant au moins 20 salariés utilisent des services cloud. Dans le même temps, 78 pour cent des managers et spécialistes informatiques interrogés critiquent les liens étroits avec les fournisseurs de cloud américains. Le désir d’alternatives européennes puissantes est donc grand – à condition que les mêmes fonctions soient proposées.
La présidente de l’Office fédéral pour la sécurité de l’information (BSI), Claudia Plattner, a déclaré en août que le Cloud Act américain était l’une des nombreuses lois américaines qui offraient à l’État de nombreuses possibilités d’accès. On peut aussi trouver quelque chose comme ça en Chine. La réponse à la question du contrôle ne doit pas être politique mais technologique. « Il s’agit de s’assurer que l’accès n’est pas techniquement possible », souligne-t-elle. Il s’agit notamment du chiffrement et de la question de savoir si l’utilisateur a la souveraineté sur ces clés.
Sven Kummer, fondateur d’une société de logiciels de distribution sécurisée de newsletters basée à Fribourg, estime qu’il est bon que l’on tente de lier l’utilisation des grands fournisseurs de services cloud américains à des mesures de sécurité. Avoir des fournisseurs de services cloud de cette taille en Europe serait «bien sûr aussi formidable», déclare le directeur général de rapidmail. Et d’ajouter avec regret : « Malheureusement, ce n’est pas encore le cas. »
L’emplacement du serveur devient de plus en plus important
Alors qu’auparavant pratiquement aucun client ne voulait savoir où se trouvaient les serveurs de rapidmail, c’est depuis plusieurs mois la question à laquelle les collaborateurs du service clientèle doivent répondre le plus souvent, rapporte Kummer. La réponse : dans un centre de données à Francfort-sur-le-Main.
Ce qui suit s’applique à sa propre entreprise : « Tant qu’il s’agit de données appartenant à nos clients, j’aimerais les avoir à portée de main afin de pouvoir vraiment dire à nos clients avec certitude : « Hé, nous avons la main là-dessus, personne d’autre ne l’a, et cela restera ainsi. » Ses clients sont principalement des petites et moyennes entreprises, des clubs, des associations ou même des entrepreneurs individuels. Ils attendent de Kummer et de son équipe qu’ils veillent à ce que leurs newsletters soient belles et que les destinataires ne finissent pas dans leur dossier spam. garantir que toutes les règles de protection des données sont respectées et qu’aucune personne non autorisée n’a accès aux données sensibles – telles que les listes de destinataires.
Faites-le – difficile en Allemagne
rapidmail fait partie du groupe positif franco-allemand depuis 2021. Le concept consistant simplement à essayer quelque chose, à voir si cela fonctionne et, si cela ne fonctionne pas, à essayer la prochaine chose, ne peut pas être mis en œuvre en Allemagne en raison des nombreuses réglementations, explique Kummer. « C’est beaucoup plus facile aux Etats-Unis ou dans d’autres pays d’essayer quelque chose. » Selon lui, la réduction de la bureaucratie et l’accès au capital-risque seraient importants pour que l’Allemagne puisse rattraper son retard dans la concurrence internationale des start-ups technologiques – plus importante que le financement et les énormes centres de données d’IA.
