Allez au contenu, Allez à la navigation

Stockage de données financières des entreprises par Amazon

15e législature

Question écrite n° 17295 de M. Pascal Allizard (Calvados - Les Républicains)

publiée dans le JO Sénat du 16/07/2020 - page 3242

M. Pascal Allizard attire l'attention de M. le ministre de l'économie, des finances et de la relance à propos du stockage de données financières des entreprises par Amazon.
Il rappelle que la banque publique d'investissement (BPI) vient de choisir la société américaine Amazon pour l'hébergement des données en lien avec les prêts garantis par l'État au bénéfice des entreprises françaises affaiblies par la crise sanitaire du Covid-19.
Cette solution technique inquiète tant les entreprises que les spécialistes de l'intelligence économique dès lors qu'elle pourrait permettre un accès à des données stratégiques, à savoir l'état de santé financière complet d'une entreprise française, ainsi que de nombreux autres détails.
Ainsi serait accru le risque de prédation sur des sociétés françaises en difficulté mais présentant un intérêt économique ou stratégique.
Il faut rappeler que la loi américaine dite « Cloud Act » permet de contraindre tout fournisseur de service américain en stockage de données de masse à transférer aux autorités des données. De plus, les services de renseignement peuvent aussi solliciter ces informations.
Par conséquent, alors que le Gouvernement prône la souveraineté économique et numérique, il souhaiterait savoir si, dans le cas d'espèce, il compte réorienter la BPI vers une solution de stockage de données française ou européenne. Il souhaite également connaitre les mesures envisagées pour éviter que de telles situations ne se reproduisent.



Réponse du Ministère de l'économie, des finances et de la relance

publiée dans le JO Sénat du 04/02/2021 - page 753

Bpifrance a opté depuis 2019 pour une stratégie de stockage de ses données hybride et multi-hébergeurs, fondée sur le principe de réversibilité, qui garantit la possibilité de faire migrer ses données d'un hébergeur à l'autre et d'éviter un potentiel « lock in ». BPI a noué dans ce cadre trois contrats avec des fournisseurs de cloud : Amazon, Microsoft et OVH. La commande des pouvoirs publics pour le déploiement totalement en ligne des attestations de garanties du prêt garanti par l'État (PGE), nécessitait la mise en place en moins de 5 jours d'une plateforme devant être opérationnelle 24 heures sur 24h et 7 jours sur 7. Bpifrance a eu recours à un prestataire, Amazon Web Services, dont l'offre de service n'avait pas d'équivalent, à date, parmi les autres acteurs déjà référencés. Les données Bpifrance hébergées chez ce prestataire ne sont pas accessibles à l'hébergeur, étant intégralement chiffrées par une clef privée Bpifrance, elle-même stockée chez Bpifrance. Le Privacy Shield américain, qui ne concerne que les données hébergées sur le sol américain, ne s'applique, par ailleurs, pas aux données hébergées à Paris, et Amazon Web Services n'a pas le droit d'effectuer de transferts de données sans l'accord de Bpifrance. Le sujet de l'hébergement des données sur des serveurs de type cloud, qui constitue l'un des éléments essentiels de la construction d'une souveraineté numérique européenne,  est par ailleurs suivi de près par le Gouvernement français, qui participe activement aux négociations au Conseil sur le projet de règlement européen Digital Operational Resilience Act (DORA). Ce projet de règlement, tel que proposé par la Commission européenne le 24 septembre dernier, prévoit plusieurs dispositions visant à renforcer la résilience des fournisseurs de services de technologies de l'information et de la communication, dont les fournisseurs de cloud. Le texte introduit notamment un mécanisme nouveau de supervision des fournisseurs de services de technologies de l'information et de la communication désignés comme critiques pour les entités financières de l'Union européenne. Par ailleurs, il fournira des clauses contractuelles type aux entités financières, pour la gestion de leur relation contractuelle avec les prestataires de cloud, afin de garantir le respect de l'intégrité des données et des exigences européennes en matière de cybersécurité.