L’instauration définitive de la loi SREN, en lien avec la sécurisation de l’espace numérique, le 10 avril, a soulevé des interrogations concernant son application pratique et sa pertinence, en particulier en ce qui concerne l’hébergement des données. Après de longs mois de débats sur les lois relatives à la notion de souveraineté numérique en France, il serait judicieux d’adopter une approche plus pragmatique de la protection des données, en privilégiant une mise en œuvre opérationnelle et l’innovation technologique dans un espace numérique sans frontières physiques.
Avec cette loi, le législateur a lié la protection des données sensibles à l’impératif de les garder à l’abri d’un accès potentiel par des États tiers, au nom de la « souveraineté numérique ». Cette orientation a été en partie confirmée par l’ambition du gouvernement, exprimée dans une liste de quinze normes détaillées dans le bulletin « Cloud au centre », paru le 31 mai au Journal officiel (« Mise à jour de la doctrine d’utilisation du cloud par l’État »).
La protection des données sensibles est bien sûr cruciale. Cependant, cet objectif doit être atteint de manière astucieuse pour permettre l’exploitation de technologies innovantes, notamment pour servir l’intérêt public (santé, recherche, environnement, sécurité nationale, etc.). Par conséquent, il serait plus réaliste de se concentrer sur les solutions technologiques efficaces et réalistes déjà existantes.
La sécurité des données par des solutions technologiques.
En Europe, la méthode utilisée par la BSI, l’organisme allemand correspondant à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en France, mérite une attention particulière. Au lieu de se concentrer sur l’orthodoxie juridique, la BSI mise sur l’isolement des données grâce à la technologie, notamment le cryptage des informations, ce qui contraste totalement avec l’ambition française de séduire les investisseurs étrangers pour stimuler l’innovation.
C’est pourquoi certains prestataires de services choisissent délibérément de ne pas détenir les clés de décryptage des données stockées, ce qui rend impossible leur divulgation. Cette stratégie combinant la protection des données et l’utilisation de solutions technologiques se révèle beaucoup plus efficace et favorise la confiance et la responsabilité des utilisateurs.
Nous invitons le Conseil d’Etat à prendre en compte cette stratégie lors de la rédaction des décrets d’application. Comme l’a mis en évidence l’affaire Pegasus, le principe de sécurité juridique n’a jamais empêché l’accès aux données par les acteurs de la cybercriminalité ou de l’espionnage.
Les 20.21% restants de cet article sont réservés aux abonnés.