Newsletters

Magazines

Enquête

Les clouds de confiance français basés sur des solutions américaines seront-ils vraiment à l’abri d’intrusions de puissances étrangères ?

Les projets de clouds de confiance S3NS et Bleu soulèvent des interrogations sur leur capacité à garantir une protection totale contre des lois étrangères à portée extraterritoriale comme le Cloud Act américain. Le débat s’intensifie, obligeant le gouvernement français à revoir sa stratégie en la matière. Décryptage avec l’aide d’avocats spécialisés dans le numérique.

Ridha Loukil
Réservé aux abonnés
OVH serveurs de datacenter
OVH
A l'intérieur d'un datacenter d'OVHcloud

Les clouds de confiance S3NS et Bleu, portés respectivement par Thales avec Google, et par Orange et Capgemini avec Microsoft, continuent à faire couler beaucoup d’encre. Sous le feu des critiques au sein de l'écosystème numérique français depuis l'annonce de leur lancement en 2021, ils soulèvent des interrogations persistantes sur leur capacité à garantir une protection totale contre les lois étrangères à portée extraterritoriales. Le Cloud Act, une loi des Etats-Unis qui contraint les acteurs de l’internet et du cloud sous juridiction américaine à divulguer les données qu’ils gèrent même à l’étranger, est dans tous les esprits. Elle s’appliquerait à des sociétés européennes comme S3NS et Bleu selon une étude commandée par le gouvernement néerlandais à des avocats américains, ne serait-ce que parce qu’elles opèrent des solutions cloud américaines.

Le Cloud Act est une loi adoptée en 2018 pour donner un cadre légal à l’accès par les autorités américaines aux données gérées par les acteurs de l’internet et du cloud sous juridiction américaine dans le monde entier. «On a tendance à en exagérer la portée en Europe et tout particulièrement en France, affirme à L’Usine Nouvelle Winston Maxwell, professeur de droit des technologies de l’information et de communication à Telecom ParisTech. Le dispositif est prévu normalement pour lutter contre le grand banditisme, le crime organisé, le trafic de stupéfiants ou encore le terrorisme. La question de souveraineté se pose dans les cas d’enquêtes visant des entreprises françaises sur des soupçons de criminalité financière, de corruption ou de contournement d’embargos américains. Le dispositif deviendrait alors un outil d’espionnage et de pression économique déguisé en procédure judiciaire. C’est la crainte du gouvernement français, justifiée par les révélations en 2013 d’Edward Snowden sur les pratiques américaines en matière de cyberespionnage.»

Le challenge de la maintenance

Contacté par L’Usine Nouvelle, Thales conteste les interprétations faites de l’étude menée pour les Pays-Bas et rappelle les fondamentaux de souveraineté de S3NS : une société de droit français, avec un capital à contrôle français, un personnel européen, des datacenters en France, rigoureusement isolés de ceux de Google, et le cryptage des données avec des clés de chiffrement gérés uniquement par Thales, le tout certifié par le précieux sésame SecNumCloud de l’Ansii (Agence nationale de sécurité des systèmes d’information)." Les conclusions de l'étude confortent notre analyse, affirme à L'Usine Nouvelle Cyprien Falque, directeur général de S3NS. Nous prenons toutes les mesures techniques, juridiques et opérationnelles de protection. Il reste quelques points mineurs à définir. Nous travaillons là-dessus avec l'Anssi et Bercy."

Toutes ces précautions n’empêchent pas des professionnels du numérique d’émettre des doutes sur la capacité à garantir un contrôle de bout en bout. «Que se passerait-il lors des opérations de mises à jour ou de maintenance, interpelle David Chassan, directeur de la stratégie de 3DS Outscale, la filiale cloud de Dassault Systèmes ? Ces opérations feront-elles intervenir du personnel de Google, et si oui comment éviter le risque d’intrusion dans les serveurs et de fuites de données ? Autant de questions sans réponses aujourd’hui.» Thales admet avoir peut-être besoin de l’assistance de Google pour la maintenance. " Il est illusoire de penser que nous pourrions nous passer complètement de Google, confie Cyprien Falgue. Les opérations de maintenance se feront autant que possible par des opérateurs de S3NS avec l'aide à distance, par visioconférence, d'opérateurs de Google. Si la présence d'un opérateur de Google est requise sur site, il sera escorté par un opérateur de S3NS pendant toute l'intervention. "

Le label SecNumCloud offre la garantie de sécurité des données la plus élevée avec le respect de pas moins de 270 critères. Seuls cinq acteurs français du cloud l’ont décroché : Oodrive, Outscale, OVHcloud, Cloud Temple et Worldline. Jusqu'ici, il était attribué sur des critères techniques et organisationnels, mais pas juridiques ni politiques. La nouvelle version, dédiée au cloud de confiance, englobe des critères juridiques de protection contre les lois étrangères à portée extraterritoriale. Le partenaire étranger dans des coentreprises comme S3NS ou Bleu ne doit pas détenir plus de 24 % du capital en individuel et 39 % en cumulé. "La protection contre les risques d’intrusion de puissance étrangères est une équation complexe, souligne à L’Usine Nouvelle Éric Le Quellenec, avocat associé, spécialiste du droit des nouvelles technologies, de l’informatique et de la communication au sein du cabinet Simmons & Simmons à Paris. Elle dépend de considérations à la fois techniques, organisationnelles et politiques. C’est compliqué d’affirmer avec certitude que S3NS et Bleu ne tomberont jamais sous le coup du Cloud Act. Nous le disons depuis l’annonce de ces projets."

Le Cloud Act s'applique aussi aux acteurs non américains

Le Cloud Act suscite beaucoup de fantasmes et donne lieu à toutes sortes d’interprétations. Selon Winston Maxwell, son application ne se limite pas, contrairement à ce qui est dit ici et là, aux hébergeurs américains de données. «Un juge d’instruction, qui enquête sur une affaires de grand banditisme, se fiche de la nationalité de l’hébergeur et de la localisation des données, analyse-t-il. Ce qui compte pour lui, c’est de disposer sous sa juridiction d’une personne ou d’une entité ayant "la possession, la garde ou le contrôle" sur les données hébergées, même si l'hébergement est dans un cloud de confiance 100% européen. Cette personne ou entité peut appartenir à l’hébergeur cloud ou à l’entreprise cliente. La solution pour échapper au Cloud Act est donc d’éviter d’avoir aux Etats-Unis du personnel technique ayant la possession, la garde ou contrôle sur les données. C’est vrai pour l’hébergeur comme pour ses clients.»

S3NS et Bleu visent les administrations, collectivités locales, opérateurs d’importance vitales ou encore entreprises de services essentiels. Thales admet que le cloud S3NS ne répond pas aux exigences d’applications ultra sensibles comme la défense. Elles ont vocation à rester stockées en interne ou dans un cloud privé. Les entreprises sont invitées à faire le tri dans leurs applications et leurs données pour déterminer les options d’hébergement les plus appropriées : cloud public, cloud de confiance, cloud privé ou en interne.

Risque d'intrusion réduit

Éric Le Quellenec salue néanmoins S3NS et Bleu comme un grand progrès dans la protection contre le Cloud Act. "Sur une échelle des risques de 0 à 10, nous accordons une note de 7 à 8 pour le cloud public traditionnel comme celui d’Amazon, de Microsoft ou de Google, estime-t-il. Pour les cloud de confiance de S3NS et Bleu, notre note est de 2. La protection à 100 % n’existe pas. Mais S3NS et Bleu réduisent considérablement les risques d’intrusion de puissances étrangères."

Le débat n’a pas échappé au gouvernement français. Il a fait de ce modèle de cloud de confiance, porté par S3NS et Bleu, un des trois piliers de la stratégie nationale dans le cloud annoncée en mai 2021. L’objectif était de donner aux entreprises françaises accès aux offres américaines considérées comme les plus avancées du marché, en attendant l’émergence d’alternatives françaises et européennes compétitives. Le gouvernement semble maintenant infléchir sa stratégie et donner la priorité au développement des écosystèmes français et européen du cloud. Lors de l’inauguration d’un nouveau datacenter d’OVHcloud à Strasbourg, le 12 septembre 2022, il annoncé cinq nouvelles mesures dans ce sens.

Besoin de négocier un accord avec les Etats-Unis

Reste une dimension politique au problème : celle des transferts de données entre l’Union européenne et les Etats-Unis. Le bouclier de protection Privacy Shield, en vigueur depuis 2016, a été invalidé par la Cour européenne de justice en juillet 2020 car elle l'a jugé contraire au RGPD, le Règlement européen de protection des données personnelles. "Aujourd’hui, c’est le vide juridique total, déplore Éric Le Quellenec. L’Union européenne a besoin de négocier un nouvel accord pour encadrer l’accès par les Etats-Unis aux données en Europe. Le Cloud Act prévoit cela pour les pays alliés des Etats-Unis. Avec une administration démocrate à Washington, nous avons peut-être des chances d’aboutir à un accord. C'est le meilleur moyen d'éviter les abus d'application du Cloud Act."

Les plus lus : Cloud computing
  1. Pour accélérer sur le marché des datacenters, Legrand investit 22 millions d'euros dans l'usine de Montbard
  2. Datacenters de plus en plus sollicités : quelles grandes tendances pour y faire face ?
  3. Ce qu'il manque pour renforcer la souveraineté numérique française et européenne
  4. Ce que l’on sait du projet de datacenter de Brookfield et Data4 à Cambrai
  5. Choose France : un ambitieux campus IA et quatre nouveaux datacenters annoncés en Ile-de-France
  6. Le gouvernement relance son projet de «cloud souverain» dans le cadre de France 2030
Newsletter La Quotidienne
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Ils recrutent des talents
Emploi industrie
Category Manager Marques Nationales GMS (H/F)
Harry Hope - 11/04/2026 - CDI - Dijon
Comptes Clés Food Service et industriels (H/F)
Harry Hope - 11/04/2026 - CDI - Dijon
Tous les postes disponibles
Les webinars
Tout voir
Tech
TEST
21 avril 2026 - 10h30
45 min
Contenu proposé par TEST CHAINE
S’inscrire au webinar
Industrie
Exploiter tout le potentiel des données d'essais chez Safran Transmission Systems
16 avril 2026 - 12h00
45 min
65 inscrit(s)
S’inscrire au webinar
Financer l'industrie autrement : la dette privée au service du tissu productif et des investisseurs institutionnels
10 avril 2026 - 07h45
90 min
147 inscrit(s)
Contenu proposé par Les rédactions de l'Argus & L'Usine Nouvelle
Voir le replay
Les services L'Usine Nouvelle
Détectez vos opportunités d’affaires
94 - Choisy-le-Roi
Travaux de pose et fourniture de ventilateurs de plafond dans diverses écoles
Date de réponse 05/05/2026
+ 10 000 avis par jour
Tout voir
Trouvez des produits et des fournisseurs
Publiscopies : aéronautique
Les cabines de peinture les plus économiques à l’exploitation
EUROPA
+ 240 000 produits
Tout voir