Cloud Sans Frontière, Mais Pas Sans Risque

Ce mercredi  10 Avril 2019 à l’Assemblée Nationale, l’association Privacy Tech remettait à la députée Paula Forteza son livre blanc pour renforcer la sécurité des entreprises européennes, dans la droite ligne des déclarations faites fin Mars par notre ministre de l’Economie et des Finances.

Bruno Lemaire cherche en effet à agir, car nous, Européens, ne pouvons plus nous cacher derrière notre petit doigt : il est temps de reconnaitre à sa suite que le Cloud Act promulgué par les Etats-Unis en Mars 2018 prévaut sur le Règlement Général de Protection des Données (RGPD) mis en place par l’Europe en Mai de la même année. Sans entrer ici dans des détails largement commentés ailleurs, le premier permet le transfert aux Etats-Unis de tout type de données, y compris les plus critiques ou les plus personnelles, pour peu qu’elles soient hébergées sur un cloud géré par une entreprise américaine – y compris sur le sol européen – et réclamées par un « juge » américain, mécanisme auquel s’oppose en principe le second.

D’aucuns célébreront le cosmopolitisme de la Data, entité que son essence immatérielle permet de faire voyager aisément. Les cartes les plus récentes des fibres qui parcourent les océans pour relier entre eux les data centers comme les projets d’internet par réseau de satellites montrent de fait la gageure de vouloir conserver des données à l’intérieur de frontières physiques.

C’est même le premier argument des directions informatiques pour balayer les objections de sécurité qu’on  pourrait opposer à leur choix de migrer les systèmes de leur entreprise dans le Cloud sans précaution. Il est vrai que cette démarche cumule beaucoup d’avantages, à commencer par leur simplifier singulièrement la tâche, mais aussi en réduisant drastiquement les coûts et les risques pour l’entreprise par rapport à une infrastructure gérée en propre. Ajoutons-y la vertu induite par les APIs dont le Cloud incite à la généralisation, et la richesse des fonctionnalités rendues possibles, en particulier en Intelligence Artificielle, et le voilà paré de surcroît de toutes les vertus innovatrices et écosystémiques. Il y aurait donc urgence à passer au Cloud, et à suivre les quelques pionniers, d’autant plus que le travail a été grandement simplifié par quelques gros opérateurs, comme AWS, GCP ou AZURE. A se demander pourquoi toutes les entreprises ne suivent pas plus vite…

C’est que les  « retardataires », à moins qu’il ne s’agisse des plus réfléchies, écoutent probablement d’autres voix, qui rappellent que ces mêmes données sont réputées être le nouvel eldorado du 21^ième siècle, et qu’il conviendrait a minima de ne pas se désintéresser de ceux à qui elles profitent, qui pourraient de ce fait prendre une place prépondérante à assez court terme dans l’économie, donc dans nos vies. La question finalement est de savoir comment nous pouvons préserver un mode de vie européen, si nous devenons clients d’entreprises presqu’exclusivement américaines ou chinoises. Il y va de notre richesse, de nos emplois et de notre culture. Et même de nos règles éthiques, puisque l’Intelligence Artificielle intègre celles de ses développeurs, qui, selon leur nationalité, ne choisissent par exemple pas la même stratégie en matière d’évitement de piéton par une voiture autonome, comme révélé par l’étude du MIT publiée dans la revue Nature en Octobre dernier.

Trop alarmiste ? Le lobby incroyable mené actuellement par les américains contre l’implantation de Huawei dans les réseaux 5G  européens, au prétexte que toute entreprise chinoise doit, depuis une loi de 2017, collaborer avec les services secrets de son pays (quelle est au fond la différence avec le Cloud Act ?), ou le même lobby américain mené (sans succès à date) à la Commission Européenne pour ne pas avoir à payer les contenus sur Internet sont très clairement à visée économique et destinés à protéger l’industrie américaine, tandis que les initiatives chinoises de financements multiples et discrets, mis au jour à l’occasion de la médiatique Nouvelle Route de la Soie, consistent à faciliter la logistique d’accès au marché européen pour les entreprises chinoises.

Les frontières ne sont plus physiques – l’Atlantique à l’Ouest ou l’Oural à l’Est – mais économiques, entre clients européens et entreprises non européennes.

Le principe d’extra- territorialité contenu dans le Cloud Act est l’expression juridique de ce changement de nature des frontières. Qui se traduit économiquement par la part des GAFA dans les câbles sous-marins transatlantiques (passée de 5% à 50% en 3 ans), ou dans les projets d’internet par satellite (parmi les 4 les plus avancés, 3 sont menés par: SpaceX & Google (StarLink), FaceBook (PointView), et Amazon (Kuiper), le dernier étant emmené par un consortium réunissant Airbus, Softbank ou encore … Qualcomm (OneWeb)).

Du coup, il convient de réfléchir non plus en coordonnées géographiques, mais en coordonnées bancaires : quelle est la nationalité de l’entreprise à qui je concède ma richesse quand je lui transfère mes données ?

Quant à la richesse créée, il suffit de se pencher sur le marché publicitaire : en France, selon le Baromètre Unifié du Marché Publicitaire, la croissance du marché en 2018 a été tirée par le Search et par le Display Social, qui y ont ajouté 644M€ en 2018, pour une croissance totale du marché de … 578M€. Et ce n’est pas qu’une affaire d’audience pour Google et FaceBook, les medias digitaux concurrents reconnaissent leur infériorité quant aux données dont ils disposent pour cibler les messages et augmenter leur efficacité.

Au niveau mondial, c’est un déjà quart des dépenses publicitaires globales qui vont au duopole. Si les choses doivent changer à l’avenir, c’est Amazon qui va monter en puissance, du fait d’un parcours client gagnant un clic jusqu’à l’achat … et de meilleures données sur le taux de transformation. L’apparition de la publicité vocale sur les Google Home, Amazon Echo et FaceBook Portal va encore augmenter le faisceau de données disponibles sur les utilisateurs des services de ces marques, encore améliorer l’efficacité de ces medias, et marginaliser un peu plus les medias concurrents. Il y a bien 3 acteurs non américains dans les 6 premiers vendeurs de publicité au monde, il s’agit de … Baidu, Alibaba et Tencent, les 3 premières lettres de BATX.

Si ces tendances lourdes sont relativement bien connues, leur extrapolation au-delà de la sphère habituelle de la publicité digitale et des réseaux sociaux est largement ignorée. C’est pourtant la prochaine étape de la guerre qui se joue en ce moment, et pour laquelle notre ministre monte au créneau.

La question est simple : le Cloud hébergeant maintenant potentiellement toutes les données opérationnelles d’une entreprise (grâce à la généralisation de l’Internet des Objets), comment s’assurer du respect de leur confidentialité quand l’opérateur de Cloud est non-européen ? La question, posée exactement en ces termes par un responsable de Safran au dernier AWS SUMMIT PARIS la semaine dernière… n’a pas eu de réponse.

Très concrètement, ToysRus a disparu car la plateforme à laquelle il avait délégué ses ventes en ligne a pu connaitre dans le détail tous les paramètres de son business. La Commission Européenne enquête d’ailleurs sur ce risque induit par l’utilisation d’Amazon, tandis que l’Inde a été un cran plus loin en interdisant l’année dernière au même Amazon de vendre ses propres produits en direct.

Qu’en pense Gameloft, qui a passé toute l’infrastructure de distribution de ses jeux sur AWS ? Sûrement qu’il n’y avait pas de danger … tant qu’Amazon ne cherche pas à concurrencer les plateformes de jeu Stadia de Google ou XCloud de Microsoft.

Le problème est que les GAFA et les BATX n’ont de frontière ni géographique, ni business. Toute donnée, de n’importe quelle origine, peut potentiellement servir leurs intérêts au détriment de l’entreprise qui les leur a confiées. Si vous êtes dans le commerce, soyez prudent avec Amazon, c’est entendu. Si vous êtes dans l’information, c’est Google qui vous a disrupté, heureusement que les contenus européens des survivants doivent maintenant être rémunérés. Et si vous êtes dans le transport, les jeux, la ville intelligente, le B2C … regardez les filiales d’Alphabet pour comprendre votre risque de désintermédiation.

Un exemple tout simple : si une grande chaîne d’hôtels veut faire tourner un algorithme pour optimiser la consommation d’énergie de ses établissements, elle doit y intégrer leurs taux de remplissage en temps réel. Mieux vaut ne pas utiliser une plateforme capable par ailleurs de vendre à aux managers de ces hôtels de la publicité en optimisant son prix de vente grâce à ces informations…

Autre exemple: si une plateforme vise la position d’organisateur de la ville intelligente pour les élus (comme SidewalkLab, filiale d’Alphabet, maison mère de Google), tout opérateur urbain actuel qui lui confie ses données l’aide à préparer sa propre relégation en fournisseur de ladite plateforme, perdant de facto la relation avec son client actuel, la ville. En un mot : sa désintermédiation. On connait pourtant bien la mécanique : il suffit de demander à Fiat Chrysler ce qu’il pense de sa relation avec Waymo : au lieu de vendre ses voitures au client final en intégrant la technologie de conduite autonome, il les vend à Waymo qui propose une solution de mobilité au client final, et qui ne prête que peu de valeur au fait qu’il s’agisse d’une voiture Chrysler ou Jaguar, les deux marques qui composent son parc aujourd’hui.

Les premières entreprises lancées dans une stratégie tout cloud public sont probablement passées un peu vite sur cette analyse de risque, imaginant sans doute que les garanties légales proposées par l’opérateur de Cloud seraient suffisantes. C’est oublier qu’en matière de référencement et de liens sponsorisés par exemple, la Commission Européenne a pu démontrer que Google ne respectait pas toujours ses propres garanties, trompant ainsi ses propres clients payants. Cependant les délais judiciaires n’étant pas toujours compatibles avec la survie en milieu concurrentiel, il vaut mieux ne pas compter exclusivement sur ce type de protection. De plus, les nouvelles mécaniques vont utiliser les données captées dans un certain domaine pour alimenter des business d’autres domaines, au travers d’algorithmes « flous » d’intelligence artificielle : il sera impossible de démontrer la provenance du savoir-faire acquis par les espions.

C’est en ce sens que l’Agence Nationale de Sécurité des Services Informatiques n’a de cesse de rappeler que l’espionnage industriel est une réalité, qu’il a en particulier pour but la domination des Etats à travers leurs entreprises nationales, et qu’il serait suicidaire d’être naïf quand les Etats-Unis, la Chine et l’Europe ne jouent pas avec les mêmes règles au marché du libre-échange. Aujourd’hui, on ne peut que s’étonner avec le député Cédric Villani, auteur d’un rapport sur l’Intelligence artificielle, du fait que ces entreprises ne prennent pas conscience toutes seules du danger qu’elles courent, et qu’elles font courir à l’Europe (lors d’une conférence sur la Souveraineté Numérique le 12 Avril).

D’où les propositions incluses dans le livre blanc « Privacy Tech ». On y trouvera en particulier un principe de gouvernance particulièrement simple, inspiré du principe de séparation mis en place dans plusieurs secteurs par le régulateur, comme le dégroupage pour les telecoms, ou la séparation trains et voies ferrées pour les transports ferroviaires. Il permet en général d’éviter la création de monopoles verticaux – ou de les démanteler.

 

Appliqué entre d’une part les entreprises qui stockent et qui traitent les données, et d’autre part celles qui les cryptent et en autorisent l’accès, le principe stipule que les données doivent être stockées encryptées, et le moyen de décryptage (la gestion des clés) doit être géré par une entité totalement indépendante de celle qui stocke ces données : l’un dispose des données encryptées mais pas des clés, l’autre des clés de décryptage mais pas des données. Seul le propriétaire des données peut autoriser un traitement sur ses données décryptées, et suivre à la trace qui s’en sert pour quel usage.

La bonne nouvelle est qu’il n’est nul besoin d’attendre une réglementation future pour établir cette bonne pratique, et ne pas confier à son hébergeur à la fois ses données et les clés pour les lire. Le constructeur de votre maison ne garde pas un double de vos clés, n’est-ce pas ?

Ce concept existe déjà (par exemple Netscope), mais avec un tiers de confiance également américain, ce qui ne résout pas le problème puisque ce dernier est soumis également au Cloud Act. Il y a ici une véritable opportunité pour un acteur européen de la confiance, car ce continent est le seul dont l’ADN place au premier plan la protection de la vie privée. Il pourra être utilement complété par les nouvelles technologies qui permettent d’exécuter des algorithmes sur des données qui restent encryptées (comme les chiffrements homomorphe ou fonctionnel tel qu’utilisé par la startup Cosmian)

Le fait que cette démarche sera certainement plus souvent à l’initiative d’une direction Marketing que d’une direction Informatique traduit tout simplement l’impact des technologies digitales sur le cœur même de l’entreprise : ses produits et ses services.