Le contexte géopolitique pose un certain nombre de questions : depuis l’élection de Donald Trump, certains accords qui protégeaient les données des entreprises sur le cloud se trouvent remis en question. Dans la mesure où le président américain s’interroge sur l’accord qui protège les transferts de données entre l’Union Européenne et les États-Unis (TADPF), les entreprises ont tout intérêt à anticiper la migration vers un autre cloud, idéalement sur le territoire français : explications.

Pourquoi la sécurité des données sur le cloud est-elle remise en cause ?

Qu’il s’agisse d’Amazon avec AWS, de Microsoft avec Azure ou encore de Google, par exemple, toutes ces offres de cloud public sont utilisées en masse par les entreprises françaises et européennes.

Souvent plébiscitées pour leur flexibilité et leurs tarifs abordables, ces offres ne laissent généralement pas aux entreprises le choix de l’emplacement de leurs données. Ainsi, les données sont habituellement hébergées dans des datacenters aux États-Unis et dépendent donc de la législation de ce pays.

Afin de protéger ces données qui transitent d’un pays – et d’un système juridique – à l’autre, nos gouvernements respectifs avaient mis en place l’accord TADPF, pour Transatlantic Data Privacy Framework.

TADPF : qu’est-ce que c’est, et pourquoi est-il mis en péril par l’administration Trump ?

L’objectif du TADPF est de maintenir un équilibre entre les législations européenne et américaine sur les données. En effet, si la base réglementaire européenne est le RGPD, les États-Unis ne fonctionnent pas du tout de la même manière.

Avec le RGPD en Europe, toutes les données sont protégées, dans la mesure où aucun accès ne peut être autorisé sans raison valable. Mais aux États-Unis, c’est le Cloud Act, beaucoup plus permissif, qui encadre les pratiques. Avec lui, les autorités américaines sont autorisées à accéder aux données des entreprises américaines (et ceci peu importe leur lieu de stockage, sur le territoire national ou ailleurs).

Face à ces divergences en termes d’encadrement, on comprend aisément qu’il puisse être compliqué d’héberger des données sur le territoire américain. Alors pour pallier ces différences réglementaires, l’accord TADPF a été conclu avec l’Union Européenne.

Avec lui, les données peuvent circuler partout dans le monde et jusqu’aux États-Unis, dans le respect des exigences de l’Union Européenne. Pour garantir le respect de cet accord TADPF, c’est l’organisme PCLOB qui entre en jeu (Privacy and Civil Liberties Oversight Board). Cet organisme a été constitué pour contrôler les actions des agences gouvernementales sur les données, et éviter tout abus.

Pourquoi le cloud américain peut-il devenir un problème pour les entreprises françaises ?

Plusieurs membres démocrates du PCLOB ont été sommés de démissionner. Ces démissions posent un vrai problème, puisqu’elles remettent en cause le fonctionnement de l’organisme, et surtout son caractère indépendant.

Pour le moment, cet accord TADPF continue de fonctionner, mais l’équilibre qui a été construit entre les États-Unis et l’Union Européenne semble devenir de plus en plus précaire.

Il est important de comprendre qu’en cas d’annulation de cet accord, toutes les entreprises qui ont des données dans le cloud américain se trouveront pénalisées.

En effet, la collaboration entre les deux territoires se fonde exclusivement sur cet acte et, sans lui, impossible d’héberger légalement des données personnelles sur un cloud américain… Puisque ces données pourraient être exploitées à n’importe quel moment et de manière totalement libre par les autorités gouvernementales des États-Unis.

Le TADPF peut-il s’écrouler ?

S’il est impossible de prédire ce qu’il adviendra ces prochains mois, une chose est sûre : les décisions récemment prises côté USA fragilisent cet accord qui simplifiait la circulation des données outre-Atlantique.

Il est important de comprendre que l’organisme qui se charge du TADPF, le PCLOB, s’appuie sur des engagements diplomatiques, et pas sur d’authentiques lois.

En d’autres termes, ces accords peuvent être enrayés assez rapidement si le président américain le décide.

Aujourd’hui, la sonnette d’alarme n’est pas encore tirée, car le TADPF reste d’actualité. Mais s’il venait à être annulé, il ne faut pas oublier que toutes les entreprises qui ont des données personnelles sur un cloud américain seraient automatiquement dans l’illégalité.

Face aux risques diplomatiques, la nécessité de migrer vers un cloud souverain

Votre logiciel RH, votre ERP ou votre logiciel métier est hébergé sur un cloud public et sur des datacenters américains ? Pour éviter de vous retrouver bloqué en cas de suppression des accords actuels sur la gestion des transferts de données entre l’Europe et l’Amérique, anticipez dès maintenant votre migration vers le cloud souverain.

Se préparer pour éviter les situations bloquantes

Placer dès à présent vos données dans un cloud souverain, c’est garantir votre sérénité face aux évolutions outre-Atlantique. Quels que soient les arbitrages aux États-Unis, vous savez que vos données restent hébergées en France et, ainsi, que vous respectez la réglementation RGPD.

Les entreprises qui n’auraient pas anticipé pourraient voir un ou plusieurs service(s) complètement bloqués si l’accord TADPF venait à être annulé par les États-Unis.

Faire le choix d’un cloud souverain, c’est vous appuyer sur une solution qui garantit :

La protection des données sensibles ;
La conformité aux réglementations européennes comme la RGPD ;
Mais aussi une tranquillité d’esprit face aux enjeux de sécurité et de confidentialité !

Appuyez-vous sur les équipes de Sigma, hautement qualifiées et en mesure de vous fournir des solutions personnalisées. Nous garantissons des tarifs compétitifs et transparents pour toutes les entreprises en quête d’un cloud souverain et sécurisé.

Demander un devis

Au-delà de cette actualité qui fait couler beaucoup d’encre, le choix d’un cloud souverain vous permet de supprimer tout phénomène de dépendance aux aléas géopolitiques à l’international.

Se protéger des changements de règles et/ou de tarifs

S’appuyer sur un cloud souverain, c’est aussi faire le choix d’un fournisseur de service français, établi sur le territoire. Avec lui, vous vous protégez des risques financiers liés à l’usage d’un service international soumis à une plus grande pression.

D’une manière plus générale, le choix d’un cloud souverain préserve une forme d’indépendance, tout en vous permettant de soutenir l’économie locale en tant qu’entreprise.

Anticiper les évolutions législatives en France

Aujourd’hui, dans un certain nombre de secteurs sensibles (comme la santé, par exemple), le recours à un cloud privé et souverain est déjà obligatoire. En effet, la loi interdit aux entités qui conservent des données critiques de les placer sur des serveurs hors du territoire national.

Face à un contexte géopolitique tendu, ces réglementations peuvent aussi être amenées à évoluer. Pour les entreprises qui ne sont pas encore concernées, il reste toujours intéressant d’anticiper en s’appuyant dès maintenant sur un cloud souverain.

En parallèle de ces tensions, l’Union Européenne remet le sujet de l’EUCS sur le devant de la scène en 2025. Ce projet vise à définir un cadre commun pour la sécurité du cloud partout en Europe. Il a déjà été question, avec l’EUCS, de créer une immunité aux lois extra-territoriales qui empêcherait les USA d’accéder aux données des européens, même quand celles-ci sont sur un cloud américain. Difficile à mettre en œuvre, cette disposition avait été mise de côté pour des raisons géopolitiques… Mais elle pourrait finalement être réexploitée dans le contexte actuel, si les autres pays de l’UE s’attachent eux aussi à protéger la souveraineté de leurs données.

Le cloud souverain n’est déjà plus une option pour certains établissements soumis à des réglementations très strictes. Mais pour tous les autres, il reste un choix fiable sur le long terme, garantissant la protection des données critiques et la conformité avec les réglementations en place. Appuyez-vous sur un accompagnement expert, et faites confiance à Sigma pour une transition cloud maîtrisée.