Intervention de Philippe Latombe

Je souhaite vous interroger sur un sujet que vous avez abordé tous les trois : le cloud. Certaines entreprises publiques ou émanations de l'État ont fait le choix d'aller vers des clouds non souverains. Je pense au Health Data Hub (HDH), à BPIfrance, mais aussi, récemment, à Engie ou à la SNCF, qui a décidé de mettre toutes les données de ses gares connectées sur un cloud non souverain. Outre la simplicité d'utilisation des clouds et de l'ensemble des produits qui vont avec, ces entreprises affirment s'être assurées que les serveurs étaient bien localisés en France ou en Europe, que la clé de chiffrement leur appartenait exclusivement et qu'il n'y avait donc pas de souci. Qu'en pensez-vous après le séisme de Schrems II ? La question n'est pas seulement juridique. Est-ce que Schrems II n'entre pas en contradiction avec cette vision ? Est-il suffisant de tout chiffrer chez nous et de localiser les données sur des serveurs européens, voire en France ? Le label SecNumCloud ne devrait-il pas intégrer un volet souveraineté ? Aujourd'hui, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) pose des conditions techniques, mais ne parle pas de souveraineté dans son label. Faut-il ajouter un volet de souveraineté comme critère dans le SecNumCloud ou bien faut-il créer un label en plus relatif à la souveraineté ?