INTERVIEW. En quoi le SecNumCloud est-il un gage de confiance pour les données des entreprises françaises ?

Le SecNumCloud est un référentiel d’exigences publié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), relatif aux prestataires de service d’informatique en nuage. Lancé en 2016 dans sa première version, le SecNumCloud a été mis à niveau le 9 mars 2022 (version 3.2), afin de renforcer les critères de protection des données hébergées dans le cloud vis-à-vis des lois extra-européennes.

Vincent Derec (cofondateur de KS2) et Arnaud Quilton (Responsable du Département droit du numérique chez Avoconseil) reviennent sur les enjeux d’un cloud de confiance pour les entreprises françaises.

Qu’est-ce que le SecNumCloud ?

Arnaud Quilton. À l’échelle du temps numérique, le SecNumCloud est un référentiel d’exigences relativement ancien, l’ayant publié dans sa première version dès 2016. Son objectif est d’expliciter les règles qui s’appliquent aux prestataires de services d’informatique en nuage (ou « cloud »), dès lors qu’ils hébergent les données, les applications ou les systèmes d’information des entreprises françaises, publiques ou privées. Ce référentiel vise à attester de la qualité, de la robustesse et des compétences d’un certain nombre de prestataires informatiques dits « de confiance », selon les critères de l’Agence nationale de la sécurité des systèmes d’information. Il convient de noter que le SecNumCloud repose en grande partie sur la norme ISO 27001 dont l’objet est de définir les bonnes pratiques et les exigences relatives à la mise en œuvre de process permettant de garantir la sécurité de l’information.

Vincent Derec. À date, seuls 4 hébergeurs français ont la qualification SecNumCloud en tant que fournisseur de services d’infrastructure cloud (IaaS). KS2 a sélectionné son partenaire historique (ovh) pour héberger l’essentiel de sa plateforme d’application cloud. Cela se traduit très concrètement pour nos clients par :

  • un hébergement des données dans l’Union Européenne (100% en France pour le cloud KS2)
  • une chaine de sous-traitants de droit européen
  • des data centers certifiés (notamment HDS) qui répondent aux référentiels les plus exigeants en matière de conformité et de sécurité.

Quelles sont les nouveautés du SecNumCloud 3.2, dans sa version actualisée au 9 mars 2022 ? 

A. Q. La version 3.2 du SecNumCloud intègre des critères de protection spécifiques vis-à-vis des lois dites « extra-européennes ». Désormais, les prestataires agréés doivent garantir que les données qu’ils traitent ne peuvent pas être soumises à des lois non européennes, telles que le Cloud Act américain. C’est le principe d’« Immunité au droit non communautaire ». À titre d’exemple, le siège social du prestataire de services doit être établi dans un État membre de l’UE et des règles précises en matière d’actionnariat y sont énoncées. Cette nouvelle version du SecNumCloud prend donc en compte les dernières exigences de l’Union européenne en matière de protection des données personnelles, en intégrant notamment dans ce référentiel les conséquences de l’arrêt « Schrems II » rendu par la Cour de justice de l’Union européenne (CJUE) le 16 juillet 2020.

V. D. La version actualisée du SecNumCloud définit la notion de « cloud de confiance » et fait écho au « cloud au centre », la nouvelle doctrine de l’État sur l’usage de l’informatique en nuage par les administrations. La circulaire Castex de juillet 2021 impose entre autres que les services publics manipulant des données sensibles (données personnelles, données économiques, applications métiers) soient impérativement hébergés sur un cloud interne ou sur un cloud commercial qualifié SecNumCloud. Cette reconnaissance par l’État de ce label témoigne du très haut niveau de sécurité qu’il garantit aux entreprises françaises, tant dans le domaine public que privé.

Vous avez parlé de l’arrêt « Schrems II », sur quoi porte-t-il ?

A. Q. Cet arrêt fait suite à une plainte déposée en 2013 par un citoyen autrichien, Maximillian Schrems, auprès de l’autorité irlandaise de protection des données (DPC), dans le but d’interdire à Facebook Ireland le transfert de ses données personnelles aux États-Unis. Et l’on sait qu’au sein de ce pays, la réglementation est plus permissive : les programmes de surveillance gouvernementaux permettant de surveiller massivement les citoyens et, de facto, les citoyens européens sont monnaie courante. L’arrêt rendu par la CJUE entérine le fait que les citoyens européens doivent avoir la garantie que le traitement de leurs données soit au moins équivalent au Règlement général sur la protection des données (RGPD), même en cas de transfert des données en dehors de l’Union européenne. En d’autres termes, dès lors que les données sont traitées par des prestataires chinois ou américain par exemple, le niveau de protection doit être a minima équivalent à celui offert par le droit européen.

Comment avoir la certitude que les prestataires de services cloud offrent le plus haut niveau de sécurité en matière de protection des données ?

A. Q. Les entreprises publiques ou privées ont différents moyens de s’en assurer. Nous en avons parlé, mais c’est tout l’intérêt du référentiel SecNumCloud mis à jour par l’ANSSI. L’agence nationale va mener des audits poussés pour certifier que les prestataires de services Cloud qualifiés « SecNumCloud » répondent bien aux plus hauts niveaux d’exigences techniques de sécurité et aux dispositions prévues dans la nouvelle version 3.2.

Par ailleurs, en France nous avons la chance d’avoir des autorités de contrôle qui veille au respect du RGPD sur le territoire français, telles que la CNIL (Commission nationale de l’informatique et des libertés), en atteste les différentes amendes qu’elle a récemment prononcées à l’égard d’hébergeurs contrevenants.

Enfin, le denier niveau de garantie est celui du droit des contrats. Avant la signature d’un contrat, toutes les entreprises co-contractantes sont théoriquement contraintes de vérifier les conditions d’hébergements des données, et notamment le sort réservé à la protection des données à caractère personnel. Toujours par le biais du contrat, les entreprises co-contractantes ont également la possibilité de négocier la présence d’une clause d’audit, afin d’être en capacité de vérifier – à une fréquence déterminée – leur niveau de conformité respectif au RGPD, ainsi qu’aux normes en lien avec la sécurité informatique

V. D. Dans le cas de KS2, le conseil et la sécurité informatique sont fortement ancrés dans la culture des équipes. Nos collaborateurs sont habitués à répondre aux demandes de nos clients les plus exigeants (audit, tests d’intrusions, processus RGPD, chiffrement des données, etc.). KS2 déploie déjà un ensemble de moyens et de procédures techniques qui garantissent un niveau de sécurité attendu par les grands groupes. La contractualisation avec un acteur labelisé SecNumCloud vient renforcer notre arsenal sécuritaire, avec des data center en zone de confiance dédiés au SecNumCloud (personnel UE, données chiffrées en transit ou en repos, données sauvegardées chiffrées) ou une conformité HDS.

Quels sont les recours possibles en cas de suspicion de clauses abusives dans un contrat d’hébergement de données ?

A. Q. Les professionnels sont censés être plus avertis que les particuliers en matière de protection des données et de sécurité informatique. La législation relative au droit de la consommation, réputée protectrice, ne s’appliquera donc pas (ou alors dans une moindre mesure) aux entités publiques ou privées signataires de contrats d’hébergement de données. Selon leur taille et leurs moyens, les entreprises ont davantage la possibilité de se faire accompagner par un conseil juridique en cas de doute sur les clauses d’un contrat. Mais dans tous les cas, elles se doivent de tenter de négocier chaque clause d’un contrat qu’elles estimeraient problématiques.

Quelle est la marge de manœuvre réelle d’une PME face aux prestations d’hébergement des GAFA par exemple ?

A. Q. Ce cas de figure arrive effectivement très souvent. Les entreprises qui souhaitent héberger leurs données peuvent se retrouver face à des contrats qui s’apparentent à des « contrats d’adhésion », c’est-à-dire qu’il est quasi impossible de les négocier. Même si les rapports de force peuvent laisser penser à la PME qu’elle n’a aucune marge de négociation, de mon point de vue c’est une erreur, car c’est en pensant ainsi que l’on signe des contrats abusifs.

V. D. Certains services proposés par les GAFA sont devenus de fait quasi incontournables : messagerie, visio, recherche Internet ou publicité digitale. Les entreprises ou les organisations doivent d’abord se demander quelles sont les données à confier à ces opérateurs ? Par ailleurs, différentes stratégies SI sont possibles : faut-il concentrer l’ensemble de ses données chez un seul prestataire ou diversifier ses partenaires ? Dans tous les cas, il importe de respecter quelques bonnes pratiques :

 Conseil n°1 : identifier la nature des données de l’entreprise ou de l’organisation (niveau de confidentialité, criticité…), et les garanties des prestataires susceptibles de les héberger.

 Conseil n°2 : lire avec attention le contrat. En cas de doute, vous devez vous rapprocher d’un conseil juridique ou tenter de négocier en direct avec l’hébergeur (même s’il s’agit d’un GAFA), en faisant part de vos doutes avant de valider telle ou telle clause d’un contrat.

Conseil n°3 : se rapprocher autant que possible de prestataires locaux, dont les services sont naturellement plus enclins à répondre aux exigences du SecNumCloud.

Conseil n°4 : solliciter une société de conseil spécialisée disposant d’une expertise dans le domaine de la sécurité informatique pour aller plus loin.

Vous souhaitez en savoir plus sur le cloud KS2 et les niveaux de protection qu’il offre à vos données ? Contactez notre équipe pour obtenir une réponse personnalisée.