Souveraineté numérique : le choix inquiétant fait par la BPI pour l’hébergement des données sur les prêts des entreprises françaises affaiblies par le Covid-19<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
France
Souveraineté numérique : le choix inquiétant fait par la BPI pour l’hébergement des données sur les prêts des entreprises françaises affaiblies par le Covid-19
©ERIC PIERMONT / AFP

Abandon de souveraineté

Après le flop de l’application StopCovid et le retour en arrière sur le Health Data Hub accordé en première instance à Microsoft, la BPI livre aujourd’hui la gestion des données des prêts Covid garantis par l’État, à Amazon Web Services !

Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).

Voir la bio »

Atlantico.fr : Alors que notre exécutif soutient l’idée d’une politique qui réaffirme l’impérieuse reconquête de notre souveraineté numérique, comment expliquer que des hauts fonctionnaires français puissent ainsi prendre le risque inconsidéré de retransmettre à l’américain Amazon, des données stratégiques aussi sensibles que les prêts d'entreprises fragilisées par la Covid 19, et garantis par l’État Français ? 

FRANCK DeCLOQUEMENT : Il est difficile, convenons-en, de continuer à instruire lorsque le maître lui-même renonce à son autorité, ou plutôt qu'il la recouvre presque par pudeur, sous les oripeaux de l'assentiment et de la persuasion publicitaire… Bruisse en effet dans le landerneau depuis quelques jours, et sous le boisseau naturellement de la haute fonction publique, ce nouvel épisode rocambolesque particulièrement édifiant pour qui s’intéresse aux lambeaux d’un Etat Français supposément stratège…

De quoi retourne-t-il au juste dans cette affaire, en lien avec la préservation de nos data souveraines et de notre autonomie stratégique ? 

Très schématiquement, et afin de soutenir nos entreprises hexagonales à l’issue de la période de confinement, le gouvernement Français a lancé un prêt garanti par l’État, dont Bpifrance gère le système d’attestation via sa banque en ligne. Et pour conduire ces opérations sur le plan technique, Bpifrance a fait appel aux services du géant américain Amazon Web Services (AWS). Ce qui ne manque pas d’interroger les spécialistes du digital et de l’intelligence stratégique, parfaitement dubitatifs en l’état sur les fondements, la cohérence et l’opportunité d’une telle décision… On suppose naturellement que les spécialistes du renseignement économique des différentes centrales s’en émeuvent également en sourdine, eu égard pour la tâche prioritaire qui leur incombe de protéger nos acteurs nationaux des prédateurs internationaux, et d’entraver les ingérences étrangères pernicieuses qui les visent. La raison de cette sourde inquiétude chez nos spécialistes est parfaitement légitime, compte tenu des menaces qui pèsent continuellement sur notre pays. Ce nouvel épisode rocambolesque le démontre une fois de plus, s’il était nécessaire. 

Rappelons en l’état, pour qui n’en serait pas familier, que le « Clarifying Lawful Overseas Use of Data Act », ou « Cloud Act » (codifiée dans 18 U.S.C. Sections 2701–2713), est une loi fédérale des États-Unis qui a été adoptée et promulguée par Donald Trump le 23 mars 2018 sur l'accès aux données de communication (données personnelles). Et notamment celles opérées dans le Cloud. Par ce biais, le  Cloud Act, peut dès lors contraindre tout fournisseur de service américain en stockage de données de masse – dont fait naturellement partie Amazon Web Service (AWS) – à transférer aux autorités américaines dans la plus parfaite discrétion, les données sensibles qu’il héberge. Et cela, qu’elles soient stockées aux États-Unis ou à l’étranger. Le Cloud Act a donc naturellement été adopté par l’Etat fédéral, afin de faciliter l'obtention de ces données stockées à l'étranger par les instances judiciaires des USA. De surcroit, et dans le cadre très spécifique de la législation sur la sécurité nationale des Etats-Unis, les centrales de renseignement américaines peuvent aussi solliciter le plus naturellement du monde auprès des opérateurs concernés, les communications personnelles d'un individu sans que celui-ci en soit informé, ni que son pays de résidence ne le soit également, ni même que le pays où sont stockées ces données ne le soit aussi… L’affaire est donc très sérieuse. 

Notons également qu’Amazon – à l’image des autres GAFAM, est notamment l’un des opérateurs privilégier du Pentagone – mais aussi l’un des principaux bénéficiaires des contrats de Défense. En outre, les agences du renseignement américain ont demandé au géant d'internet de leur fournir un Cloud dédié afin de mieux travailler entre elles. A cet effet, et à partir l’été 2014, le renseignement et la défense américaine ont adopté le « cloud computing » pour stocker leurs informations respectives. Afin de mutualiser leurs données et de travailler plus efficacement, les 17 agences de la Communauté du renseignement des États-Unis (IC) – dont font partie la CIA et la NSA – partagent désormais leurs fichiers en ligne. Aux commandes là encore, le géant américain Amazon, par le biais d’Amazon Web Services (AWS) qui avait développé ce programme depuis début 2013. Le contrat d’une valeur de 600 millions de dollars a été conclu  à l’initiative de la CIA, et s’étale sur une période de dix ans. Peu d’informations ont filtré concernant les spécificités techniques du Cloud proposé par AWS. Cependant, Amazon est déjà en charge du Cloud de la SEC (organisme américain de réglementation et de contrôle des marchés financiers), sur lequel transitent chaque jour un milliard d’enregistrements de transactions. Il est probable que l'IC utilise le Cloud de façon bien plus intense encore avec des dizaines, voire des centaines de milliards de données quotidiennes… En travaillant avec Amazon, le renseignement américain s’assure d’une évolution permanente de son dispositif, en rythme avec les progrès technologiques. Toutefois, la NSA a récemment investi 2 milliards de dollars dans le plus gros data center du monde. Réaliser un tel investissement pour basculer l’ensemble des données sur un Cloud serait pour le moins étonnant. Il est donc probable que les secrets les mieux gardés restent jalousement au sein de chaque agence, et hors de portée des opérateurs privés… 

Quid alors de cette proximité d’Amazon avec le renseignement américain que l’on sait particulièrement offensif depuis les révélations fracassantes d’un Edward Snowden, dans le cadre de sa mission de compilation de données stratégiques sur les entreprises françaises, bénéficiaires des prêts garantis par l’État ? Étonnamment, cela semble ne gêner personne à Bercy... 

Atlantico.fr : L'inquiétude de nombreux spécialistes grandit face aux données souveraines amenées à jouer un rôle croissant dans la politique de la France, mais qui ne sont pourtant pas hébergées par des opérateurs français. La bataille est-elle d’ores et déjà perdue face aux assauts américains et Chinois ? Quel bilan politique tirer de cette incurie décisionnelle au sommet de nos institutions ? Certains n’y croient-ils déjà plus ? 

FRANCK DeCLOQUEMENT : De nombreux acteurs du numérique hexagonal estiment en effet être en droit d’attendre que notre exécutif mette à exécution sans plus tarder, les propos tenus (en vain ?) par un Emmanuel Macron épisodiquement inspiré en matière de souveraineté numérique… Posture sémantique feinte, ou volontarisme réel  de l’intéressé ? Il en va de notre survie collective en tant que nation de les mettre en œuvre sans plus tarder. Hors cette dernière affaire contrevient dramatiquement aux espoirs d’un ressaisissement qu’avait fait naitre le discours présidentiel. A l’occasion d’une allocution prononcée devant la commission d’enquête du Sénat en octobre 2019, consacrée à la souveraineté numérique, Guillaume Poupar, l’emblématique Directeur général de l’ANSSI n’a-t-il pas énoncé mieux que personne ces enjeux stratégiques véritables qui nous obligent au sursaut : « Ceux qui dirigeront le monde demain sont ceux qui seront capables de posséder les données et de savoir comment les traiter. Renoncer au traitement des données nous condamne à être des vassaux ».

Notre pays dispose indéniablement des talents et des ressources humaines et techniques nécessaires pour s’émanciper de la tutelle américaine sur nos axes régaliens prioritaires. Il incombe désormais à nos politiques de se saisir des enjeux présents et à venir, afin d’accompagner très concrètement l’ensemble des acteurs du digital hexagonal en sortant de cette stupeur stérile qui nous étreint collectivement, et notamment face à la pression commerciale des mastodontes Américains et Chinois. La question essentielle est de savoir si la France et ses dirigeants entendent réellement renouer et assumer avec le plein exercice de notre souveraineté nationale, dans un monde post Covid où la conflictualité, l’unilatéralisme, la prédation et l’exercice de la puissance structurent plus que jamais la violence des relations internationales. Rappelons-nous pour exemple, de la détermination cavalière d’un Trump, pour imposer à tout prix son projet de loi sur le « Cloud Act » – autrement dit le moyen de s’octroyer des avantages incontestables sur la concurrence internationale, en vertu du principe d’extraterritorialité de la donnée – dans le cadre d’une bataille juridique qui opposait depuis 2013 la firme Microsoft (dans son refus de délivrer des informations d'un compte Outlook lié à un trafic de drogue et stockées en Irlande, est en instance devant la Cour suprême), au gouvernement des Etats-Unis qui soutenait de son côté que de telles restrictions entravaient l’exercice de son magistère régalien, et de ses enquêtes... 

De surcroit, Le Cloud Act a reçu – in fine – l'appui inconditionnel  du ministère américain de la justice, mais également celui des très grandes firmes technologiques américaines qui s’y sont finalement ralliées in extrémistes… Et notamment, Microsoft, Apple, Google et Amazon, qui y ont finalement reconnu – de guerre lasse – et aux prises avec les pressions insistantes de l’administration Trump, une source de sécurité juridique accrue dans le Cloud Act… Langue de bois oblige, le très influent Brad Smith en personne, (président de Microsoft et simultanément directeur juridique du géant américain de la Tech), a notamment et opportunément déclaré – sans même sourcilier – à l’occasion de cette adoption : « Aujourd'hui est un jour important pour le droit à la vie privée dans le monde entier [...] Le Cloud Act crée un cadre juridique moderne permettant aux agences d'exécution de la loi d'accéder aux données bien au-delà des frontières »… On ne saurait être plus opportuniste et politiquement correcte en l’état, dès lors qu’il s’agit de consolider la position de sa firme face aux injonctions régaliennes. 

En conséquence, le gouvernement des Etats-Unis d’Amérique en vertu de la supériorité de sa puissance technologique peut désormais obtenir à volonté, des données stockées à l'étranger. Et cela, sans passer par les tribunaux (américains ou étrangers), et sans en informer les gouvernements alliés, ou les utilisateurs concernés par ces extractions de data détenues sur des serveurs aux États-Unis. Dans le cas qui nous occupe, le choix d’Amazon opéré par la banque publique d’investissement française pour la gestion des data des prêts garantis par l’État Français (PGE), se situe malheureusement dans la même lignée que celui opéré précédemment pour le « Health Data Hub » (la première plateforme PDS d’exploitation de données de santé publique à l’aide de l’Intelligence Artificielle), pour laquelle l’État Français avait aussi choisi l'attribution à une firme américaine qui n'avait fait d’ailleurs l'objet d'aucun appel d'offres : Microsoft en l’occurrence… Etrange choix là encore, liée très officiellement au fait que les données qui devaient être initialement hébergées sur le Cloud Microsoft Azure (et non sur ceux d’un fournisseur français comme OVH), l’aurait été en vertu du fait que le géant du Cloud était certifié « hébergeur de données de santé »… (sic) ! Si l’article 48 du RGPD interdit le transfert de données de pays européens vers des pays extérieurs, il convient aussi de rappeler que la loi américaine du Cloud Act autorise concomitamment le gouvernement des États-Unis à forcer les hébergeurs américains à fournir les données dans le cadre d’une enquête pénale. Idem concernant la législation spéciale sur la Sécurité Nationale. Toutefois, la CNIL rappelle sur son site :

  • les inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités nord-américaines aux données transférées aux États-Unis, plus particulièrement la collecte et l'accès aux données personnelles à des fins de sécurité nationale en vertu de l'article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333 ;
  • que les dispositions du RGPD interdisent toute demande d’accès d'une juridiction ou d'une autorité administrative d'un pays tiers, adressée à des entreprises dont les traitements sont soumis au RGPD, en dehors d’un accord international applicable ou, selon l’interprétation du CEPD, de l’application d’une dérogation relative à l’intérêt vital de la personne concernée ;
  • que les porteurs de projet recourant au service de la plateforme doivent être informés de ce transfert… 

Cependant, et en Europe notamment, il n'est pas certain que le RGPD soit suffisamment protecteur, et cela même si la CNIL ou l’Etat français prétendent le contraire. Alors que le discours du Président de la République réaffirmait il y a encore peu, la nécessité impérieuse de construire une souveraineté numérique nationale (et européenne par extension, afin de garantie à l’UE une autonomie stratégique minimale), aucune action concrète engagée par l’État ne corrobore ici pleinement, le propos présidentiel… Pire, chacun s’interroge en coulisses sur les raisons de cet abandon patent de souveraineté par les services de l’État. En l’occurrence Bercy et le Secrétaire d’État au numérique, qui systématiquement engagent une entreprise étrangère à l’Union Européenne pour prendre en charge les données souveraines et particulièrement sensibles de notre pays aux Américains… Une décision parfaitement stupéfiante et incompréhensible, d’autant plus quand elle émane en droite ligne du régalien, censé pourtant garantir la préservation de nos intérêts stratégiques en toutes circonstances... 

Tout le monde l’aura parfaitement saisi au regard de ce qui précède, compte tenu de la législation américaine sur la sécurité nationale, cette décision de BpiFrance revient à transférer aux États-Unis un état des lieux extrêmement précis et détaillé de toutes nos entreprises ayant souscrit au prêt garanti par l’État Français... Ruinant par la même occasion, le peu de souveraineté qu’il nous reste en matière de numérique au regard de l’hégémonie américaine sur cet écosystème data. Aux inconscients et aux sceptiques, on pourrait aisément rétorquer la phrase suivante prononcée par un député estomaqué : « imagine-t-on une seule seconde Washington, transférer sans sourcilier la gestion des data souveraines de l’une de ses administrations régaliennes, à un opérateur français, Russe ou Chinois ? » La messe est dite…  

Dès lors, ne faudrait-il voir dans cette affaire qu’une décision de plus, prise fort imprudemment en haut lieu, validant très loin des plateaux de télévision, le renoncement patent de notre exécutif en matière de préservation de nos intérêts stratégiques ? Un peu comme si la France n’avait pas d’autre alternative en la matière aux yeux de certains conseillers de l’exécutif, que de se vendre aux Américains ou aux Chinois ! C’est en tout cas ce qui transparait du côté des spécialistes particulièrement dubitatifs sur ce choix. Pour conclure, n’oublions jamais qu’aucun fonctionnaire de la haute administration de notre pays ne prendrait le risque d’une telle décision en conscience, sans l’aval des plus hautes autorités politiques en exercice. Au demeurant, cette schizophrénie décisionnelle paradoxale, n’est qu’apparente. Dans les faits, rappelons que le Code des marchés publics n’est toujours pas modifié pour imposer 50 % de la dépense publique régalienne dans des entreprises Françaises ou européenne, qui auront pourtant à charge de produire à l’avenir un système numérique régalien (santé, finance, énergie, transport, etc.). On se gausse ! 

Ce qui explique aussi que sont systématiquement et très régulièrement choisis au détriment de nos entreprises, les GAFAM américains, au motif que les offres de ceux-ci sont plus « adaptées », plus « viables » et plus « puissantes » que celles de nos acteurs nationaux. C’est ainsi que nos institutionnelles considèrent les entreprises du numérique Français très mal adaptées et trop peu efficaces au regard de leurs exigences. Ce qui n’est évidemment pas prêt de changer, en vertu de cette boucle décisionnelle récursive très fortement portée par certains lobbyistes dument accointés pour le faire entendre au cœur même du pouvoir. Comme le remarque fort justement un spécialiste récemment interrogé dans la presse spécialisée, il serait dès lors parfaitement naturel et urgent d’en appeler au législateur pour que le Code des marchés Publics soit modifié promptement au profit de l’économie européenne, et que la loi de finances 2021 impose prestement que 50 % du budget soit investi dans des sociétés de droit français ou européen, mais à capitaux européens et dont la propriété intellectuelle du code appartient à une société de droit européen détenu par des citoyens européens… Cette règle de bon sens s’applique pourtant presque partout dans le monde. Il est temps de rééquilibrer le rapport de force pour ne pas ruiner les perspectives d’une indépendance numérique de la France et de l’Europe pourtant proférée à grands frais par nos politiques, et de garantir ainsi le libre arbitre de tous les acteurs de l’UE. Il s’agit au demeurant d’un enjeu stratégique et démocratie prioritaire et incontournable. Rêvons !

Atlantico.fr: Cette pratique française d’attribution préférentielle aux grands acteurs de la Tech américaine s'est-elle déjà reproduite fréquemment ? Est-elle légale ou légitime ?

FRANCK DeCLOQUEMENT : Cette dernière affaire n’est évidemment pas la seule. Et les cas plus ou moins médiatiques s’amoncèlent dans la presse d’actualité ces dernières années, pour qui y prête une attention minimum… Avec en outre, celui du partenariat de la firme américaine de Big Data Palantir Technologie, avec les données stratégiques de l’avionneur AIBUS (pour assurer la montée en cadence de l’A350), celui du renseignement français de la DGSE et de la DGSI pour le traitement de ses données sensibles. Mais aussi, celui de la plateforme « Health Data Hub » que nous évoquions plus haut, avec l'octroi dans un premier temps au Cloud Microsoft, l'hébergement d'une très grande partie de ses données de santé visant à améliorer la qualité des soins. Puis aujourd’hui, celui d’Amazon Web Service (AWS), avec l’hébergement des data intelligence des prêts Covid de BPI France… 

On se rappellera également pour mémoire, au début du mois d'avril dernier, l’approche initiée en pleine crise du Covid-19 auprès de l’Etat Français par la firme californienne de Peter Thiel (ce Janus de la Tech, très liée dans ses activités au renseignement américain), qui visait l’obtention du traitement des données de santé de l'Assistance Publique-Hôpitaux de Paris (AP-HP). Celle-ci avait de quoi embarrasser l'Elysée, puisque percutant de plein fouet les récentes déclarations d’Emmanuel Macron sur la nécessaire quête d’une souveraineté française en matière de data. Cette « généreuse » proposition avait d’ailleurs aussitôt été redirigée dans la foulée par le Château vers les hôpitaux de Paris, l'AP-HP.

Grâce à ses capacités d’analyses augmentées des données, Palantir Technologie promettait en outre d'aider l'institution hospitalière à améliorer substantiellement son fonctionnement logistique et organisationnel, en favorisant notamment une meilleure allocation des ressources en personnels, en fourniture de masques, ou encore en gestion des lits et des respirateurs… Pour beaucoup d’observateurs, une façon aussi très maligne et détournée de faire entrer fort intelligemment « le loup dans la bergerie » de nos data de santé, en surfant pour l’occasion sur le nécessaire renforcement de la lutte conjointe contre la pandémie. Plusieurs pays ont au même moment saisi l’opportunité de cette « main tendue » pour lutter plus efficacement contre le coronavirus, que ce soit l'Agence des centres pour le contrôle et la prévention des maladies aux Etats-Unis (CDC), ou encore le système de santé du Royaume-Uni. Dans la foulée, pas moins d'une douzaine de nations auraient accepté ce soutien bienvenu, selon l'agence Bloomberg, dont le Canada, l'Autriche, mais aussi des pays européens comme l'Espagne et la Grèce…

En l’état, l’AP-HP se refusant à tous commentaires, n’avait pas donné suite à cette proposition du géant américain en date du 17 avril dernier. L'opérateur télécoms SFR a d'ailleurs depuis fourni plusieurs jeux de données permettant de mesurer et de représenter les déplacements entre l’Ile-de-France (et les autres régions françaises sur le mois de mars), à l'AP-HP et à l'Institut National de Recherche en Sciences et Technologies du numérique de Rennes (Inria), a-t-on appris dans L'Obs du 3 mars 2020. Par ailleurs, l'AP-HP avait entre-temps lancé le 12 mars son application « Covidom » qui permet aux patients porteurs du Covid-19, ou suspectés de l’être sans signe de gravité, de bénéficier d’un « télé-suivi » à domicile, en complément de mesures de confinement. 

Cette sous-traitance de nos data est-elle légale ou non dites-vous ? Très schématiquement, rien n’interdit à une institution, dès lors que cela n’entre pas dans la cadre de la protection des données sensibles détenues par des opérateurs d’importance vitale (OIV), d’en fournir la gestion à une firme étrangère. Mais si celle-ci est en revanche dépositaire de certains secrets en lien avec la préservation des intérêts supérieurs de la nation, il est à rappeler une nouvelle fois que les entreprises américaines sont toutes soumises à la législation sur la sécurité nationale, qui autorise leur gouvernement ainsi que leurs agences de sécurité à s’en octroyer unilatéralement l’accès. Guerre économique oblige, l’Etat américain ne s’en prive pas comme l’affaire Snowden s’en est faite massivement l’écho. Pour preuve supplémentaire, la législation sur le Cloud Act évoquée plus haut qui autorise pleinement ce « libre accès de biais », dès lors que les données sont stockées ou sont en rapport même ténu, avec des entreprises ou de la technologie américaine. En somme, « la porte ouverte à toutes les fenêtres » en matière d’ingérences ! 

Réputée outre-Atlantique, très proche de l’administration Trump et du Pentagone, l'entreprise californienne Palantir technologie fournit elle aussi ses solutions d'analyse des données au service de sécurité du renseignement américain (CIA, NSA, FBI, etc) et des forces armées, dans le cadre de la lutte contre le terrorisme, celui de la corruption et de la cybercriminalité. Notons que la filiale française de Palantir Technologie, est dirigée par l'ancien PDG d'Airbus en remplacement de Thomas Enders, le Français Fabrice Brégier, et bénéficie depuis juillet 2019 des apports business d’Alexandre Papaemmanuel, l’ancien directeur commercial « renseignement et sécurité intérieure » de la SS2I et concurrente française, Sopra Steria. 

Atlantico.fr : Quelles conséquences directes, et quel danger immédiat la délégation du traitement de nos données sensibles à une entreprise étrangère leader dans le domaine de l’analyse des data, peut-elle faire peser sur nos entreprises, et plus généralement sur notre pays ? 

FRANCK DeCLOQUEMENT : Sans tomber dans la paranoïa qui parfois s’impose,et au registre des constats vertigineux, Amazon Web Service (AWS) se retrouvera très rapidement en capacité de regrouper et de concentrer toutes les informations, de toutes les entreprises françaises, qui ont souscrit aux prêts garantis par l’État Français (PGE). 

Ainsi, il lui sera désormais incroyablement aisé de cibler par catégorie – et par secteur d’activité – les entreprises privées qui représenteraient un intérêt économique opportun pour les investisseurs étrangers hors UE. La BPI facilite ainsi grandement à notre détriment, et de sa propre initiative, la collecte des données d’intérêt stratégique et d’intelligence économique de puissances étrangères qui pourraient choisir à loisir selon l’état de santé de chaque entreprise considérée, et de sa situation financière spécifique, l’opportunité qu’il y a ou non à s’en rendre maitre à bon prix. Offrant sans ambages un atout concurrentiel indéniable à nos compétiteurs les plus féroces et les plus virulents sur les marchés : les Américains en l’occurrence. Le meilleur des mondes en somme pour l’Oncle Sam… 

Aurait-il été préférable de s'appuyer à contrario sur des acteurs français, au nom de la souveraineté numérique ? Certes, les géants américains du secteur ont un savoir-faire technologique indéniable – Amazon dépense à ce titre 22 milliards de dollars par an en recherche et développement, ce qui est presque autant que le budget cumulé des entreprises du CAC 40. Mais si l'investissement – via la BPI, par exemple – peut permettre à des start-up de prendre leur envol, l'achat public pourrait être aussi un levier très efficace de la politique industrielle française, comme les Etats-Unis le pratiquent eux-mêmes depuis des années. Pour beaucoup d’acteurs hexagonaux engagés, il y a une envie débordante de démontrer que l'écosystème français est à la hauteur de ses ambitions, et beaucoup estiment pouvoir d’ores et déjà faire mieux que la Silicon Valley. C'est la peur de faire confiance aux acteurs français de l'écosystème qui motive ce type de décisions hasardeuses, jugées arbitraires et funestes pour beaucoup. Les solutions alternatives existent toujours, même si le lobbying effréné des puissants acteurs de la Tech US – par proxy interposés – parvient à faire croire le contraire. C'est un combat qui reste constamment à mener, mais avec pour nécessaire réciproque, celui du financement !

Suite à la publication de cet article, Bpifrance nous a transmis une mise au point :

"Les données des entreprises qui ont souscrit la garantie publique dans le cadre du PGE ne sont pas accessibles aux hébergeurs cloud avec lesquels Bpifrance a contracté un service d’hébergement.

Les données hébergées en cloud sont intégralement chiffrées de bout en bout. La clef de chiffrement n’est connue que de Bpifrance. Aucun hébergeur n’a accès aux données Bpifrance.

La sécurité de la plateforme PGE a été auditée par l’Agence Nationale de la Sécurité des Systèmes Informatiques (ANSSI) qui  a certifié son niveau de sécurité.

Bpifrance utilise plusieurs hébergeurs pour ses données et impose à ses fournisseurs une clause de réversibilité, qui garantit la possibilité de faire migrer les données d’un hébergeur à l’autre à tout moment, garantissant l’indépendance de son choix.

Le Cloud Act, auquel il est fait mention, révèle une argumentation inexacte de votre expert :  les autorités américaines n’ont aucun accès aux données stockées dans le cloud. Ces autorités ne peuvent contraindre des prestataires de services à fournir des données qu'en respectant les strictes dispositions juridiques d'un mandat délivré par un tribunal américain. Par ailleurs, les possibilités de recours sont nombreuses, notamment si la demande est incompatible avec le RGPD. Dans l’hypothèse où tous les recours auraient été rejetés, l’opérateur cloud fournirait des données chiffrées sans la clef, ce qui les rendraient inutilisables (comme dit plus haut, la clef de chiffrement est hébergée chez Bpifrance)."

Franck DeCloquement a tenu également à faire une mise au point : 

Contexte général :

Le sujet traité dans nos colonnes est celui de la souveraineté numérique dont la reconquête a été récemment réaffirmée par le chef de l’Etat en personne, et dont la BPI pourrait être l’un des fers de lance. Et dans ce cadre, le choix de l'attribution par la BPI à une firme américaine, la gestion du stockage des data souveraines des prêts garantis par l’État Français (PGE) interroge. Principe de précaution oblige.

Bien entendu, les propos de l’article et leur conformité ont naturellement été visés par un spécialiste du droit, et soumis au crible d’une relecture juridique et technique minutieuse, préalable à publication. Et cela, afin que ne subsiste aucune ambiguïté, inexactitudes ou biais particuliers. Point de propos péremptoires dans nos réponses donc : que des faits largement étayés, des interrogations, et du conditionnel. Nos réponses très documentées aux questions posées, l’ont été auprès des meilleurs spécialistes et des meilleures sources ouvertes disponibles. Seule une partie d’entre elles a été portée à la connaissance de nos lecteurs, au regard de la complexité du sujet, et afin de ne pas perdre notre auditoire dans des méandres techniques trop abscons.

En ligne de mire, les risques inhérents que ce choix pose en matière de souveraineté numérique, bien au-delà de l’excellence technique exprimée, de la performance énoncée, et de la conformité globale de la plateforme auditée par l’ANSSI. Un sujet dont nous n’avons toutefois pas l’initiative, puisque déjà traité dans d’autres colonnes spécialisées dès la mi-juin, par d’autres supports de presse d’information. Et notamment par GlobalSécurityMag, sous un angle particulièrement critique. Et cela, sans susciter d’émoi particulier pour l’occasion.

=> https://www.globalsecuritymag.fr/Perte-de-souverainete-BPI-France,20200629,100121.html?fbclid=IwAR2mZDRz6rhj2FX6vR-_Vh7Q9gKcULNh6gb8-cijJDAixGpABXhhyaNDyA8

Sur les trois points qui font débat :

- Point 1 : concernant ce qui nous est opposé, et qui se focalise sur des inexactitudes supposées concernant le Cloud Act (Clarifying Lawful Overseas Use of Data Act) qui a été présenté par l'administration Trump. A ce titre, tous les éléments connus qui interpellent ont dument été rappelés dans le corps du texte, recueillis aux meilleures sources : celles de la CNIL en l’occurrence.

=> « Si l’article 48 du RGPD interdit le transfert de données de pays européens vers des pays extérieurs, il convient aussi de rappeler que la loi américaine du Cloud Act autorise concomitamment le gouvernement des États-Unis à forcer les hébergeurs américains à fournir les données dans le cadre d’une enquête pénale. Idem concernant la législation spéciale sur la Sécurité Nationale. Toutefois, la CNIL rappelle sur son site :

  • les inquiétudes soulevées à plusieurs reprises par le Comité européen de la protection des données (CEPD) concernant l’accès par les autorités nord-américaines aux données transférées aux États-Unis, plus particulièrement la collecte et l'accès aux données personnelles à des fins de sécurité nationale en vertu de l'article 702 de la loi américaine FISA et du décret (« Executive Order ») 12 333 ;
  • que les dispositions du RGPD interdisent toute demande d’accès d'une juridiction ou d'une autorité administrative d'un pays tiers, adressée à des entreprises dont les traitements sont soumis au RGPD, en dehors d’un accord international applicable ou, selon l’interprétation du CEPD, de l’application d’une dérogation relative à l’intérêt vital de la personne concernée ;
  • que les porteurs de projet recourant au service de la plateforme doivent être informés de ce transfert…

Cependant, les éléments avancés dans ce qui nous est opposé sont eux-mêmes très incomplets, puisqu’ils se limitent dans leur argumentation au seul Cloud Act, au registre de ce qui interroge. Quoi qu’il en soit, ce sont ces dispositions du SCA que le CLOUD Act, par l’ajout d’une section 2713, applique désormais sans ambigüité aux données stockées à l’extérieur des Etats-Unis (« regardless of whether such communication, record or other information is located within or outside the United States »). Il suffit que les données soient sous le contrôle d’un fournisseur de service américain (« within such provider’s possession, custody or control »), pour que les autorités américaines – fédérales comme étatiques – puissent en exiger communication dans les conditions précitées. Or, ce n’est pas l’unique ou le seul point d’achoppement comme nous le signifions dans l’article :

=> « Cependant, et en Europe notamment, il n'est pas certain que le RGPD soit suffisamment protecteur, et cela même si la CNIL ou l’Etat français prétendent le contraire. »

Cette dernière phrase vise naturellement à informer nos lecteurs sur les différents dispositifs régaliens – non limitatifs et très évolutifs en l’état – en lien avec la législation sur la Sécurité Nationale des Etats-Unis, qui obligent naturellement les entreprises privées et les firmes américaines à se conformer à la communication de leurs données par l’Etat Fédéral, ou les agences de sécurité Nationale. Qu'elles soient situées aux États-Unis ou dans des pays étrangers. Cette législation spéciale dépasse très largement le cadre et les prérogatives du Cloud Act lui-même, et inclue de surcroit des dispositions secrètes.

Le Cloud Act promulgué le 23 mars 2018 demeure le résultat intermédiaire de plusieurs tentatives du Congrès de modifier le SCA (Stored Communications Act) pour permettre aux autorités d'obliger les fournisseurs de services à transmettre des données stockées sur des serveurs étrangers sous leur contrôle : les projets de « Loi sur l'accès aux données stockées à l'étranger » (LEADS Act) de 2015, et de loi sur la protection des communications internationales (ICPA) en 2017, toutes deux fortement soutenues par le sénateur républicain Orrin Hatch, visaient tous deux à modifier le SCA. C’est en outre le sens de la dernière « loi sur l'accès légal aux données chiffrées », actuellement en cours d'adoption aux Etats-Unis comme le fut en son temps, et de manière très cavalière le Cloud Act en 2018, et en catimini (cavalier législatif), via des feuillets insérés subrepticement dans les 2232 pages de la loi de finance de l’Etat Fédéral.

Ce nouveau projet de loi sur « l'accès légal aux données chiffrées » mettrait fin au chiffrement à l'épreuve des garanties dans les appareils, mais aussi les plateformes Cloud et les systèmes informatiques. Ce projet de loi a une portée considérable, et donnerait notamment au gouvernement américain la possibilité d'exiger des backdoors (portes informatiques dérobées), dans le cadre d'un large éventail d'ordonnances de surveillance, dans les affaires pénales et de sécurité Nationale, y compris l'article 215 de l’USA Patriot Act.

De surcroît, et toujours dans ce registre de la législation sur la Sécurité Nationale, en vertu d’une mise à jour en date du 15 mai 2020 : le Sénat américain a voté la ré-autorisation de l'USA Freedom Act. L’USA Freedom Reauthorization Act rétablit les pouvoirs du gouvernement qui ont expiré en mars 2020, avec la section 215 du Patriot Act. Alors que le Sénat a adopté un amendement visant à étendre la surveillance à la collecte des historiques de navigation.

Plus loin, dans le corps du texte, il est rappelé une nouvelle fois certaines de ces évidences. Et cela d’autant plus quand se pose en creux la question de la situation contractuelle autour des données sensibles à protéger, entre une entité de traitement et de stockage et ses clients, afin de pouvoir commencer à construire une réponse en profondeur (tutelle, protection des données, contrats avec annexes de sécurité, etc.)

En conclusion de cette partie :

Les Etats-Unis votent des lois qui vont dans le sens de leurs intérêts. Principe de précaution oblige et législation sur la protection du secret relative à certaines pépites ou start-up agrées (Cf : IGI 1300 – l’instruction générale interministérielle n° 1300 – dans le Titre V, les règles de protection de ces informations lorsqu’elles sont traitées dans les systèmes d’information – Traitement des informations « Spécial France », etc.), cela pose évidemment de nombreuses questions pour les entreprises européennes qui ont recours à des prestataires américains. Et les accords entre états et la jurisprudence dans les prochaines années vont naturellement générer des zones de fortes turbulences. Particulièrement en Europe, dans le contexte d’une articulation encore floue entre le RGPD, la législation sur la sécurité Nationale américaine et le Cloud Act.

- Point 2 : concernant ce qui nous est opposé, et qui se focalise sur le chiffrement des données confiées au fournisseur, et comme indiqué dans la partie précédente au risque de nous répéter : c’est en outre le sens de la dernière « loi sur l'accès légal aux données chiffrées », actuellement en cours d'adoption aux Etats-Unis comme le fut en son temps le Cloud Act promulgué le 23 mars 2018. Une simple due diligence permet d’en augurer le prochain vote et l’application. Ce nouveau projet de loi mettrait fin au chiffrement à l'épreuve des garanties dans les appareils, mais aussi les plates-formes Cloud et les systèmes informatiques. Ce projet de loi a une portée considérable, et donnerait notamment au gouvernement américain la possibilité d'exiger des backdoors (portes informatiques dérobées), dans le cadre d'un large éventail d'ordonnances de surveillance, dans les affaires pénales et de sécurité nationale, y compris l'article 215 de l’USA Patriot Act.

Notre texte rappelle cependant certaines réalités depuis mise à jour, à travers les révélations sur les programmes de surveillance globale ou ciblées, dans le cadre de l’affaire Edouard Snowden. 

=> « Les entreprises américaines sont toutes soumises à la législation sur la sécurité nationale, qui autorise leur gouvernement ainsi que leurs agences de sécurité à s’en octroyer unilatéralement l’accès. Guerre économique oblige, l’Etat américain ne s’en prive pas comme l’affaire Snowden s’en est faite massivement l’écho. » 

L'ANSSI défend le chiffrement de bout-en-bout (entre un client et un serveur), nécessaire à la protection des données, sans portes dérobées, ni de rétro-ingénierie sur ces logiciels ou de clés maîtres. La confiance du client étant un rouage critique du chiffre d’affaires. Ce serait même la seule garantie de la sécurité de ces contenus, qu'il faut encourager, « voire règlementairement l'imposer dans les situations les plus critiques ». Guillaume Poupard estimait à cet effet le 23 mars 2016 dans une lettre à Libération que la législation actuelle, qui impose par exemple de fournir les clés de chiffrement aux autorités si besoin, est proportionnée… De son côté, la NSA a fait ses choix comme l’exprimait en 2016 son ancien directeur, Mike Rogers, et la question se pose toujours sur ce point quant aux pratiques américaines véritables, depuis les révélations de l’affaire Snowden : « Mais quelles que soient les affirmations de la NSA, l’ambivalence n’est jamais loin, et il existe une marge potentiellement importante entre les prises publiques de parole et les actions menées en secret »

=> https://www.nextinpact.com/news/98217-debat-sur-chiffrement-nsa-face-a-ses-choix.htm

- Point 3 : concernant ce qui nous est opposé, et qui se focalise sur la signature d’une clause de réversibilité imposée au fournisseur, et qui garantit la possibilité de faire migrer les données d’un hébergeur à tout moment.

Il est parfaitement naturel et adéquat de garantir la possibilité de faire migrer les données d’un hébergeur vers un autre, en cas d’évolution de la situation. De surcroit dans un contexte de guerre économique et commerciale avec les Etats-Unis.

- En conclusion : Un combat perdu d'avance... ou déjà remporté ?

Il est à rappeler que pour reconquérir notre « souveraineté numérique » comme instamment souhaité par le chef de l’Etat, le choix d’un acteur français du secteur n’aurait pas été insensé, ni même une mauvaise chose. En l’état, on doit être capable de répondre à une seule question : « voilà le besoin, et l’offre GAFAM présente. Existe-t-il une offre souveraine équivalente, avec des niveaux de performances supérieurs ou égaux à l’offre américaine ? » Et de nombreuses offrent de solutions souveraines qui correspondent à la majorité des demandes existent bel et bien. Faut-il encore les solliciter.

C’est le sens du passage de notre article ci-dessous :

=> « Aurait-il été préférable de s'appuyer à contrario sur des acteurs français, au nom de la souveraineté numérique ? Certes, les géants américains du secteur ont un savoir-faire technologique indéniable – Amazon dépense à ce titre 22 milliards de dollars par an en recherche et développement, ce qui est presque autant que le budget cumulé des entreprises du CAC 40. Mais si l'investissement – via la BPI, par exemple – peut permettre à des start-up de prendre leur envol, l'achat public pourrait être aussi un levier très efficace de la politique industrielle française, comme les Etats-Unis le pratiquent eux-mêmes depuis des années. »

Pour clore sur une note d’espoir : Les solutions alternatives et souveraines existent toujours.

=> « C'est la peur de faire confiance aux acteurs français de l'écosystème qui motive ce type de décisions hasardeuses, jugées arbitraires et funestes pour beaucoup. Les solutions alternatives existent toujours »

Le sujet vous intéresse ?

Thématiques

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !