Question de Mme MORIN-DESAILLY Catherine (Seine-Maritime - UC) publiée le 02/11/2023
Mme Catherine Morin-Desailly attire l'attention de M. le ministre délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargé du numérique, sur le lancement par la société Amazon de « l'AWS European Sovereign Cloud ».
Ce nouveau service d'informatique en nuage se présente comme souverain et il a été spécifiquement conçu pour tenter de convaincre les clients du secteur public et des industries hautement réglementées à répondre aux exigences réglementaires existantes en matière de résidence des données et d'exploitation. La société Amazon évoque le fait qu'il sera situé et exploité en Europe, et sera : « physiquement et logiquement séparé des régions AWS existantes, avec la même sécurité, la même disponibilité et les mêmes performances que dans les régions AWS existantes ».
La présidente de l'office fédéral allemand de la sécurité de l'information (BSI) a même salué cette initiative en ces termes : « Le développement d'un nuage AWS européen facilitera grandement l'utilisation des services AWS par de nombreuses organisations du secteur public et des entreprises ayant des exigences élevées en matière de sécurité et de protection des données. Nous sommes conscients du pouvoir d'innovation des services Cloud modernes, et nous voulons contribuer à les rendre disponibles en toute sécurité pour l'Allemagne et l'Europe. »
Les termes de cette déclaration ne sont pas sans rappeler ceux qui avaient été employés par le secrétaire d'État à la transition numérique et aux communications électroniques lors du lancement de la société Bleu en 2021 : « Je me félicite de voir notre écosystème national collaborer avec Microsoft afin de proposer une offre susceptible de répondre pleinement aux enjeux de souveraineté numérique. J'invite la société Bleu à embarquer un maximum d'entreprises européennes, et notamment des start-up, dans ce partenariat afin d'en faire un atout pour le dynamisme de l'économie numérique française. »
Il est à noter que sur son site, la société Amazon s'étend aussi sur les bienfaits supposés qui seront apportés aux Européens en matière de sécurité et de souveraineté, omettant elle aussi un détail d'importance stratégique : ce nouveau cloud restera, comme c'est le cas pour Microsoft Azure dans le cadre de la plateforme des données de santé (Health Data Hub), sous le coup des lois extraterritoriales américaines (notamment Cloud Act et FISA), ce qui limite considérablement ses prétentions à la souveraineté.
Par ailleurs, à travers les propos de la présidente du BSI, l'Allemagne semble vouloir occuper, sans concertation, une position prépondérante sur le sujet et ainsi être en mesure d'imposer cette solution cloud au reste de l'Europe, donc à la France, ce en opposition frontale au dispositif SecNumCloud.
Elle souhaite connaître la position du Gouvernement sur cette nouvelle offre américaine et sur les problèmes posés par sa validation par le BSI, homologue de l'ANSSI, tous deux étant censés co-valider ce type de décision.
Alors que la Commission européenne a adopté une nouvelle décision d'adéquation pour la reconduction du « Privacy Shield » en juillet 2023, deux ans après l'invalidation de l'accord précédent par la Cour de justice de l'Union européenne, elle s'interroge enfin sur les options stratégiques de la Commission européenne dans cette annonce. Ce nouvel accord constitue l'opportunité pour les acteurs extra-européens du cloud (et en particulier AWS, Azure et Google Cloud) de renforcer leur mainmise sur ce marché stratégique dont ils détiennent déjà près de 75% du marché et ce au détriment constant des industriels européens des technologies. Cela alors que cet accord devrait in fine connaître la même invalidation par la CJUE que l'accord Safe Harbor et plus récemment le « Privacy Shield » du fait, là encore, de l'extraterritorialité des lois américaines en particulier de la loi FISA.
- page 6201
Transmise au Ministère de l'économie, des finances et de la souveraineté industrielle et numérique
Réponse du Ministère de l'économie, des finances et de la souveraineté industrielle et numérique publiée le 18/04/2024
Le Gouvernement suit avec la plus grande attention le développement du marché du cloud dans le cadre de la stratégie nationale cloud lancée en 2021 et a, à ce titre, pris acte de l'annonce d'AWS concernant le lancement futur d'une offre dite « European Sovereign Cloud ». La stratégie de cloud de confiance du Gouvernement repose sur la qualification SecNumCloud délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui garantit un niveau de protection élevé des services qualifiés contre les accès non-autorisés aux données qu'ils hébergent et traitent, notamment via des lois extraterritoriales. Toute offre d'informatique en nuage présentée par AWS ou par un autre prestataire devra ainsi, en France, être évaluée en conformité avec les critères relevant de la qualification SecNumCloud 3.2 pour pouvoir être qualifiée comme telle, y compris en ce qui concerne son niveau de protection vis-à-vis du droit extra-européen. Les propos de la présidente du BSI (Office fédéral de la sécurité des technologies de l'information et homologue allemand de l'ANSSI) n'engagent pas la France ou l'Union européenne. Le schéma de certification allemand repose, en effet, sur un système d'évaluation différent et indépendant du schéma français. La certification allemande repose sur le catalogue des contrôles de conformité de cloud computing dénommé C5 qui n'a pas été reconnu comme équivalent au référentiel SecNumCloud. La France continue en tout état de cause à soutenir l'ambition d'assurer le développement d'un marché diversifié et concurrentiel du cloud de confiance, en mesure de répondre aux besoins d'innovation et de sécurité de nos administrations et de nos entreprises. C'est également la position que la France défend de manière cohérente et sans faillir dans le cadre des négociations au niveau européen, et l'engagement collectif pris publiquement avec l'Allemagne et l'Italie le 30 octobre 2023 à Rome en faveur de l'adoption d'un système de certification de cybersécurité des services cloud (EUCS) qui soit fiable, complet, robuste et transparent, et qui garantisse une protection efficace des données sensibles en Europe, y compris, en ce qui concerne les données les plus sensibles, contre les législations extraterritoriales.
- page 1657
Page mise à jour le