Question de M. VALLET Mickaël (Charente-Maritime - SER) publiée le 13/02/2025
M. Mickaël Vallet attire l'attention de M. le ministre de l'économie, des finances et de la souveraineté industrielle et numérique sur la récente affirmation du Gouvernement, émise lors des questions au Gouvernement du 22 janvier 2025, selon laquelle les données des centrales nucléaires d'EDF hébergées par Amazon Web Services (AWS) ne présenteraient aucun caractère sensible.
En effet le 22 janvier 2025, M. le ministre de l'économie, des finances et de la souveraineté industrielle et numérique affirmait que les données des centrales nucléaires hébergées portent sur des informations « non sensibles sur lesquelles le risque évoqué n'existe pas ».
La sensibilité des données détenues par des organismes publics ou privés est censée être régie par des critères stricts définis, dont ceux prévus par la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (dite loi SREN). Or, à ce jour, les décrets d'application de cette loi n'ont pas encore été publiés, rendant de ce fait incertaine la caractérisation officielle des données dites sensibles.
Dans ce contexte, il apparaît crucial de comprendre sur quels fondements juridiques et techniques le Gouvernement s'appuie pour affirmer l'absence de sensibilité des données concernées, alors même que le cadre réglementaire permettant d'établir cette sensibilité demeure incomplet. Ce alors que la collaboration entre EDF, acteur stratégique dans le secteur de l'énergie, et AWS, entreprise de droit américain, bien qu'apparemment suspendue, soulève des interrogations sur la souveraineté numérique de la France et les risques d'accès non autorisé à des informations stratégiques par des administrations et services étrangers.
- page 553
Transmise au Ministère de l'économie, des finances et de la souveraineté industrielle et numérique
Réponse du Ministère de l'économie, des finances et de la souveraineté industrielle et numérique publiée le 29/05/2025
Pour accompagner dans la durée le parc nucléaire en exploitation, EDF a décidé de lancer un programme de rénovation du système d'information permettant la gestion des activités de maintenance et d'exploitation de ses centrales. Plusieurs partenaires dont Amazon Web Services (AWS) ont ainsi été sélectionnés pour venir compléter l'offre des datacenters et les compétences internes. Dans le cadre d'une expérimentation relative aux pièces de rechange, EDF héberge ainsi dans le cloud d'AWS une application regroupant les références de pièces non critiques ainsi que leurs caractéristiques techniques, issues de la documentation des fournisseurs. L'objectif n'est pas de réaliser de la maintenance prédictive mais uniquement de disposer d'un catalogue de ces pièces de rechange. Cette expérimentation est toujours en cours et les suites à donner n'ont à ce stade pas encore été définies. L'ancien système d'information est en fonctionnement tout au long de la phase expérimentale, afin de permettre de faire marche arrière si nécessaire. Concernant la sensibilité des données, aucune information sensible n'a été stockée ou traitée dans le cloud d'AWS. L'expérimentation concerne des données non sensibles et qui ne sont pas sujettes à des contraintes réglementaires, comme le Secret de la Défense Nationale ou de la Protection du ootentiel scientifique et technique de la nation. Aucune exigence de maintien des données sur le territoire français n'est prévue pour la typologie de données qui sont hébergées dans le cloud d'AWS. EDF s'assure cependant que ces données sont stockées dans des clouds sécurisés, conformes aux meilleures pratiques et respectant l'ensemble des réglementations européennes et nationales. Pour les données plus sensibles, EDF héberge ces données dans ses propres datacenters ou dans des clouds de confiance certifiés par l'agence nationale de la sécurité des systèmes d'information (ANSSI). Par ailleurs, les systèmes informatiques de pilotage d'une centrale ne sont jamais connectés avec l'extérieur et sont indépendants des systèmes informatiques dits « de gestion », objets de l'expérimentation avec AWS. L'État veille à ce que l'entreprise dispose d'une politique interne de gestion des données exigeante et sera attentif à l'évolution de ce dossier.
- page 2741
Page mise à jour le