La sécurité et le prix de la Donnée
Quelle entreprise aujourd’hui n’est pas « digitalisée » ? En interne ou en externe, le monde tourne autour du Cloud, terminologie qu’il convient de faire évoluer aujourd’hui.
A partir du moment où un serveur est relié au monde… il devient Cloud. Ainsi, la frontière ténue entre Cloud on premise, Cloud Privé et Cloud Public s’est-elle délitée au fil du temps de l’usage fait des serveurs. Le point commun à tous est qu’ils sont remplis de Data, ces fameuses données personnelles ou d’entreprises.
L’essentiel est là.
Lorsque les données sont sensibles, leur sécurité est primordiale. Il faudra bien que les fournisseurs de Cloud, quels qu’ils soient, GAFAM ou les BATX compris, s’adaptent au RGPD. Ou cèdent le terrain à la Loi. Certains sont déjà bien plus en avance, comme les Européens, de part la législation en cours sur les données privées (Data privacy). L’Allemagne est même en fer de lance, ayant sur ce sujet une réglementation encore plus stricte du secret et de la sécurité de la donnée.
Le secret de la donnée bousculera forcément le monde économique. L’or noir numérique, stocké, exploité, serait aujourd’hui monétisé aux environs de 21 milliards d’Euros uniquement pour la Grande Bretagne selon un rapport de Vodafone et O2 publié le 6 juin 2014, cité par Le Monde et Challenge.fr. Ce marché colossal rapporte énormément d’argent à ceux qui détiennent les cordons des bases de données. Une entreprise peut se développer, évoluer grâce aux données, comme elle peut aussi tout perdre si celle-ci viennent à s’effacer.
Au Etats-Unis, il existe une profession interdite en France : les data brokers. Ils ont édifié une « Bourse des données » où les prix d’une date de naissance, d’un numéro de sécu ou d’une adresse fluctuent selon la demande
Deux mondes aux apparences très opposés se partagent le gâteau. D’un côté, ceux qui vont récolter, catcher les données. Les vôtres. Avec votre accord ou à votre insu. Et qui vont les revendre.
De l’autre, les hackers, qui vont soumettre au chantage toute entreprise possédant des données.
Et au milieu, une foultitude de software faisant irruption par pop-up sur votre écran pour vous proposer une hypothétique protection contre les nouveaux Al Capone digitaux. Car il faut bien l’avouer, même si cela est parfaitement novateur en terme de technologie, les rançongiciels ne font que reprendre les bases de la délinquance de base. Ce qui la rend terrifiante et dangereuse, c’est son instantanéité et sa capacité mondiale de destruction.
La cybersécurité vient donc au premier plan des préoccupations des DSI. Elle vient contrecarrer le pillage des données, quand celui-ci est illégal et subi.
Mais, tout comme Facebook , pris dans le scandale de l’affaire Cambridge Analytica et le pillage des données de 50 millions d’utilisateurs, ce qui est aujourd’hui au cœur du débat, c’est à la fois la valeur économique des données et ce pourquoi elles semblent si précieuses, ainsi que notre droit à ne pas les transmettre ou les voir volées contre notre gré. Nous avons cédé aux chants de sirènes, et lâché nos intimités pour le bénéfice de notre hyperconnectivité. En oubliant que l’on pouvait avoir les deux.
Ces atteintes répétées à la vie privée sont au centre de la RGPD. Si l’Europe non seulement tient bon, mais souhaite aller au-delà des réglementations actuelles, il n’en demeure pas moins que du côté des géants américains la loi de la jungle fait rage. Lorsque Google capte, enregistre nos données (transmises ou captées), c’est essentiellement pour des raisons économiques et de vente de publicité, modèle économique de la société.
Facebook, du petit génie Zuckerberg, prospère aussi grâce à la publicité. Et plus on connait sa cible, plus la publicité porte ses fruits, et plus les annonceurs se ruent sur votre réseaux tout en acceptant de payer plus cher. La pertinence a un prix.
Dans ce premier cas qui semble révolter même les citoyens américains pourtant beaucoup moins attachés que nous au secret de leur vie privée, Cambridge Analytica a pris une option biaisée. Par un module dit d’étude, l’entreprise a récupéré les données sans indication ni de la portée de ce qui était enregistré, ni des raisons.
Et Facebook de dévisser légèrement en bourse.
Premier pas d’une prise de conscience ? Toujours est-il que Google et Apple ont chuté de même en bourse, tout comme Amazon, Twitter et Snapchat. Il reste la Chine qui tente, dans son programme de « Crédit social » de créer un fichier impensable sur ses citoyens.
La législation européenne, le RGPD, la règlementation encore plus poussée comme en Allemagne devrait faire comprendre aux politiques européens qu’il est grand temps de protéger ses citoyens et d’investir largement, réellement, dans des plateformes, cloud, réseau sociaux européens, protégeant le citoyen de toute déviance potentielle, comme par exemple les manipulations auxquelles Steeve Banon et Robert Mercer se seraient livrés lors des élections américaines par le biais de Cambridge Analytica. Pour le moment, il n’existe aucune concurrence, donc aucune autre offre, pour permettre des réseaux sociaux de grande ampleur rivalisant avec Facebook ou Snapchat. Mais un premier grand pas a été franchi depuis 2 ans côté Cloud public. Amazon, Google ou Azure ont désormais des concurrents de poids, comme le cloud public Open Telekom Cloud de T-Systems, qui possède non seulement des data centers européens, mais qui plus est les opère depuis l’Europe, empêchant ainsi toute intrusion du Patriot Act. Pour rappel, Cette loi, votée aux Etats-Unis après le 11 septembre 2001, permet aux autorités américaines d’accéder directement aux données cloud stockées sur les serveurs de sociétés américaines (ou d’entreprises ayant des intérêts économiques dans le pays) quel que soit leur lieu d’implantation.
Déjà en 2011, Microsoft reconnaissait que les données de ses clients européens d’Office 365 pouvaient être transférées aux Etats-Unis, sans consentement ou information préalable, dans le cadre de l’application du Patriot Act. Le siège de Microsoft étant aux Etats-Unis, celui-ci s’applique pleinement. Le Patriot Act va même plus loin. Même si les données sont stockées en Europe, mais opérées hors d’Europe, le Patriot Act s’applique.
On le voit, assurer la sécurité de ses données n’est pas affaire d’amateur. C’est un véritable maillage de bout en bout que seuls quelques fournisseurs européens sont en capacité de garantir.
La sauvegarde de l’indépendance des Nations européennes passe par des clouds souverains européens. Nos Libertés et nos Démocraties aussi?
Armelle Reffait
Pour un point de vue plus poussé sur les nouveaux amendements, comme la monétisation des données personnelles : l’article de tris Acatrinei dans ZDNet du 8 février 2018
