LL’adoption définitive de la loi relative à la sécurité de l’espace numérique (loi SREN), le 10 avril, soulève un certain nombre de questions quant à son application pratique et sa pertinence, notamment pour l’hébergement de données. Après plusieurs mois de discussions sur la législation liée à la notion de souveraineté numérique en France, il conviendrait de s’orienter vers une approche moins dogmatique de la protection des données, privilégiant plutôt la mise en œuvre opérationnelle et l’innovation technologique dans un espace numérique sans frontières physiques.
Avec ce texte, le législateur a associé la protection des données sensibles à la nécessité de les protéger d’un éventuel accès par des pays tiers, au nom de la « souveraineté numérique ». Cette approche a été en partie confirmée par la volonté du gouvernement, exprimée dans une liste de quinze règles énoncées dans la circulaire « Le nuage au centre ». “, publié le 31 mai Journal officiel (« Mise à jour de la doctrine d’utilisation du cloud computing par l’État »).
La protection des données sensibles est certainement essentielle. Cet objectif doit cependant être mis en œuvre de manière intelligente afin de permettre le recours à des technologies innovantes, notamment au service de l’intérêt général (santé, recherche, environnement, sécurité nationale, etc.). Il serait également plus pragmatique d’examiner les solutions technologiques réalistes et efficaces déjà disponibles.
Sécurité des données grâce à des solutions technologiques
En Europe, la démarche adoptée par le BSI, l’équivalent allemand de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), mérite d’être étudiée. Le BSI privilégie un accès restreint aux données grâce à la qualité technologique, notamment le chiffrement des données, plutôt que de s’entêter sur le dogme de la sécurité juridique, en totale incohérence avec la volonté de la France d’attirer les investisseurs étrangers pour stimuler l’innovation.
C’est ainsi que certains prestataires assurent ne pas disposer des clés de déchiffrement des données qu’ils hébergent, rendant ainsi impossible leur divulgation. Cette approche combinant protection des données et solutions technologiques est bien plus efficace et encourage la confiance et la responsabilité des utilisateurs.
Nous invitons le Conseil d’État à considérer cette approche dans l’élaboration des décrets d’application. La notion de sécurité juridique n’a jamais empêché l’accès aux données aux personnes impliquées dans la cybercriminalité ou l’espionnage, comme l’a démontré l’épisode Pegasus.
Il vous reste 20,21% de cet article à lire. Le reste est réservé aux abonnés.