terra bellum

View Original

Cloud Computing : Un exemple de droit régalien 2.0 (2/4)

DoubleClick, fifliale de Gogle ayant acheté des données à des sites de santé.

Le changement de paradigme apporté par le service qu’est le cloud computing est important pour plusieurs raisons. Au-delà des apports mis en avant par cette technologie, de nombreux enjeux sont mis en lumière. Aussi variés et importants les uns que les autres, ils reflètent les préoccupations de notre époque.

Une expression de la souveraineté

Le premier enjeu majeur du cloud computing n’est ni plus ni moins que la souveraineté du stockage et de la maîtrise des données de ses citoyens. Le nouvel or noir que constituent les données est regroupé au sein des datacenters. Ces « coffres » contenant le précieux sésame sont répartis un peu partout dans le monde. Le choix de leur emplacement est critique : il est impensable pour un pays ayant un conflit plus ou moins ouvert avec une entité souveraine à sa frontière, d’autoriser l’implantation de centres de données non loin de la limite territoriale avec ladite entité étatique. Pour faire plus simple : il serait déraisonnable pour l’Inde de placer ses datacenters à la frontière avec le Pakistan, ou dans une moindre mesure avec la Chine. Au-delà de l’aspect évident concernant la sécurité nationale, un des deux Etats pourrait se servir des informations de son voisin pour sanctionner une partie de sa population au titre d’un combat idéologique. Pour reprendre le même exemple, le combat entre musulmans et hindous en Inde pourrait prendre une autre dimension si l’Inde ou le Pakistan avait accès aux données sensibles (telle que la religion pratiquée) de son voisin. En Chine, le gouvernement de Xi Jinping se sert sans privation de sa base de données pour faire subir un traitement d’une rare violence à sa population ouïghoure. On peut raisonnablement imaginer qu’il pourrait aller plus loin s’il avait accès à d’autres informations détenues par ses voisins étatiques.

L’autre enjeu majeur du cloud computing concerne l’accès aux données stockées. Cet accès a une portée hautement stratégique. Un des Etats à l’avoir compris est la terre mère des GAFA. A travers le Cloud Act, les Etats-Unis ont mis en place un Patriot Act numérique. Pour rappel, le Patriot Act est une loi votée par le Congrès américain suite aux attentats du 11 septembre 2001. Cette législation renforce le pouvoir des agences du gouvernement telles que FBI, CIA, NSA ; et invente les notions de "combattant ennemi" et de "combattant illégal" (utilisée pour justifier les emprisonnements sans limites de temps à Guantanamo), et s’attaque déjà au cyberespace en considérant que toute intrusion dans un système informatique peut être assimilée à un acte de terrorisme. Le Cloud Act, promulgué en 2018, permet à l’hégémonie américaine de continuer sa course en lui fournissant une troisième arme (après le dollar et l’utilisation que l’on pourrait qualifier de « personnelle » du droit international par les américains) en autorisant une collecte de données quasi sans limite. Le texte permet « aux forces de l'ordre ou aux agences de renseignement américaines d’obtenir des opérateurs télécoms et des fournisseurs de services de Cloud computing des informations stockées sur leurs serveurs ». Mais le plus beau reste à venir : cette autorisation est valable même si les données sont stockées hors des Etats-Unis ! Donc peu importe où vos données sont stockées ou la souveraineté de votre pays, si vous utilisez un service fourni par des membres des GAFA, les services américains peuvent avoir accès à vos données. Lorsque l’on constate la domination de certaines entreprises comme Google ou Amazon dans le monde et en Europe, cela pousse davantage à la nécessité de GAFA européens. Mais la souveraineté n’est pas le seul enjeu primordial du cloud computing.

Environnement – finance : un duel concerné par le cloud computing

Un des principaux inconvénients et une des principales critiques adressés au cloud computing est sa consommation d’énergie. Même si ce nuage apparaît dans l’esprit général comme dématérialisé, sa présence physique à travers, par exemple des data centers, peut poser problème. Ces derniers ont continuellement besoin d’être maintenus à une certaine température, entre 18 et 27 degrés Celsius, étant précisé que plus les équipements sont vieux moins leur tolérance à une température haute est élevée. Ce problème fait l’objet de nombreuses recherches, et même si la température conseillée a augmenté depuis ces dix dernières années, la prise en compte de l’aspect écologique est un point non négligeable pour certaines sociétés proposant des services de cloud, et pour davantage de consommateurs de jours en jours. Le meilleur exemple est OVH cloud, le père du fondateur Octave Klaba, Hendrick Klaba, a développé un système de refroidissement par eau permettant d’économiser jusqu’à 30 % de l’énergie nécessaire.

L’enjeu écologique est primordial pour la viabilité du cloud et sa pérennité, mais sur le court et moyen terme se sont bien les enjeux financiers qui dictent les investissements. Ces derniers sont gargantuesques. Selon Thierry Breton, le commissaire européen en charge du marché intérieur, actuellement « le volume mondial de données que nous traitons est de 35 zeta bites, c'est-à-dire 35.000 milliards de milliards de données ». Ce chiffre difficilement imaginable n’en est encore qu’à ses balbutiements puisque « ce volume double tous les 18 mois et qu'il atteindra 175 zeta bites dans cinq ans ».  La masse de données à stocker n’ira donc qu’en augmentant de manière significative, ce qui confirme l’importance de cette nouvelle « matière », et son qualificatif « d’or noir du 21ème siècle ». Nous pouvons légitimement imaginer que leur intérêt ne risque pas de décroitre avant des décennies.

Le véritable or noir : les données sensibles

Ces enjeux financiers ne sont pas au même niveau selon le type de données stockées. Les plus grandes interrogations face aux pouvoirs étatiques ou privés tirent leurs substances de l’importance du type de données traitées, stockées, utilisées ou vendues. En effet il existe une grande différence entre une donnée médicale indiquant des informations critiques sur une personne, et une donnée commerciale comme l’achat d’un vêtement. Quelle compagnie d’assurance ou laboratoire ne rêverait pas de pouvoir adopter son offre au client de la façon la plus personnelle possible ? La connaissance d’une maladie est primordiale pour une compagnie d’assurance. Les informations de santé, protégées par le secret médical, sont infiniment moins règlementées lorsqu’elles circulent sur internet. Le partenariat initié dans le domaine de la santé entre Google et le réseau de santé américain Ascension fait l’objet de nombreux débats, Google ayant bien compris l’importance de ce type de données. Les sites de santé se sont récemment fait épinglé pour monétiser les données de leurs patients aux GAFA, et notamment à DoubleClick une filiale de Google.

En France, ces données qualifiées de sensibles sont de plusieurs types : origines raciales ou ethniques ; opinions politiques, philosophiques ou religieuses, l'appartenance syndicale des personnes, les données relatives aux infractions pénales, les données biométriques et génétiques… Elles possèdent toutes un point commun : ce sont toutes des données à caractère personnel.

Comme toute nouveauté, les impacts positifs comme négatifs du cloud computing seront déterminés par la façon dont les utilisateurs et prestataires s’en empareront et l’utiliseront. Le stockage de données constitue un réel changement de la façon dont nous pensons et consommons. Dans le troisième article consacré à cette thématique, nous étudierons le marché actuel et ses acteurs.



Sources :

https://www.actu-environnement.com/ae/news/cloud-est-il-green-32691.php4

https://www.ouest-france.fr/leditiondusoir/data/73640/reader/reader.html#!preferred/1/package/73640/pub/104605/page/9

https://www.ovh.com/blog/water-cooling-from-innovation-to-disruption-part-i/?xtor=CS1-22-[fr_int_2020_ovh_brand_brand_undefinite_awareness_reach]-[dimg_1200x600_1200x600_v1]

https://www.lesechos.fr/monde/europe/thierry-breton-pour-acceder-au-marche-europeen-il-faudra-accepter-nos-regles-1161004

https://www.lesechos.fr/tech-medias/hightech/les-sites-de-sante-britanniques-passoires-de-donnees-sensibles-1147448

https://www.futura-sciences.com/tech/definitions/informatique-cloud-computing-11573/

https://www.generation-nt.com/stadia-cloud-gaming-google-seduit-pas-actualite-1971859.html

https://www.redhat.com/fr/topics/cloud-computing/public-cloud-vs-private-cloud-and-hybrid-cloud

https://azure.microsoft.com/fr-fr/overview/what-are-private-public-hybrid-clouds/

https://fr.wikipedia.org/wiki/Donn%C3%A9es_sensibles

https://www.nouvelobs.com/monde/20060906.OBS0822/qu-est-ce-que-le-patriot-act.html