,

Souveraineté des données : mythe ou réalité ? Le point de vue de Yannick Le Briquer, fondateur d’Anakeen

Stratégie de souveraineté

La question de la souveraineté des données est aujourd’hui sur (presque) toutes les lèvres. Entre les impératifs de conformité du RGPD et les risques liés à l’extraterritorialité de certaines lois étrangères (comme le Cloud Act), les entreprises s’interrogent : comment garder la maîtrise de leur patrimoine informationnel ? D’ailleurs, est-ce seulement possible à l’ère des GAFA et des géants du Cloud ?

Yannick Le Briquer, fondateur d’Anakeen, nous livre son approche pragmatique et son engagement de longue date en faveur de l’open source, et nous dévoile la manière dont Anakeen a transformé ce concept en une réalité opérationnelle.

Quelle est ta définition de la souveraineté des données, et représente-t-elle aujourd’hui un vœu pieu ou une réalité atteignable ?

Pour une entreprise, la souveraineté des données consiste à rester maître de ses données stratégiques, de son « patrimoine informationnel ». Il s’agit de s’assurer que les données critiques à son fonctionnement sont non seulement protégées, mais également maitrisées. En tant qu’entreprise française, nous sommes soumis aux lois françaises et aux règlements européens. La souveraineté consiste donc en premier lieu à garantir que la gestion de nos données nous permet de rester en pleine conformité avec ce cadre légal. Si vos données sont maîtrisées par un tiers qui n’est pas soumis à la même juridiction que la vôtre, vous vous exposez logiquement à un risque juridique et opérationnel majeur.

Mais si aujourd’hui la tâche semble ardue, la notion de souveraineté des données n’est absolument pas un vœu pieu, c’est une réalité parfaitement atteignable ! Une idée largement partagée consiste à dire que c’est « mission impossible » parce que tout le monde utilise (à différents niveaux) les services des GAFA. Et cette idée reçue est tenace ! La facilité apparente de ces solutions éprouvées masque souvent leur coût réel en termes de dépendance et de perte de contrôle. Atteindre la souveraineté demande un effort conscient et une certaine discipline technique, c’est vrai, mais c’est avant tout un choix stratégique qui porte ses fruits sur le long terme. Et une fois que cet effort est fait, la tranquillité d’esprit gagnée est inestimable.

Quels enjeux se cachent derrière cette idée de souveraineté des données ?

L’enjeu principal est celui de la maîtrise et de la gestion du risque. Le premier risque est juridique : héberger ses données critiques chez un acteur non européen, même si ses serveurs sont physiquement en Europe, c’est prendre le risque que ces données soient soumises à des lois à portée extraterritoriale. Et de perdre alors le contrôle et toute garantie de confidentialité face à des juridictions étrangères.

Le second risque, tout aussi important, est opérationnel. En confiant tout ou partie de son système d’information à une suite de services « clés en main » d’un géant américain, on ne maîtrise plus rien. Le risque est la dépendance envers un seul fournisseur pour la donnée, les logiciels qui la traitent, et les infrastructures qui l’hébergent. C’est le principe de l’enfermement propriétaire (« vendor lock-in ») : que se passe-t-il si le fournisseur change ses tarifs, modifie ses services ou décide de les arrêter ?

Notre démarche chez Anakeen a toujours été guidée par ce besoin de maîtrise. Nous voulons comprendre et contrôler les briques qui constituent notre système, et donc notre patrimoine. C’est une démarche prudentielle, une approche de résilience qui nous protège des aléas externes.

Bien que ne garantissant pas la souveraineté, certains outils ou démarches aident à la mettre en œuvre. Peux-tu nous donner des exemples ?

La souveraineté n’est pas qu’une question d’outils, c’est avant tout une démarche structurée et continue.

  • L’inventaire et la classification : La norme ISO 27001 par exemple peut guider pour faire l’inventaire des « actifs informationnels » et les classifier selon leur criticité. C’est un travail méthodique qui permet de cartographier son patrimoine. Car on ne peut pas protéger ce qu’on n’a pas identifié. C’est le point de départ de toute stratégie de protection.
  • Le cadre légal : Le RGPD (le Règlement Général sur la Protection des Données) est souvent perçu comme une contrainte, mais il est en réalité un formidable outil. Il impose en effet un cadre strict pour la gestion des données personnelles. Se conformer au RGPD, c’est déjà faire un grand pas, car il force à se poser les bonnes questions sur la localisation des données, les finalités de traitement et les mesures de sécurité. Ce qui profite in fine à toutes les données.
  • La gouvernance : Un SMSI (Système de Management de la Sécurité de l’Information), formalisé ou non, regroupe l’ensemble des politiques, des procédures et des contrôles qui permettent de gérer la sécurité de manière continue. Ce n’est pas un projet avec un début et une fin, mais une boucle d’amélioration constante qui garantit que la protection de l’information est organisée, pilotée et adaptée aux nouvelles menaces.

Ces trois éléments combinés – savoir quoi protéger, être en conformité, et organiser la protection – forment le socle d’une démarche de souveraineté efficace et pérenne.

Comment Anakeen met en pratique cette démarche de souveraineté des données ?

Notre approche repose sur un principe simple : maîtriser ce que nous possédons.

Il faut déjà maîtriser son infrastructure. Nous louons des serveurs dédiés ou virtuels exclusivement chez des acteurs européens comme OVH et Scaleway. Ce choix est délibéré et fondamental. Il ne s’agit pas seulement d’héberger des données sur le sol européen ; il s’agit de s’assurer que l’entité juridique qui opère l’infrastructure est elle-même européenne. C’est la seule garantie tangible d’être à l’abri de lois à portée extraterritoriale. C’est aussi, bien sûr, une manière de participer activement au développement d’un écosystème numérique européen fort et compétitif. En ce qui concerne le matériel que nous gérons, nous pouvons être amenés à remplacer le système d’exploitation d’origine par une version open source, comme c’est le cas pour nos routeurs par exemple. 

Sur cette infrastructure, la couche logicielle est presque exclusivement bâtie sur des solutions open source. C’est le ciment de notre démarche. De la suite bureautique OpenOffice à nos postes de travail sous Linux, en passant par nos outils métiers : GitLab pour le développement, Nextcloud pour le partage de fichiers, Redmine pour le suivi de projet, ou encore Zulip pour la messagerie instantanée, l’open source est à tous les étages. Nous avons de la même manière construit nos propres applications de gestion d’entreprise, ERP, SMI, espace client avec notre plateforme No Code easyAP4. Ce choix n’est pas idéologique, il est stratégique. Il nous offre trois garanties fondamentales que le logiciel propriétaire ne peut fournir.

  • La transparence, car nous pouvons accéder au code source et comprendre son fonctionnement.
  • La réversibilité, car nous ne sommes jamais prisonniers d’un éditeur ; nos données nous appartiennent et nous pouvons migrer vers une autre solution à tout moment.
  • Et enfin, l’indépendance, car nous ne dépendons pas de la feuille de route commerciale, de la pérennité ou des choix stratégiques d’un tiers.

Cette approche multi-couches nous garantit une maîtrise de bout en bout et prouve que construire un système d’information souverain est non seulement possible, mais c’est aussi un véritable atout stratégique sur le long terme.

Ebook No code
Yannick Le Briquer, Directeur général

Ingénieur N7 en informatique et mathématiques appliquées, j'ai tout d'abord travaillé en tant que chef de projet sur le développement et la maintenance de logiciels embarqués pour la gamme Airbus (A320, 330, 340), avant de prendre en charge l'offre GED de Steria basée sur nos compétences acquises dans la gestion de la documentation technique aéronautique, cette offre s'est développées dans les secteurs Télécom et transport ferroviaire en France et à l'international. Convaincu que le logiciel libre permettait d'offrir aux entreprises un service au moins équivalent aux services offerts par les logiciels propriétaire, j'ai fondé Anakeen en 1998, tout d'abord autour de la conception et la diffusion d'une distribution Linux sécurisée intégrant un Système de détection d'intrusion pour offrir aux entreprises les moyens d'interconnecter leurs sites à moindre coûts et de manière sécurisée, j'ai souhaité ensuite apporter mon expérience autour de la documentation structurée et des processus métier en créant Dynacase, puis Anakeen Platform 4 et maintenant son compagnon no-code easyAP4.