Comment va s’articuler le partenariat S3ns entre Google et Thales, que ce soit d’un point de vue de la coentreprise ou des détails techniques ? Comment seront gérées les mises à jour et le support ? Quels services seront proposés et ceux à venir ? Deux responsables techniques de Thales apportent des éléments de réponses, en attendant le lancement commercial de l’offre.
Il y a tout juste un mois se tenaient les Assises de la cybersécurité à Monaco. Une des tables rondes avait pour thème S3ns, la « solution cloud Thales x Google Cloud visant à développer une solution conforme aux exigences SecNumCloud ». Ce n’est pas pour tout de suite puisque la disponibilité de l’offre est attendue pour 2024, tandis que Thales vise « une qualification [SecNumCloud] par l'ANSSI en 2025 ».
Deux intervenants étaient présents pour le compte de Thales (et donc de S3ns) : Éric Brier, directeur de la stratégie de la branche cyberdéfense solutions et surtout directeur technique de Sens, ainsi qu’Ivan Maximoff, responsable de la sécurité des systèmes d'information (RSSI).
Durant un peu plus d’une demi-heure ils ont présenté différents aspects techniques du fonctionnement de S3ns, et des services que l’on peut en attendre. Nous avons également eu une intervention de Céline Heller, responsable Trusted Cloud chez Google, afin de préciser la position et les ambitions de l'entreprise américaine sur le cloud « souverain ». Voici ce qu’il faut retenir de cette table ronde, riche en informations.
Actionnariat et conseil d’administration de S3ns
Les responsables de Thales commencent par rappeler quelques bases : « S3ns est le nom de la coentreprise Thales/Google, dont la raison d'être est d'amener le cloud de confiance ». Elle cible évidemment les administrations, les opérateurs d'importance vitale (OIV) et de services essentiels (OSE), mais également ceux « qui vont avoir, pour leurs données et celles de leurs clients, un souci de maitrise et de protection d'un certain nombre de menaces extérieures », ajoute Éric Brier. Ivan Maximoff précise que le but est bien évidemment de « protéger de l’extraterritorialité de certaines lois hors UE, notamment américaines ».
Premier point mis en avant : « Thales est un actionnaire extrêmement majoritaire de la co-entreprise. Au niveau de la gouvernance, le conseil d'administration est composé de six personnes : cinq thalesiens et une observatrice de Google sans capacité de vote ». Ivan Maximoff affirme donc que Google n’a « aucun contrôle » ; S3ns est entièrement responsable de la sécurisation et de la commercialisation de l’offre.
Le RSSI précise rapidement un point important : « là, je vous parle de l'offre SecNumCloud qu'on va avoir en 2024 [mais qui ne devrait pas être certifiée avant 2025, ndlr]. Vous verrez qu'il y a une offre intermédiaire dans laquelle tout cela ne se vérifie pas. L’objectif de cette version intermédiaire n'est pas d'être SecNumCloud ».
Deux offres : une intermédiaire, une autre plus tard visant SecNumCloud
Dans cette offre intermédiaire – baptisée contrôles locaux avec S3NS –, il y a tout de même plusieurs « garanties », notamment que les données sont stockées dans des datacenters français. « Mais nous, S3ns, on ne peut pas le prouver physiquement, c'est un engagement de Google », précise Ivan Maximoff. Notez que la commercialisation de cette offre intermédiaire peut se faire « par S3ns, entité de droit français, mais aussi par Google Cloud ».
Cette offre est présentée comme « une étape » vers la solution SecNumCloud (prévue pour 2025)… une manière de faire qui agace quelque peu Octave Klaba (OVHcloud) : « Là où ils sont malins, c’est de dire : ça va exister demain donc vous pouvez prendre aujourd’hui un truc qui probablement ressemblera à ce qu’il va y avoir demain ».
Comment fonctionneront les mises à jour de GCP sur S3ns
Concernant l’offre visant la certification SecNumCloud de l’ANSSI, au-delà de l’hébergement des données sur des serveurs maison, Thales met en avant « la vérification systématique de toutes les mises à jour qui sont fournies par GCP… et il y en a beaucoup. On a un système de bac à sable [sandbox, ndlr] pour les tester. Lorsqu'on a des doutes, on a un accès au code », affirme Éric Brier. Selon Michel Paulin, directeur général d’OVHcloud et d’autres connaisseurs du secteur rencontrés lors des Assises, il pourrait y avoir jusqu’à « 50 000 modifications par jour », aussi bien chez Microsoft que Google.
À la question de savoir si Thales vérifiera le code source de toutes les mises à jour, la réponse est sans appel : « Non, on ne vérifie pas l’ensemble du code », reconnait Ivan Maximoff. Il ajoute qu’il y aura un « contrôle de l’infra » afin de vérifier s’il se passe des choses « anormales »… une politique de sécurité que l’on retrouve dans toutes les sociétés qui se respectent un minimum en cybersécurité.
Comme indiqué sur l’image ci-dessous, l’architecture de S3ns dans le cas du « cloud de confiance » est répartie sur trois datacenters situés en France : « On va trouver de manière séparée la partie du data center gérée par Google pour GCP Public, et notre zone d'opération. Il y a la zone pour tous les services mis en place pour assurer la confiance (trusted services), celle de production (c'est là qu'on a une copie de GCP) et la sandbox qui est l'élément dans lequel Google va pouvoir pousser ces mises à jour ».
Les équipes de Thales devraient donc (toutes ?) les observer avant de les valider : « Une mise à jour ne pourra rentrer dans la zone du milieu – qui est la production – qu’un une fois validée par Thales », affirme Éric Brier. Il ajoute que la latence attendue serait « de l’ordre de quelques jours »… « quelques étant petit », ajoute rapidement Ivan Maximoff.
Éric Brier explique que, même si Google et Thales sont côte à côte dans les datacenters, les serveurs des deux entreprises sont isolés physiquement : « Ces datacenters sont en région parisienne pas trop loin les uns des autres pour être en actif-actif-actif sans avoir de problèmes de latence, mais suffisamment loin pour résister, comme les normes l’exigent, aux différentes catastrophes naturelles ou non ». L’emplacement exact n’est pas précisé.
Google rappelle que S3ns est « un projet parmi n »
La question de la durée de disponibilité des mises à jour délivrées par Google ne trouve pas de réponse précise, mais Ivan Maximoff affirme que c’est « le genre de choses qui sont dans le contrat » contractuel entre Thales et Google.
Céline Heller, responsable Trusted Cloud chez Google, était dans la salle et en a profité pour apporter des précisions côté Google (on vous passe le côté « projet fantastique, ambitieux et hyper challengeant ») pour revenir à la question des mises à jour :
« le projet français est un projet parmi n. Alors quand on est français on n’aime pas trop entendre ça parce qu’on aime bien faire figure d'exception. Chez Google Cloud, nos dirigeants ont pleinement perçu l'importance de la souveraineté numérique. Alors on ne parle pas de cloud souverain, on parle de cloud de confiance, car on respecte les critères de l’ANSSI.
D’un point de vue global, il y a un certain nombre de partenariats qui se lancent. Il y en a un en Allemagne avec T-System, un en Espagne, un en Italie, un au Luxembourg et évidemment le partenariat avec Thales en France.
Tout ça […] répond à un engagement un peu plus global de business : on est là pour faire du business bien sûr, avec une technologie qui fonctionne. On peut pas se permettre quand on s'appelle Google ou Thales de démarrer quelque chose qui ne va pas fonctionner dans le temps.
La durée des contrats est évidemment confidentielle entre Thales et Google, donc vous imaginez bien que je ne vais pas vous répondre, mais elle est suffisamment longue pour garantir la pérennité [du projet]. Et encore une fois la notion de partenariat local autour de la souveraineté numérique, c'est quelque chose qui est global.
Donc aujourd'hui tout ce qu'on lance avec Thales va pouvoir être quelque part réutilisé, mais de manière différente pour répondre aux réglementations locales, dans un certain nombre d’autres pays dans le monde. Donc si on se plante en France, globalement on va se planter partout. Et ça, ce n’est pas possible ».
Pour Céline Heller, S3ns se met en place dans « une vraie logique de partenariat industriel et pas uniquement technologique. C'est extrêmement important dans la genèse et la manière dont on travaille ensemble […] : L'objectif est bien de s'aligner d'un commun accord en respectant les deux parties. C'est ça un vrai partenariat ; ce n’est pas un qui fournit et l'autre qui fait ».
S3ns : « une copie de GCP où Thales est à la manœuvre »
Pour Éric Brier, « il faut davantage voir [S3ns] comme une copie de GCP où Thales est à la manœuvre en termes d'opérations et administration, que quelque chose qui serait un mix ou une connexion sur les serveurs Google ». Ivan Maximoff fait une analogie avec les ambassades : « Google va nous fabriquer notre ambassade et ensuite on va gérer : on remet nos serveurs, on s'assure qu'il n'y ait pas de caméra qui trainent ou ce genre de choses ».
Le RSSI ajoute une « précision » importante sur la notion d'isolation : « on n'a pas un réseau qui est complètement isolé. Il est connecté et il y a de la télémétrie qui va remonter vers Google. On la maitrise complètement, on sait ce qui va passer, on valide et enregistre. Il y a un filtrage fort ». C’est une ligne rouge qu’OVHcloud ne souhaite pas franchir, comme l’expliquaient récemment Octave Klaba et Michel Paulin.
Que retrouvera-t-on dans cette télémétrie ? « C’est très simple : on ne va pas faire de la liste noire, on va faire de la liste blanche. Ne passera que ce qui nous aura été clairement expliqué et documenté, qu’on pensera nécessaire », affirme Éric Brier. Les données seront chiffrées lors du transport, mais avec un accès aux informations en clair à la fois par Thales et Google.
Disponibilité et réversibilité en cas d’embargo
La question de la disponibilité du service s’est rapidement invitée durant la table ronde : « Si jamais on était dans une situation où il y aurait un conflit entre l’État américain et l’État français, ou entre Google et Thales – ce qui n'arrivera certainement pas – nos infrastructures sont résilientes et peuvent tenir quelques mois avec une réversibilité », affirme Ivan Maximoff.
Éric Brier tient à apporter des précisions sur cette durée :
« Ce n’est pas qu'on n’est pas capable de les faire tourner plus longtemps. C’est pour des questions de mise à jour, mais on ne parle pas d'un choix de Google, on parle d'un embargo qui ferait qu'on ne reçoive plus les mises à jour. À ce moment-là, on considère effectivement que du logiciel plus mis à jour n'est pas quelque chose de raisonnable. Et on ne prétend pas – nous Thales – être capable de faire les mises à jour de sécurité d’un GCP complet. C'est une expertise de Google, on en a d'autres.
Donc l’idée, on en a discuté aussi avec l’ANSSI, c'est de tenir suffisamment longtemps pour que des plans de réversibilité crédibles puissent être mis en place par les clients ».
Support par des S3nsas… avec éventuellement un appel à un « ami »
Changeons de sujet avec le support, dont les opérations sont réalisées totalement par S3ns – au moins pour les deux premiers niveaux – et par du personnel européen afin d’être dans les clous du référentiel SecNumCloud. Ivan Maximoff donne quelques détails :
« Dans un premier temps, nous nous appuierons sur les personnels uniquement français […] C'est l'une des façons d'atteindre l'objectif. Il n'est pas impossible qu'on soit contraint de faire appel ultérieurement – à cause de la pénurie des talents – à des personnels européens […] Ils pourront avoir une deuxième nationalité, mais je pense que la nationalité américaine ne sera pas possible pour rester immunisé ».
Des interrogations sont revenues pendant la session de questions/réponses : « Est-ce qu'il y a quelque chose de prévu à un instant T en cas de gros gros problème ? […] Ou alors c'est vraiment tout en autonomie et pas d'assistance possible de l'extérieur, même si gros gros soucis », demande une personne dans la salle. La question sous-jacente est de savoir si des Googlers auront accès à S3ns d’une manière ou d’une autre.
Réponse d’Éric Brier : « L'objectif est d'avoir le support de niveau 1 et 2 en autonomie. Un support de niveau 3 qui est dans un mécanisme de session guidé. C'est à dire que l'expert niveau 3 S3ns, aussi brillant soit-il, sera certainement moins pertinent qu'un Googler. C'est donc le mode technique de l’appel à un ami ».
En cas de catastrophe S3ns a prévu un mécanisme « prévalidé avec l'ANSSI »
Concernant des scénarios exceptionnels (qui ne devraient jamais arriver selon Thales), S3ns proposera un mécanisme de session escortée, « qui a été prévalidé avec l'ANSSI ». Dans ce genre de situation, c’est forcément un personnel S3ns qui devra autoriser cette session avec un Googler. Ensuite il la surveillera en permanence et sera capable de « couper le fil en cas de déviation ».
Ivan Maximoff y va aussi de son explication : « Au niveau 2, si un S3nsas [un technicien spécialisé de chez S3ns, en analogie au Googler, ndlr] n'y arrive pas tout seul, il va avoir besoin d'un coup de main. Dans ce cas, on est dans un mode où un Googler a une copie de son écran. Il ne peut rien faire et n'a pas d’accès. Le S3nas peut alors décider de la suite ; si on lui demande de faire une commande idiote, il ne la fera pas »
Le responsable de la sécurité des systèmes d'information prend ensuite l’exemple d’un cas extrême : « Il y a une banque avec un incendie et des gens à l'intérieur. Ça ne devrait pas arriver, mais c'est un sujet qu'on a étudié. Dans ce cas-là, on pourrait – si on juge que c'est nécessaire – donner un accès direct à des Googler […] Mais ça ne doit pas arriver et ça engendrerait systématiquement des vérifications très importantes de nos infrastructures et bien évidemment, tout le monde serait prévenu ».
Tout GCP ou presque au lancement, Workspace à l’étude
Après cette partie technique, la table ronde était aussi l’occasion de revenir sur les services. Pour Éric Brier, le but de S3ns est « clairement d'avoir tous les services [de GCP], à l'exception peut-être de quelques services de niche qui ne feraient pas sens [oh le joli jeu de mot involontaire… mais difficile de passer à côté, ndlr] pour des clients français ». « Au moment où on déploiera la solution pour la première fois en "General Availability", on n'aura pas l'entièreté des services Google ».
Il y aura au moins une partie suffisante pour générer de l’intérêt auprès des potentiels clients : « De nos analyses du marché, du besoin, des attentes et peut-être aussi de ce qui a ou non marché dans le passé, on s'est rendu compte que ne pas avoir une offre qui soit suffisamment riche fait perdre toute pertinence à la solution ». Thales passe presque en mode Captain Obvious…
La question de l’arrivée de Google Workspace (en plus de Google Cloud Plateform) revient sur le tapis. Éric Brier y va de sa prospective : « Pour des raisons essentiellement technologiques, aujourd'hui, ce n'est effectivement pas dans ce qu'on présente. On n'a pas trouvé aujourd’hui une solution technologique qui soit suffisamment pertinente. Par contre on y travaille ».
« Les suites collaboratives seraient un plus non négligeable, mais on ne le fera pas n'importe comment. Tant qu’on n'aura pas la réponse adéquate, on ne communiquera pas dessus », ajoute-t-il. « On y travaille, confirme Ivan Maximoff. Aujourd'hui, l'analyse, c'est qu’on ne peut pas rester conforme à SecNumCloud. Donc on étudie avec Google, avec d'autres personnes, le moyen de s’arranger ».
HDS et données à diffusion restreinte (DR)
Pour ce qui est des données « DR » ou à Diffusion Restreinte, le RSSI de Thales « ne répond ni oui ni non ». Éric Brier est plus précis dans sa réponse : « Moi, je ne suis que le directeur technique, je vais tenter une réponse : on ne vise pas le DR ».
Enfin concernant la certification HDS : « il est très probable – mais la décision n'est pas encore prise – que la version SecNumCloud soit certifiée HDS. Maintenant ce n’est pas un engagement qu'on prend, ça dépend aussi du besoin de nos clients », ajoutent les responsables de Thales.
Le problème est plus large pour Éric Brier et dépendra finalement de la demande des clients : « On va faire une analyse de celles qui sont les plus demandées, les plus réalistes à implémenter et après on revient vers [nos clients] avec une position claire ».
Reste maintenant à lancer S3ns dans sa version « cloud de confiance » et à attendre le résultat de la demande de certification SecNumCloud (dans sa version 3.2) par l’ANSSI. Les choses ont le temps d’évoluer d’ici là puisque cela ne devrait pas arriver respectivement avant 2024 et 2025.
Commentaires (22)
#1
Et Thales veut faire du cloud au-dessus des clouds…
Des data centers bientôt dans l’espace ? Une étude européenne est lancée depuis Cannes (20mn, 14/11/22)
#2
Ça ne va pas être simple d’aller changer un SSD HS ou d’upgrader un contrôleur RAID…
Quand on voit déjà certains délais de support sur le plancher des vaches…
#3
C’est désespérant de voir des personnes encore croire à cette arnaque du cloud de confiance avec les GAFAM.
Toute entreprise US est soumise au patriot-act, et donc tout service de ces entreprises est incompatible avec le RGPD. Donc on ne peut avoir aucune confiance avec Google surtout pour les données de santé. Avec une partie de l’extrême droite américaine qui est au pouvoir, j’ai pas trop envie que les données de santé des personnes LGBT européennes se retrouvent chez la NSA surtout si Trump retourne au pouvoir.
#4
Moi c’est plus les soucis de transferts de données USA <> FR en cas de conflits sociaux important (dans un contexte de plus en plus tendu matériellement et énergétiquement) qui m’inquiètent.
Trump s’en fout des Français, typiquement il se foutrait complètement de priver l’Europe de gaz si il considérait que privilégier les Américains est important, d’autant plus si le conflit s’ouvre vraiment avec la chine.
Par contre , oui, la droite française actuelle me fait en effet très peur vu la direction actuelle.
#5
Pourquoi tu parles du gros débile ? Il n’est actuellement pas président des États-Unis et il ne le sera probablement plus.
#6
Si je comprends bien, l’infrastructure reste sous la maîtrise de Thalès (DC et serveurs en propre, sans accès pour Google, avec une proximité réseau) et ils déploient dessus la solution logicielle pour fournir le service GCP ? Ou bien les infra sont physiquement dans les DC de GCP ? (auquel cas la question de l’étanchéité du réseau avec Google et la télémétrie devient très très fragile)
C’est quand même amusant de voir que cette présentation semble plus avoir pour objectif de rassurer que de promouvoir le nouveau service. Comme si Thalès avait elle-même besoin de s’auto-convaincre d’avoir fait un bon choix.
Dans les faits, si c’est du GCP “on premise” chez Thalès où Google ne fourni que du support N3 sans accès à l’infra, j’ai envie de dire “pourquoi pas”. Par contre, si c’est du GCP rebrand “S3ns” dans les DC de Google, j’ai du mal à avoir confiance.
Après, si je veux être pragmatique, GCP a plutôt le vent en poupe (vu qu’il est challenger d’AWS et Azure il essaye de se démarquer) et on peut comprendre que Thalès essaye de se tailler une part du gâteau en faisant un rebrand du service. Et c’est chercher des clients en leur proposant quelque chose auquel ils sont déjà habitués. Mais ce que je me demande, c’est si les moyens alloués pour essayer de garder ce monstre en laisse sont-ils bien investis ? De même, question tarifaire, quid de la concurrence entre GCP et S3ns ?
Parce que si GCP est moins cher que S3ns, les promesses de “confiance” et compagnie, ça finira en vœu pieu.
#6.1
pour google 2 des 3 DC parisiens ont été identifiés pas JDN : “Global Switch à Clichy-La-Garenne et de Digital Reality (maison-mère d’Interxion) à Ferrières-en-Brie en Seine-et-Marne. ”
En gros ils sous-louent des salles (avec électricité, sécurité incendie etc…) https://www.journaldunet.fr/web-tech/guide-de-l-entreprise-digitale/1514137-la-carte-secrete-des-data-centers-des-clouds-providers-americains-en-france/
En revanche, c’est très important de savoir qui a accès aux salles (et aux arrivées de fibres), et surtout qui opère.
Et le concept de S3ns c’est en effet : fourniture du soft par google, mais gestion par s3ns.
Ça me fait quand même beaucoup penser a l’instance spécifique Azure Allemagne (2015-2021) qui était complètement opérée par T-Mobile, sauf qu’elle restait juridiquement liée a Microsoft.
#7
En gros on a affaire, comme prévu, a du gros bullshitt commercial.
Avec en point d’orgue, une offre de départ qui n’est en rien “souveraine” mais que les clients devraient prendre parce qu’à termes elle le sera… peut être.
Sachant que même cette offre “souveraine” se base sur du vent.
Thalès admettant ne pas être en capacité de vérifier les mises à jour que Google leur fournira.
Sachant que si un conflit commercial ou pire devait arriver entre la France et les U.S. il n’arrivera pas du jour au lendemain et que donc il y aurait largement le temps de placer quelques pions inertes dans GCP.
#8
Il y a une participation d’une entreprise américaine … donc soumis aux lois extraterritoriale des USA => poubelle
#9
Qui va être capable de tout vérifier ?
Tout dépend du niveau technique du S3nsas
Il y’a a pas eu un piratage récemment dû à du phishing ? ou je me trompe peut être 
#9.1
Quand même, on a la possibilité et les outils de connaitre ce qui rentre et sort d’un port.
Le phishing n’est pas complétement en lien avec le niveau technique de la personne. Ca dépend du phishing que tu reçois. C’est surtout dépendant de l’état d’alerte de la personne à qui est présenté le mail et du contexte de celui-ci.
Il serait intéressant de se rendre compte qu’on est plus au temps où le phishing c’était des ivoiriens qui ne savaient pas écrire sans faire 8 fautes par phrases. Le temps a passé depuis.
Je me suis fait la même réflexion. Passer au cloud est déjà tellement galère et complexe que devoir prévoir un plan de retrait sur une autre infra complétement souveraine me paraît manquer de s3ns !
#10
Car je répondais à mayuraviva.
Mais pour moi effectivement Trump, si tordu qu’il soit est une menace surtout pour les américains (et très indirectement pour nous dans un contexte de détérioration climatique).
Cependant, il n’est pas seul a partager ses idées et si d’aventure un autre républicain arrivait au pouvoir avec les mêmes idées mais une finesse “diplomatique” que lui n’a pas, là ça pourrait être encore plus néfaste.
#11
Je trouve ça osé de demander aux clients de trouver leur propre solution de réversibilité en cas de problème. Si demain il y a un soucis avec l’intégration de GCP chez Thales, c’est à chaque client de se débrouiller pour récupérer ses données et relancer un service ?
Je n’appellerais clairement pas ça un cloud de confiance…
#12
S3ns n’aura jamais sa certification SecNumCloud
. Il devrait mieux mettre dans la R&D pour développer un produit concurrent français si ils veulent investir le secteur du cloud souverain
#13
Je ne vois toujours pas l’intéret de cette offre : si je veux une technologie Google, autant aller directement chez Google. Rajouter un acteur supplémentaire dans la boucle, cela ne peut que complexifier et rajouter des problèmes que l’on aurait pas ailleurs.
#14
J’ai eu l’impression avec les midterms que les Républicains plus modérés avaient un peu repris du poil de la bête, ce qui ne serait pas un mal.
#15
L’intérêt c’est d’éviter (ou tout du moins tenter de) l’ingérence d’une puissance étrangère dans des SI nationaux, surtout s’ils sont d’importance vitale. Ingérence qui peut prendre diverses formes dont l’espionnage ou le sabotage.
D’ailleurs côté espionnage l’intérêt est également d’être conforme au RGPD, ce qui est impossible pour une entreprise US traitant des données à caractère personnel d’individus présents sur le territoire de l’UE (car les lois US en matière de renseignement sont trop open bar et n’apportent pas suffisamment de garanties côté protection des libertés individuelles).
Dit plus simplement, une entreprise US ne peut pas être conforme au RGPD, à cause du droit US (arrêt Schrems 2 de la CCJUE).
Mais bon, oui, globalement ça sent la grosse usine à gaz car on a pris un sacré retard numériquement par rapport aux US donc on a du mal à faire sans leurs technos. On peut remercier entre autres nos entreprises télécom qui ont à l’époque fait du lobbyisme pour que l’Etat mise tout sur le minitel et rien sur internet, avec le succès qu’on connaît.
#16
Nommons les choses : la puissance étrangère ici ce sont les USA. Et bien si on veut absolument éviter les USA, on n’utilise pas une technologie basée sur un logiciel américain, comme Google, même si il y a une surcouche avec Thalès.
Des entreprises US ont pignon sur rue en France et leurs technologies sont utilisées tous les jours et sans se cacher. La CNIL laisserait des infractions au RGPD aussi béantes sans réagir ?
#17
En a-t-on les moyens ? A-t-on des alternatives UE qui tiennent le coup et peuvent répondre aujourd’hui au besoin sans avoir les années d’expérience et accès aux mêmes quantités de données qu’un GAFAM ?
Oui et non. Il y en a des décisions, par ex l’interdiction de Google Analytics, qui se fonde sur Schrems 2 et dont on pourrait donc déduire l’interdiction de toute entreprise US traitant des données personnelles de Français.
Cela dit l’inaction de la CNIL ne serait pas non plus une garantie de conformité. Il y a de nombreux témoignages du mauvais déroulement/suivi de plaintes signalant pourtant des infractions flagrantes (va voir du côté de Aeris22 ou encore de David Libeau), de décisions en violation du RGPD (va voir du côté de LQDN), etc.
Le parlement européen a en 2021 déploré que les APD soient si inefficaces : https://pixellibre.net/2021/03/rgpd-constat-amer-parlement-europeen/
Parlement européen qui d’ailleurs s’est lui-même fait allumer : https://gdprhub.eu/index.php?title=EDPS_-_2020-1013 (confirme que Google Analytics est contraire au RGPD, ajoute Stripe à la liste)
L’arrêt Schrems 2 reste quasi inappliqué alors qu’il est sorti en 2020 et est pourtant très clair. La raison principale étant à mon avis que d’un côté il y a le droit, les grands principes, protéger les individus (en UE on aime bien ça, et c’est tant mieux) et de l’autre il y a la réalité technique et économique. A ton avis qu’est-ce qui est priorisé ?
Encore hier ici même on apprenait que l’éducation nationale vient de découvrir que Google et Microsoft sont US et que leur confier les données des élèves c’est pas conforme au RGPD : https://www.nextinpact.com/lebrief/70378/leducation-nationale-officialise-larret-deploiement-doffice365-et-google-for-education-dans-ecoles
Malgré tout, réalité technique oblige, dérogation permettant aux établissement déjà dépendants (tous…?) de continuer à utiliser les solutions de Microsoft et Google “pour une durée limitée à 12 mois après la date à laquelle une offre de cloud acceptable sera disponible en France”.
“sera”, futur : Faut-il en déduire que la réalité technique est qu’actuellement aucune offre acceptable n’est disponible en France, donc ici encore dépendance aux US ?
(source de la citation : https://acteurspublics.fr/upload/media/default/0001/36/acf32455f9b92bab52878ee1c8d83882684df1cc.pdf)
Appliquer véritablement le RGPD serait un raz de marée qui mettrait un sacré bazarre économiquement, voire peut-être même dont on ne se relèverait pas. Au mieux on peut le faire petit à petit, mollement, sur de nombreuses années.
#18
Cela dépend du besoin : si c’est de se protéger absolument d’un oeil américain, alors il faut accepter d’en payer le prix.
Après ce que montre l’évolution du marché du “cloud” c’est que beaucoup de ceux qui étaient en crainte finissent par y aller. J’en ai vu des bureaux qui se montaient le bourrichon sur le fait que la NSA allait lire leurs compte-rendus de réunion régionale… au final ils ont fini par tout mettre dans un drive chez un GAFAM.
Attention, on peut faire toutes les déductions qu’on veut mais celui qui dit le droit c’est le juge. A suivre.
#19
Les décisions sont toujours les mêmes en substance : Des données à caractère personnel (DCP) sont manipulées par une entreprise US ? C’est donc contraire au RGPD. La jurisprudence à ce sujet est constante (logique, elle s’aligne sur la position de la CJUE dans Schrems 2).
Partant de là continuer à fournir des DCP à des services US c’est gagner du temps en attendant une énième décision allant dans le même sens. Mais ça marche, globablement, compte tenu de la dépendance aux US et de la globale inaction des APD que j’ai exposées précédemment.
#20
Cela va dans le sens que vous dites mais vous interprétez beaucoup : on est encore loin d’une interdiction pratique de faire manipuler des DCP par une entreprise dont le siège social mondial est au USA mais qui a des bureaux (et des DC) en Europe.
D’ailleurs tout le monde n’a d’yeux que pour les GAFAM mais on oublie souvent les à coté comme par exemple le domaine du CRM : combien de fois j’en ai vu avoir peur du grand méchant Google mais mettre toutes leurs données commerciales dans les CRM genre Salesforce…