Article  | 

Francia crea un certificado de seguridad para conseguir “nubes de confianza”

SHARE

El dilema europeo entre querer que los datos de las compañías y de los consumidores que alberguen las operadoras de telecomunicaciones no salgan, en ningún caso, de las fronteras de la Unión Europea y permitir, al mismo tiempo, que estas operadoras subcontraten sus servicios en la nube a las grandes tecnológicas estadounidenses tiene muy difícil solución. La supremacía en los servicios prestados desde la nube por empresas estadounidenses como Amazon Web Services (AWS), Microsoft Azure y Google Cloud es incontestable, como también pretender que los datos y su tratamiento posterior no puedan estar sometidas a fugas de información o a requerimientos legales de extraterritorialidad de estos datos.

 

El Gobierno francés anunció ayer, después de dos años de trabajo, su “Stratégie nationale pour le Cloud”, que propugna que los datos, al menos los de los servicios públicos, deben estar siempre a salvo de cualquier injerencia extraterritorial, gracias a la utilización de un certificado que se llamará “Cloud de confiance”. El objetivo de esta Estrategia es claro: “Siempre proteger mejor los datos de las empresas, de las Administraciones y de los ciudadanos franceses y afirmar, al mismo tiempo, nuestra soberanía”, como aseguró el ministro de Economía, Bruno Le Maire (en la imagen inferior) en rueda de prensa, que estaba acompañado por la ministra de Transformación y de la Función Pública, Amélie de Montchalin, y Cédric O, Secretario de Estado francés de lo Digital, para dar más importancia a la iniciativa.


Esta Estrategia nacional para la nube se basa en tres pilares: la creación de la etiqueta “Cloud de confiance”, que permitirá gozar de los mejores servicios mundiales basados en la nube y proteger, al mismo tiempo, los datos de los franceses; situar “le Cloud au centre” a base de modernizar la acción pública gracias a las tecnologías de la nube; y, tercero, la “politique industrielle”, poniendo France Relance al servicio de la soberanía francesa para acompañar la construcción de los nuevos servicios en la nube, como afirma el comunicado de la presentación de la Estrategia.

Francia considera que su Estrategia nacional para la nube es un equilibrio entre la protección de datos y la competitividad de las soluciones francesas, al asegurar la soberanía de sus datos y protección jurídica frente a las leyes estadounidenses

El Gobierno francés quiere que las empresas y la Administración “tengan acceso a las herramientas con mayores prestaciones del mundo y con la garantía de que el tratamiento de los datos sea respetuoso con los valores europeos”, sintetizó Cédric O al presentar la Estrategia nacional de la nube. El Gobierno quiere reforzar las exigencias para las Administraciones públicas a base de promover “soluciones híbridas”, que permitan a las empresas francesas o europeas utilizar piezas de software de grupos estadounidenses y así intentar resolver la tensión entre demandas contradictorias, como puso de relieve ayer el periódico vespertino Le Monde al dar cuenta de la iniciativa del Gobierno francés.


Se trata, según una circular que debería ser aprobada en los próximos meses, de “hacer del Cloud el método de albergar por defecto los servicios digitales del Estado”, en los temas de la esfera pública, pero con la exigencia de que esta nube de información esté “protegida contra todo tipo de reglamento extracomunitario”. El Gobierno francés quiere hacer frente a las peticiones de información extraterritorial que las leyes estadounidenses como la Cloud Act o la Foreign Intelligence Surveillance Act (FISA) pueden permitir a la Justicia o a los servicios de información estadounidenses acceder a datos albergados fuera de Estados Unidos. Justamente, este riesgo es lo que hizo que el Tribunal de Justicia Europeo invalidara, en julio de 2020, la transferencia de datos al otro lado del Atlántico y que pusiera en tela de juicio que Microsoft pudiera albergar datos de la salud de franceses a través de la plataforma Health Data Hub.

Las “nubes de confianza”, pieza clave

La creación del certificado “Cloud de confiance” es, por tanto, la piedra angular de toda esta estrategia de contar con datos seguros y lejos de miradas “extraterritoriales”. Este certificado de datos de confianza se otorgará a los prestatarios de servicios de datos que cumplan con una larga lista de criterios validados por la ANSSI, la Agence Nationale de la Securité des Systèmes d’Information francesa. Estos receptores del sello de nube de confianza “deben garantizar la protección máxima de los datos a las empresas y a las administraciones que lo elijan” y el certificado SecNumCloud tendrá un nivel de seguridad “entre los más elevados del mundo” para luchar contra los ciberataques, cada vez más numerosos, quiere el Gobierno.

 

Esta protección de tipo técnico se acompañará de una protección jurídica, que es tanto o más importante, “porque Estados Unidos disponen de unas leyes que les permiten recuperar los datos extraterritoriales y queremos garantizar una independencia total con respecto a estas leyes”, como se hace hoy eco del deseo del ministro de Economía francés el periódico Le Figaro. Para lograrlo, los servidores deberán operar en Francia y las empresas que vendan esta nube deberán ser europeas y gestionadas por europeos. La triple exigencia mencionada más arriba se considera indispensable para escapar del campo de aplicación de la jurisdicción estadounidense.

 

El problema, como salta a la vista, es que esta “nube soberana” no se puede concebir sin tener acceso “a los mejores servicios en la nube”, que “son estadounidenses”, como reconoce Bruno Le Maire. El Ministerio de Economía francés, Bercy, ha ideado para ello un sistema de licencia que permita a los europeos utilizar las tecnologías de Google Cloud o de Microsoft Azure, con las que ya se ha llegado a un principio de acuerdo, y estar fuera del radio de acción de la temida Cloud Act estadounidense. Estas licencias serían únicamente un primer paso, mientras los francés y los europeos consiguen recuperar su retraso en el tema del Cloud, según se puso de manifiesto en la rueda de prensa.

El avance de los servicios en la nube en Europa se considera imparable y debería crear numerosos empleos y una oportunidad única para Europa y para Francia, siempre que se logre mantener la soberanía de los datos

De momento, Francia ha aprobado un presupuesto de 107 millones de euros para este proyecto de seguridad de los datos, que se inscribe en el plan europeo Gaia X , liderado por Francia y Alemania y aprobado en junio del año pasado. El pasado diciembre, la Comisión Europea presentó dos proyectos de ley, la Digital Services Act (DSA) y la Digital Market Act (DMA), que también responden al deseo de controlar a los gigantes tecnológicos, pero que aún deben superar el trámite parlamentario y después que sean realmente efectivas.

Francia liderará la “nube de confianza”

El Gobierno francés liderará la utilización de esta nube de confianza. En el plazo de doce meses, se quiere que todos los nuevos proyectos informáticos de la Administración francesa estén dentro de nubes con certificación de seguridad. El Estado francés no tendrá más que dos nubes internas, una para el Ministerio del Interior y otra para el Ministerio de Hacienda. De un modo un tanto lacónico, sin embargo, el rotativo económico Les Echos puntualiza que, aunque Bercy asegura haber encontrado el punto de equilibrio entre la protección de datos y la competitividad de las soluciones francesas, “este compromiso ciertamente pragmático tiene el riesgo de reducir a los suministradores franceses a simples revendedores de soluciones estadounidenses”.

 

El ejemplo a seguir para conseguir esta cuadratura del círculo es una nube híbrida, como la alianza anunciada el pasado noviembre entre la principal compañía francesa del Cloud, OVH, y Google. En esta iniciativa, OVH “gestiona y explota enteramente” la nube híbrida, pero integra una plataforma de software de Google. Le Mondeasegura, en base a fuentes gubernamentales, que hay negociaciones, en algún caso muy avanzadas, entre actores franceses y líderes estadounidenses y que Google asume que la nube híbrida es un “eje estratégico”. Microsoft, contactado por Le Monde, no hace comentarios, como tampoco Amazon. Se recuerda, sin embargo, que el pasado noviembre AWS, la filial de servicios en la nube de Amazon, cerró un acuerdo con Orange, el principal operador de telecomunicaciones francés, para “acelerar la innovación de las empresas en la nube”.

 

Y es que el avance de los servicios en la nube en Europa se considera imparable, con un crecimiento medio anual del 27% hasta finales de esta década, como revela un estudio del pasado mes de abril de la consultora KPMG e incluido en el comunicado de la Estrategia nacional para el Cloud, como se ve en el gráfico inferior. Se debería pasar de los 63.000 millones de euros que se estima que fue el mercado europeo del Cloud en 2021 a casi diez veces más, 560.000 millones de euros en 2030. “Este incremento del mercado debería crear numerosos empleos y ser una oportunidad única para Europa y para Francia”, se destaca en el comunicado.

Justamente, en un informe de KPMG cofinanciado por varias compañías francesas, entre ellas OVH, se propone reforzar la seguridad de los datos alojados en la nube pero también la interoperabilidad, para que los usuarios puedan pasar sin problemas de un servicio cloud a otro. La creación de una autoridad nacional que regule el cloud, se apunta en el informe, forzaría a las compañías estadounidenses a “europeizarse” y a “separar funcionalmente” su filial de servicios en la nube de sus otras actividades.

 

Otra vía a explorar sería que se llegara a un acuerdo amplio entre la Administración de Estados Unidos y la comisión Europea sobre la transferencia de datos transatlántica. El compromiso dado a conocer justamente ayer por la Unión Europea de aparcar sus planes de aumentar los aranceles a productos estadounidenses para iniciar un entendimiento a ambos lados del Atlántico podría también facilitar un acuerdo en el espinoso tema de la soberanía de los datos.

Los datos albergados por las operadoras, en el aire

Esta Estrategia, aunque funcionara como está prevista en un plazo breve de tiempo, deja en el aire la seguridad de los datos que albergan los operadores de telecomunicaciones, que cada vez llegan a más acuerdos con los gigantes tecnológicos estadounidenses para que les gestionen sus servicios desde sus nubes. El martes pasado, Telefónica Tech, el holding de empresas del grupo Telefónica, anunciaba una alianza con Microsoft para dotar al sector industrial de conectividad 5G y Edge Computing local y hoy mismo Telefónica Tech ha lanzado Google Cloud by Acens  que permitirá a las empresas acceder de forma sencilla a la tecnología de Google Cloud.

 

La utilización por parte de Telefónica de los servicios en la nube de las grandes tecnológicas estadounidenses no es inusual ni mucho menos. Vodafone firmó a principios de mayo una alianza estratégica con Google Cloud para crear, entre otras, una plataforma conjunta de análisis de datos. También Deutsche Telekom, que hasta ahora quería verse libre de las tecnológicas estadounidenses, parece haber repensado su estrategia, al menos de su filial T-Systems que atraviesa problemas de rentabilidad. Y el otro gran operador de telecomunicaciones europeo, la francesa Orange, se ha acercado a AWS, como se ha mencionado. La soberanía de los datos de los usuarios europeos de estas operadoras de telecomunicaciones y por extensión de todos los servicios en la nube europeos queda, por el momento, por dilucidar.