Sécurité du cloud : confusion après le rejet par le gouvernement d'amendements soutenant sa propre stratégie

Empressés de rejeter des amendements contraignants sur un projet de loi réglementant les cabinets de conseil, les députés du parti présidentiel Renaissance (Renew Europe) ont également rejeté des amendements qui soutiennent leur propre stratégie de sécurité dans le cloud, semant le doute quant à la cohérence de la mise en œuvre du projet.

Technologies

Théophane Hartmann Euractiv.com

Photo,Of,Out,Of,Focus,It,Technician,Turning,On,Data — À la suite de « l'affaire McKinsey » de 2021, qui a mis en lumière le recours intensif à des cabinets de conseil privées sous le mandat du président français Emmanuel Macron, les législateurs français ont déposé en juin 2022 un projet de loi visant à la fois à réglementer l’implication des cabinets de conseil dans l’élaboration des politiques publiques et à protéger les données publiques sensibles. [Gorodenkoff / Shutterstock]

À la suite de « l’affaire McKinsey » de 2021, qui a mis en lumière le recours intensif du gouvernement à des cabinets de conseil privés sous le mandat d’Emmanuel Macron, les législateurs français ont déposé en juin 2022 une proposition de loi visant à la fois à réglementer l’implication des cabinets de conseil dans l’élaboration des politiques publiques et à protéger les données publiques sensibles de ceux-ci.

Le gouvernement d’Emmanuel Macron a depuis essayé de diluer la proposition de loi, mais il pourrait être allé à l’encontre de ses propres intérêts lors du vote jeudi (1er février).

« C’est une occasion manquée qui révèle une incohérence. [Ces votes] m’inquiètent dans la mise en œuvre de la stratégie “cloud au centre” du gouvernement », a déclaré à Euractiv Anne Le Hénanff (Horizons, Renew), qui a déposé les amendements.

« Affaire McKinsey » : le gouvernement contre-attaque

Protéger les données publiques sensibles

Le projet de loi réglemente la manière dont les cabinets de conseil privées et les administrations publiques, y compris l’État, peuvent interagir — ce qui englobe les services de conseil en informatique.

Depuis 2021, le gouvernement travaille sur sa stratégie cloud baptisée « cloud au centre », qui contraint les administrations publiques à stocker toutes leurs données sensibles sur des clouds souverains. Ces clouds souverains sont définis par la certification SecNumCloud, délivrée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Considérant que les données publiques sensibles transférées à des cabinets de conseil informatique réalisant des prestations pour le compte d’administrations publiques devraient être stockées avec le même niveau de sécurité, Mme Le Hénanff a déposé plusieurs amendements « pour combler les failles ».

La députée a suggéré d’obliger les administrations publiques à vérifier quelles données sensibles elles transmettraient au secteur privé avant de signer un contrat, et d’obliger les cabinets de conseil à détailler les spécifications techniques des clouds qu’ils utilisent en interne.

En outre, Mme Le Hénanff a suggéré d’aligner les exigences en matière de sécurité cloud entre les cabinets de conseil et l’administration publique.

Les députés du parti Renaissance ont voté à l’unanimité contre ces trois amendements, ce qui a conduit à leurs rejets.

Ces votes constituent un revirement par rapport à leur position antérieure, car les députés Renaissance ont fermement soutenu le projet de loi de « sécurisation et régulation de l’espace numérique » du gouvernement à la fin de 2023, y compris de nombreuses dispositions en faveur d’un cloud souverain.

Les partis Renaissance et Horizons appartiennent d’ailleurs à la majorité à l’Assemblée nationale, et sont tous deux rattachés au même parti européen Renew Europe.

« Sécurisation et régulation de l’espace numérique » : ce que contient le projet de loi

Pas de charge administrative supplémentaire

Le gouvernement considère ce projet de loi comme une tentative de l’opposition, menée par les députés et sénateurs communistes, de restreindre sa liberté d’action.

Marie Lebec, ministre déléguée chargée des Relations avec le Parlement, a défendu la position du gouvernement à l’Assemblée nationale, en déclarant que créer des charges supplémentaires sur « alourdir le travail des fonctionnaires pour les inciter à renoncer à des prestations externes ne peut être une réponse satisfaisante ».

Suivant ce raisonnement, Mme Lebec a prononcé des avis défavorables à un grand nombre d’amendements, dont les amendements cloud de Mme Le Hénanff.

Les députés Renaissance ont suivi la position de Mme Lebec et les ont rejetés par un vote public.

Selon le ministère de l’Économie, qui a préparé la position du gouvernement, les amendements de Mme Le Hénanff auraient contraint les cabinets de conseil à appliquer les mêmes exigences que celles conçues pour des fournisseurs de services cloud, concluant que cela n’était pas pertinent et lourd.

Un porte-parole du ministère de l’Économie a spécifiquement déclaré à Euractiv qu’il ne souhaitait pas les « obliger à faire le choix de leurs services numériques et infrastructures au regard des critères de l’administration ».

Exigences supplémentaires en matière de sécurité cloud

Deux autres amendements ont également été rejetés après avoir reçu des avis négatifs de la part de Mme Lebec.

La députée socialiste Cécile Untermaier a suggéré de confier à la Commission nationale de l’informatique et des libertés (CNIL) le soin de vérifier si les cabinets de conseil respectent l’obligation de supprimer les données des administrations publiques un mois après la fin de leurs services informatiques.

Selon le ministère de l’Économie, la CNIL est déjà compétente en la matière.

Par ailleurs, les députés d’extrême droite du Rassemblement national Aurélien Lopez-Liguori et Timothée Houssin ont déposé des amendements visant à obliger les cabinets de conseil à stocker toutes les données des administrations sur des clouds certifiés SecNumCloud.

Le ministère de l’Économie a justifié sa décision de rejet en rappelant que la certification SecNumCloud a été conçue pour garantir un haut niveau de sécurité des données sensibles. Il a donc jugé ces amendements disproportionnés.

Négociations de l’UE sur la sécurité cloud

Ces votes interviennent alors que la position française dans le cadre des négociations sur un système européen de certification de la cybersécurité (EUCS) en vue d’une certification de sécurité harmonisée du cloud au niveau de l’UE est en perte de vitesse.

Les Pays-Bas mènent une offensive contre ce qu’ils considèrent comme une mesure protectionniste de la part de la France.

Prochaines étapes

Le député et membre de la CNIL Philippe Latombe (MoDem, Renew Europe) a commenté la situation sur X, déclarant qu’il se méfierait de tout développement similaire sur le projet de loi français pour sécuriser et réguler l’espace numérique, et précisant qu’il porterait une attention particulière à la sécurité des données de santé.

Les Pays-Bas rassemblent les opposants à la certification cloud européenne

[Édité par Anne-Sophie Gayet]

Policy areas

Sécurité du cloud : confusion après le rejet par le gouvernement d'amendements soutenant sa propre stratégie

Adhésion de l’Albanie à l'UE : un projet de station balnéaire du gendre de Trump crée un nouvel obstacle

EXCLUSIF : L'UE envisage d'exclure les hommes ukrainiens d'âge militaire du dispositif de protection prolongée

« Un signal d'alerte clair » : la guerre en Iran exacerbe les craintes des entreprises de l'UE

EXCLUSIF : Chasse aux sorcières secrète contre un lanceur d'alerte au CESE

Les capitales s'indignent alors que von der Leyen puise dans le budget de l'aide pour financer des accords commerciaux

Picierno reste en poste malgré les pressions des socialistes pour qu'elle démissionne

Bruxelles veut proposer un outil « dédié » pour réduire sa dépendance vis-à-vis de la Chine

Les centres de retour de l'UE dévoilés d'ici l'automne, selon un ministre néerlandais

« Un signal d'alerte clair » : la guerre en Iran exacerbe les craintes des entreprises de l'UE

Élargissement de l'UE : le plan de Merz et Macron pour lui donner un « nouvel élan »

Plus de cette section

Houston, la course à l'espace européenne a un problème d'image

Bruxelles fonctionne grâce à des résumés, et c'est désormais l'IA qui les rédige

Les Maltais bénéficieront gratuitement de ChatGPT Plus et de Microsoft Copilot

La Grèce veut interdire l'anonymat sur les réseaux sociaux

données

Partage de données biométriques : une eurodéputée questionne les discussions UE–États-Unis sur les visas

Un tribunal berlinois contraint X à ouvrir ses données à des chercheurs sur les élections hongroises

WhatsApp remporte son procès contre les autorités européennes chargées de la protection des données

Renew Europe

L’UE reléguée au second plan dans le discours de campagne de Gabriel Attal

Le commissaire européen Raffaele Fitto critiqué pour sa présence à un évènement politique en Slovénie

Accord UE-États-Unis : une décision attendue la semaine prochaine au Parlement européen