Souveraineté dans le cloud : les divergences s’accentuent entre France et Allemagne
L’annonce d’un « nouveau cloud indépendant pour l’Europe » par Amazon Web Services (AWS) met en lumière l’accentuation des divergences entre Paris et Berlin sur le sujet de la souveraineté dans le secteur du cloud.
L’annonce d’un « nouveau cloud indépendant pour l’Europe » par Amazon Web Services (AWS) met en lumière l’accentuation des divergences entre Paris et Berlin sur le sujet de la souveraineté dans le secteur du cloud.
L’annonce d’AWS la semaine dernière s’inscrit dans le cadre d’une tendance générale selon laquelle les « hyperscalers » américains — un terme utilisé pour désigner les plus importants fournisseurs de services de cloud — cherchent à répondre aux préoccupations des États membres de l’UE qui souhaitent conserver leurs données à l’intérieur des frontières de l’Europe.
D’autres acteurs majeurs du marché ont fait des annonces similaires, notamment Microsoft, qui a annoncé son offre « Microsoft Cloud for Sovereignty » en juillet 2022, et Oracle, qui a lancé son offre « EU Sovereign Cloud » en juin dernier.
« Ce qui m’inquiète le plus, c’est que la BSI allemande [l’Office fédéral de la sécurité des technologies et de l’information] ait adoubé l’offre « European Sovereign cloud » d’AWS », a déclaré le député centriste français (MoDem, Renew Europe) Philippe Latombe à Euractiv, expliquant qu’il craignait que « les Allemands exercent une pression contre la France » dirigée contre la certification française la plus aboutie en matière de sécurité du cloud, appelée SecNumCloud.
AWS a en effet été le premier fournisseur de services cloud à recevoir la certification C5 de la BSI, une certification de sécurité cloud allemande, basée sur la même norme internationale que SecNumCloud.
Claudia Plattner, directrice générale de la BSI, a déclaré dans un communiqué qu’elle était « très heureuse d’accompagner de manière constructive le développement local d’un cloud AWS, qui contribuera également à la souveraineté européenne en termes de sécurité ».
Qu’est-ce qu’un cloud sécurisé ?
Selon Arnaud David, directeur des affaires européennes chez AWS, l’entreprise a mis en place des éléments techniques, dont des systèmes de garanties, de contrôles et de dispositifs de sécurité qui permettront aux clients d’appliquer des restrictions d’accès afin qu’aucune personne non accréditée, y compris au sein d’AWS, ne puisse accéder à leurs données personnelles.
M. David a également clarifié qu’AWS ne pourra pas accéder aux données de ses clients à moins que l’accès ne lui soit accordé. D’autre part, AWS fournira à ses clients des outils de cryptage. Enfin, seuls les employés d’AWS résidant dans l’UE contrôleront les opérations du « European Sovereign cloud » d’AWS.
Conflits de lois
D’après M. Latombe, « le cloud AWS ne peut pas être souverain car il est soumis à la loi américaine du FISA (Foreign Intelligence Surveillance Act) et au Cloud Act », des lois qui obligent les entreprises américaines, les citoyens américains ou les filiales étrangères sur le sol des États-Unis à coopérer avec les agences de sécurité américaines.
Selon M. David, « s’il est demandé à AWS d’envoyer des données aux administrations américaines en vertu du FISA, Amazon contestera chaque demande qu’elle jugera inappropriée, en particulier si elle est contraire à la législation locale, comme le Règlement général sur la protection des données (RGPD) dans l’Union européenne. »
Les entreprises cloud affirment à l’unisson qu’elles ne divulgueront pas d’informations sensibles. Cependant, elles peuvent être prises en étau par des législations contradictoires.
« Nous sommes une entreprise mondiale, soumise aux lois de tous les pays où nous opérons, y compris la loi américaine », a déclaré M. David, ajoutant que c’était également le cas pour les entreprises de l’UE ayant des filiales aux États-Unis.
M. Latombe n’est pas d’accord avec cette affirmation, et considère que les fournisseurs européens de services en cloud ayant des activités aux États-Unis ne sont soumis aux lois américaines que par l’intermédiaire de leurs filiales basées aux États-Unis, ce qui n’est pas le cas d’AWS, une entreprise basée aux États-Unis et, donc, doit obéir aux demandes des agences américaines dans le monde entier.
Jean-Sébastien Mariez, associé fondateur du cabinet d’avocats français Momentum Avocats, explique notamment que « le lieu de localisation des données [est] désormais indifférent dans l’applicabilité des textes américains ».
En outre, alors qu’Amazon annonce que « seuls les employés d’AWS résidant dans l’UE » et situés dans l’UE auront accès aux données, une note de 2022 du Centre national de cybersécurité néerlandais indique que cela ne signifie pas nécessairement une protection contre les lois du FISA et du Cloud Act.
Divergences franco-allemandes
Traditionnellement, Paris a pu compter sur le soutien de Berlin en ce qui concerne la promotion du principe de souveraineté numérique, les deux pays favorisant leurs champions nationaux, et au détriment des fournisseurs étrangers. En revanche, les petits États membres de l’UE préfèrent acheter la meilleure technologie disponible sur le marché, quelle que soit sa provenance.
Cependant, la divergence franco-allemande sur le concept de « cloud souverain » n’est pas nouvelle. Ce sont des interprétations différentes de significations de ce qu’est la souveraineté numérique pour les infrastructures cloud qui ont fait perdre son élan politique au projet européen de souveraineté numérique Gaia-X.
Les tensions ont atteint leur paroxysme lors des négociations du certificat européen de sécurité des services cloud (European Cloud Services scheme, EUCS), un système de certification de sécurité européen dans lequel la France, par l’intermédiaire de son commissaire Thierry Breton, a voulu imposer les mêmes exigences de sécurité à ses partenaires européens que celles qu’elle applique à son certificat français SecNumCloud.
Cette tentative s’est heurtée à une forte résistance de la part des pays plus libéraux, au premier rang desquels les Pays-Bas. Le Parti libéral-démocrate allemand (FDP) occupant des ministères importants dans l’actuel gouvernement de coalition à Berlin, la France n’a non seulement pas reçu le soutien de l’Allemagne, mais a parfois été plus ou moins ouvertement critiquée.
Dans ce contexte, M. Latombe craint que les Allemands adoptent une position pro-américaine et anti-française et, par conséquent, « quitt[ent] une dépendance au gaz russe pour une dépendance aux entreprises numériques américaines ».
C’est pourquoi il considère que l’attribution de la certification C5 au cloud d’AWS, le « European Sovereign cloud », est « un coin dans [la certification française] SecNumCloud » puisque les autorités françaises et allemandes, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la BSI disposent d’un accord de reconnaissance mutuelle de leurs certificats de sécurité. Cependant, cet accord ne concerne que les certificats de sécurité de premier niveau pour l’instant.
Un porte-parole de la BSI a déclaré à Euractiv qu’il n’y avait pas de lien spécifique entre l’annonce d’AWS et le certificat européen EUCS en cours d’élaboration. Dans le même temps, le ministère allemand du Numérique a déclaré à Euractiv qu’il « s’engageait à garantir que l’économie [allemande] puisse accéder à des structures cloud sécurisées et puissantes dans la mesure du nécessaire ».
L’ANSSI française et le ministère du Numérique français ont refusé les demandes de commentaire d’Euractiv. M. Latombe a, quant à lui, annoncé lundi (30 octobre) qu’il avait envoyé une question écrite au ministre français du Numérique, Jean-Noël Barrot, à ce sujet.
