Qu’est-ce que GAIA-X et pourquoi AWS, Google et Azure sont-ils impliqués? –
GAIA-X est une initiative européenne visant à fournir un écosystème unifié de services cloud et de centres de données régis par les lois de l’UE sur les données. Alors, pourquoi les entreprises cloud américaines se précipitent-elles pour s’inscrire?
Sommaire
Souveraineté des données
La souveraineté des données est un gros problème. C’est le concept que les données – en particulier les informations personnelles identifiables (PII) – sont régies par les lois sur la protection des données et les pratiques générales du pays dans lequel elles sont traitées. même le stockage inerte compte généralement comme un traitement en vertu de la législation sur la protection des données. Les choses se compliquent lorsque les données sont traitées dans un autre pays.
La position habituelle est que le pays dans lequel les données sont envoyées pour traitement ou stockage doit disposer d’un cadre de protection des données au moins aussi efficace que le cadre du pays d’origine. Le règlement général sur la protection des données (RGPD) a adopté cette position et l’a promulguée dans l’UE.
L’Europe n’est pas un cas isolé. De nombreux pays non européens ont des lois relatives à la résidence et à la souveraineté des données, comme la Russie, le Vietnam et l’Indonésie. La résidence des données et la souveraineté des données sont souvent confondues ou confondues en une seule chose. Ce sont en fait des concepts différents, alliés.
- Résidence des données: La résidence des données est l’endroit où un pays ou une entreprise spécifie que les données sont stockées dans un emplacement géographique spécifique. Une entreprise peut le faire pour profiter d’un système juridique permissif ou de lois fiscales attractives.
- Souveraineté des données: La souveraineté des données s’appuie sur les exigences géographiques de la résidence des données. Les données sont également soumises aux lois du pays dans lequel les serveurs sont physiquement situés. Ceci est dicté par la législation plutôt que par le choix des entreprises.
Géographie et confidentialité des données
Les plus grands acteurs du cloud tels qu’IBM, Microsoft, Amazon Web Services (AWS), Alibaba et Google disposent des ressources nécessaires pour créer des centres de données soigneusement positionnés dans le monde entier. Ils sont stratégiquement situés pour aborder la question de la souveraineté des données. Les petits fournisseurs peuvent ne pouvoir proposer qu’un ou deux centres de données. S’ils utilisent l’un des principaux acteurs pour leur infrastructure, ils ne peuvent avoir accès qu’à un seul centre de données.
Construire des centres de données pour répondre aux exigences géographiques de vos clients peut être une décision commerciale judicieuse, mais cela ne signifie pas que tous vos problèmes de souveraineté des données ont été résolus. En 2013, le FBI a émis un mandat d’arrêt à Microsoft pour des courriels relatifs à une affaire qu’ils poursuivaient.
Microsoft a refusé, soulignant que l’article 2703 du Stored Communications Act (SCA) ne pouvait pas contraindre les entreprises américaines à produire des données stockées sur des serveurs en dehors des États-Unis. Les e-mails étaient stockés sur des serveurs hébergés dans le centre de données de Microsoft à Dublin. Extraire les e-mails et les remettre aurait enfreint la directive européenne sur la protection des données, précurseur du RGPD.
Microsoft a fait valoir que la demande d’e-mails devrait être adressée au gouvernement irlandais en utilisant le traité d’assistance juridique mutuelle entre les États-Unis et l’Irlande (MLAT), comme si les données étaient stockées sur papier en Irlande. Microsoft a perdu sa cause, a fait appel et a remporté l’appel.
Le gouvernement américain a dûment lancé son propre appel. Pendant la préparation de l’affaire, le Congrès a adopté la loi sur la clarification de l’utilisation légale des données à l’étranger, ou loi CLOUD. Un nouveau mandat a été lancé en vertu de la loi CLOUD et le mandat, les affaires et les appels précédents ont été abandonnés car un nouveau mandat a été émis en vertu de la loi CLOUD.
Contrairement à la SCA, la loi CLOUD oblige sans ambiguïté une entreprise américaine à remettre les données et informations en sa «possession, garde ou contrôle, indépendamment du fait que ces communications, enregistrements ou autres informations soient localisés. à l’intérieur ou à l’extérieur des États-Unis. » Cela va à l’encontre des principes et des exigences du RGPD et va à l’encontre de la souveraineté des données.
Nous avons déjà vu le début de la réaction contre ce type de collecte de données à grande échelle. C’est la capacité du gouvernement américain et de ses agences de sécurité de pouvoir demander à toute entreprise américaine de transmettre des données qui a provoqué la disparition des cadres de protection des données UE-États-Unis et Suisse-États-Unis. Une affaire a été portée devant la Cour de justice de l’Union européenne, affirmant que la vie privée des citoyens de l’UE ne pouvait pas être respectée si les entreprises américaines pouvaient être contraintes de transmettre leurs données personnelles. L’affaire a été accueillie et l’accord du bouclier de protection des données a été invalidé.
La loi CLOUD étend la portée de ces demandes de données à tous les serveurs appartenant à une société américaine, quel que soit l’endroit où ils se trouvent dans le monde. Inutile de dire que ce n’est pas une option attrayante pour les organisations européennes liées par les restrictions du RGPD.
L’initiative GAIA-X
Le 15 octobre 2020, 27 États membres de l’UE ont convenu de travailler ensemble à une initiative de fédération européenne du cloud connue sous le nom de GAIA-X. L’initiative est une collaboration entre la Commission européenne, les États membres signataires et une centaine d’entreprises et d’organisations, dont Deutsche Telekom AG, Deutsche Bank AG, Siemens et Bosch.
L’objectif est de mettre le flux et le stockage des données européennes sous un plus grand contrôle européen. Étant donné que la dépendance au cloud ne fera qu’augmenter, cela a du sens. GAIA-X comprend que la géographie du cloud est extrêmement importante pour la souveraineté des données. Un cloud principalement basé aux États-Unis rend difficile, voire impossible, pour les individus et les organisations européens de comprendre comment leurs données seront protégées, gérées et gouvernées.
Ce qui a commencé comme un projet principalement franco-allemand bénéficie désormais d’un large soutien et soutien européens. Il vise haut. Des plans sont en cours pour un cloud fédéré européen avec des flux de données fiables, un stockage et une législation cohérente en matière de protection des données. La réalisation du projet nécessiterait la réutilisation de l’infrastructure cloud existante, l’adoption de nouvelles technologies et de nombreux nouveaux interfonctionnements.
Il y aura une «couche applicative» où les utilisateurs et les consommateurs interagiront avec les services auxquels ils se sont abonnés. La couche infrastructure se composera de centres de données interconnectés avec des bandes passantes flexibles et dynamiques. Un nuage européen a déjà été évoqué. Rien ne s’est jamais concrétisé, malgré des millions de dollars injectés dans des projets comme CloudWatt. GAIA-X en est encore à ses balbutiements. Les idées de preuves de concept sont attendues d’ici la fin de 2021. Bien que la conception réelle soit à peine plus qu’un ensemble d’idéaux, les objectifs et les avantages du projet ont été établis.
- Combiner l’investissement: Mettre en commun les investissements privés, nationaux et européens pour fournir des infrastructures et des services cloud compétitifs, verts et sécurisés.
- Définir une approche commune: L ‘«approche européenne de la fédération des capacités cloud» définira un ensemble de solutions techniques et de normes politiques communes. Cela fournira des règles et des lignes directrices pour les centres de données qui souhaitent rejoindre le cloud européen. C’est une sorte de plug-and-play pour les centres de données.
- Piloter la sécurité et l’interopérabilité: La promotion de la sécurité et de la souveraineté des données devrait être un moteur dans l’adoption du cloud GAIA-X de centres de données et de services écoénergétiques. L’Europe veut stimuler l’adoption du cloud dans les organisations de toutes tailles, et en particulier les petites et moyennes entreprises, les start-up et le secteur public.
Les grands garçons veulent aussi
Bien que cela ressemble à quelque chose que les géants actuels du cloud considéreraient comme une concurrence menaçante, AWS, Microsoft et Google ont tous rejoint le projet.
Max Peterson, vice-président du secteur public international chez Amazon Web Services, déclare que leur soutien est motivé par «… assurer les plus hauts niveaux de sécurité et de protection des données, le respect de la souveraineté des données et l’accès à une technologie de pointe.»
Kasper Klynge, vice-président des affaires gouvernementales européennes de Microsoft, a déclaré que «l’engagement de Microsoft envers la confidentialité est de longue date et inébranlable» et que «la souveraineté numérique et l’autodétermination sont essentielles».
Il serait facile d’être cynique et de dire que ces organisations prennent le train en marche parce qu’elles ne veulent pas de la presse négative si elles ne sont pas vues comme respectant avec enthousiasme les principes qui sous-tendent l’initiative, ou qu’elles ne peuvent pas se permettre de l’être. coupez toutes les opportunités qui pourraient survenir. Ils ne peuvent pas laisser passer un projet de cette envergure sans leur engagement si leurs concurrents sont assis à la table. Et bien sûr, l’Europe est un marché énorme et ils ne veulent pas s’aliéner l’Europe.
Google, Microsoft et Amazon Web Services ne sont pas parvenus là où ils sont en étant des organismes de bienfaisance. Quoi qu’ils fassent – aussi altruiste soit-il – leur rapporte toujours une sorte d’avantages, même si ce n’est que de bonnes relations publiques. Mais en même temps, ces organisations sont les meilleures dans ce qu’elles font et elles n’aiment pas être impliquées dans des échecs de grande envergure.
Ils apportent une expertise, une expérience et des ressources inestimables à GAIA-X. Espérons que les nombreux cuisiniers ne gâchent pas le bouillon et que quelque chose de tangible est réellement livré.