Hébergement des données sensibles à l’étranger : une interdiction insuffisante ?

Renforçant son arsenal numérique, le Maroc interdit l’hébergement de données sensibles dans des serveurs se trouvant à l’étranger.
Quels sont les objectifs de cette interdiction ? Comment la France préserve-t-elle les données d’importance vitale ? La notion de données sensibles concerne-t-elle aussi les entreprises ? Le recours à des centres de données souverains est-il une solution viable ?

Quels sont les objectifs de cette interdiction marocaine ?

Annonçant sa décision en juillet 2022, Ghita Mezzour, ministre marocaine déléguée chargée de la Transition numérique et de la Réforme de l’administration, anticipe sur un cadre réglementaire sur la « confiance numérique » souhaitée par Abdellatif Loudiyi, ministre délégué auprès du chef du gouvernement chargé de l’administration de la Défense nationale.

Elle répond ainsi à plus de 600 cyberattaques connues par le royaume en 2021. Selon l’African Cyber Threat Assessment Report [1] d’Interpol, 90% des entreprises africaines n’ont pas mis en protocoles de cybersécurité idoines.

Le Maroc se démarque sur le continent où la convention de Malabo (adoptée par l’Union africaine sur la cybersécurité et la protection des données personnelles en 2014) peine à produire ses effets car l’évolution technologique du continent connaît des disparités. Celle-ci n’a été ratifiée que par 13 des 55 Etats de l’Union africaine [2].

Elle prévoit, au titre de la protection des infrastructures critiques, l’adoption par les Etats parties de sanction plus sévères pour les activités criminelles qui les ciblent (art.24.4).

Cette obligation de territorialité concerne les systèmes d’information des administrations de l’Etat, des collectivités territoriales, des établissements et entreprises publics et toute autre personne morale de droit public : « Les données sensibles doivent être exclusivement hébergées sur le territoire national » [3].

La loi de 2020 a aussi créé deux institutions :
- la Commission stratégique de la cybersécurité qui fixe les grandes orientations de l’Etat en matière de cybersécurité et
- l’Autorité Nationale de la Cybersécurité qui met en œuvre les orientations fixées par la commission.

Le royaume veut donc consolider sa souveraineté numérique, pour ce faire il devra renforcer ses propres capacités d’hébergement.

Les régimes juridiques des OIV et OSE français.

En France, certaines données d’importance vitale ou essentielle sont déjà régies par des dispositifs ciblés.

Véritables acteurs de la stratégie nationale de défense, les OIV (Opérateurs d’Importance Vitale) relèvent de l’énergie, des transports, de la banque, mais aussi des communications électroniques, les activités régaliennes, l’eau, la santé et l’alimentation.

Leurs systèmes d’information sensibles doivent respecter le Code de la Défense.

Comme l’explique l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) :

« Les ministères coordonnateurs sont chargés de rédiger les directives nationales de sécurité (DNS) de chaque secteur (et sous-secteur) d’activités d’importance vitale en indiquant les enjeux, les vulnérabilités, les menaces qui doivent être prises en compte et en définissant les objectifs de sécurité du secteur » [4].

La sécurité des activités d’importance vitale repose notamment sur la procédure dite de « criblage » grâce à laquelle l’OIV demander à l’autorité administrative de vérifier que les caractéristiques de la personne souhaitant accéder à son point d’importance vitale ne sont pas incompatibles avec la sécurité du site concerné. La solide et innovante réglementation française permet de garantir la continuité des a activités et la cybersécurité des OIV.

C’est le droit européen qui fixe les obligations des OSE (Opérateurs de Services Essentiels) avec la directive NIS de 2016 (Network and Information systems Security) transposée en droit français dans le Code des Télécommunications.

Les OSE sont les acteurs dont le service est essentiel au maintien de l’activité économique et sociétale (grandes entreprises ou d’entreprises de taille intermédiaire et établissements publics). Leur liste est fixée par la Première Ministre sur recommandation de l’ANSSI.

Ici, l’approche repose sur une méthodologie par les risques visant à leur bonne gouvernance et qui repose sur trois piliers : protection, cybersécurité et résilience.

Ce dispositif sera élargi par la nouvelle directive NIS 2.

La notion de données sensibles concerne-t-elle les entreprises ?

Au sens de la loi Informatique et Libertés, les « données sensibles » sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Or, cette obligation concerne les données de personnes physiques traités par des entreprises et non les données sensibles des entreprises, personnes morales.

En entreprise, les données sensibles sont celles qui ont une valeur économique et/ou stratégique dont la perte, la fuite, l’indisponibilité leur seraient préjudiciable. Il s’agit par exemple des données financières, des éléments de la stratégie, le savoir-faire des collaborateurs, les fichiers clients.

Les cyberattaques nuisent aux entreprises non seulement au titre de son activité mais aussi de sa réputation : intrusion dans les systèmes d’information, usurpation classique d’identité, fraude au président ou aux fournisseurs, rançongiciels, fraude au faux client, etc… l’organisation peut être mise en péril de bien des manières.

Or, la crise sanitaire a vu la mise en place du télétravail, pour respecter les obligations de confinement, souvent sans adopter les gestes de « cyber-barrière ».

Les salariés ont échangé sans VPN de tels documents, parfois avec l’ordinateur du foyer utilisé par tous les membres de la famille générant ainsi des failles de sécurité numérique supplémentaires.

En 2022, 57% des entreprises déclarent avoir subi au moins une fraude avérée cette année. Là encore, les grandes entreprises sont les principales victimes : parmi les entreprises dont le chiffre d’affaires est compris entre 100 et 500 millions d’euros, 82% déclarent avoir subi au moins une fraude avérée cette année [5].

Les entreprises sont donc de plus en plus nombreuses à mettre en place des dispositifs techniques logiciels, applications, sauvegardes, sécurisation avec un serveur local) et à sensibiliser leurs collaborateurs aux risques (contrôle interne et particulier).

Les centres de données : symboles de souveraineté numérique ?

Ils sont des infrastructures essentielles à la constitution d’une souveraineté numérique et contribuent à affirmer l’autonomie stratégique d’un pays. Aujourd’hui la France compte 251 centres de données neutres, c’est-à-dire qui n’appartient pas à un opérateur de services.

Le marché français des centres de données est très concentré et dominé par quelques acteurs importants, comme Equinix Inc., Interxion, DCforData, Euclyde Data Centers et IBM Corporation. Ces grands acteurs, qui détiennent une part prépondérante du marché, se concentrent sur l’élargissement de leur clientèle à l’étranger.

L’adoption croissante du cloud dans la plupart des entreprises en raison des technologies émergentes, telles que l’intelligence artificielle, les données de masse et la chaîne de blocs chez divers utilisateurs finaux, a également stimulé le marché en France.

L’essor de l’informatique de pointe pourrait voir l’avènement d’un éventail croissant de petits centres de données construits plus près des centres de population. Par exemple, Cellnex (entreprise espagnole) et Bouygues Telecom [6] ont signé un accord stratégique pour investir 1 milliard d’euros sur les sept prochaines années jusqu’en 2027.

La souveraineté numérique : un choix politique et stratégique aussi local.

L’ANSSI considère que la sécurité des systèmes d’information des collectivités territoriales est devenue un sujet majeur pour la consolidation du modèle national de cyberdéfense. Sécurité numérique des collectivités territoriales : l’essentiel de la réglementation [7].

Cet aspect est d’autant plus critique dans les villes intelligentes davantage vulnérables aux cyberattaques. Justement, plusieurs collectivités européennes ont publié une déclaration sur la gestion des villes intelligentes pour favoriser des choix technologiques communs [8].

Ce choix est donc crucial au niveau local, où l’enjeu de souveraineté dépend de la sélection d’outils. Un stockage local permet aux données d’être extraites et circuler facilement, tout en garantissant un haut niveau de sécurité.

En effet, la maîtrise du territoire dépend de la maîtrise de ses propres données. Par exemple, il s’agit de s’assurer que les prestataires choisis (éditeurs de logiciels, délégataires de service public), ne s’approprient pas les données publiques et donc la connaissance des territoires. Tel serait le cas s’ils utilisent des formats informatiques dont ils seraient seuls propriétaires.

Conserver le contrôle des données publiques présente surtout l’avantage d’effectuer des économies substantielles dans la conduite des politiques publiques. Qui dit données actualisées et outils d’analyse performants dit aussi meilleure identification des besoins des habitants, et mesure plus fine de l’impact des politiques locales.

100% des entreprises devraient être sensibilisées au risque cyber (Projet de loi d’orientation et de programmation du ministère de l’intérieur).

Sources :
Le Maroc interdit l’hébergement des données sensibles à l’étranger | Africa Cybersecurity Magazine [9].
Données sensibles : le Maroc fait le choix de la souveraineté numérique (lejournaldelafrique.com) [10]
Comment sécuriser les données sensibles des entreprises ? - Oodrive [11]
La carte des data centers des clouds américains en France (journaldunet.fr) [12]
Carte et adresses des datacenters à Paris (france-datacenter.fr)
Lexique et définition des termes en datacenter (france-datacenter.fr) [13]
Marché des centres de données en France | 2022 - 27 | Part de l’industrie, taille, croissance (mordorintelligence.com) [14]
Etude fraude 2022 : les fraudeurs se concentrent désormais sur les plus grandes entreprises (allianz-trade.fr) [15].

Nathalie Devillier, Docteur en Droit

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

2 votes

Notes de l'article:

[3Art.11, Dahir n°1-20-69 du 4 hija 1441 (25 juillet 2020) portant promulgation de la loi n°05-20 relative à la cybersécurité loi_05.20_version_francaise.pdf (dgssi.gov.ma)

[7Agence nationale de la sécurité des systèmes d’information (ssi.gouv.fr).

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit, certifié 4e site Pro en France: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 149 530 membres, 23698 articles, 126 598 messages sur les forums, 4 150 annonces d'emploi et stage... et 2 000 000 de visites du site par mois en moyenne. *


FOCUS SUR >

Les candidatures pour le Prix 2023 de l'innovation des Directions juridiques sont ouvertes !

A LIRE AUSSI >

Quelques points à retenir du 6ème Congrès RDV des Transformations du Droit 2022.




LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs