Philippe Gosselin
Question N° 13114 au Ministère du ministère de l’économie
Question soumise le 21 novembre 2023
M. Philippe Gosselin appelle l'attention de M. le ministre délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargé du numérique, sur le lancement de l'AWS European Sovereign Cloud d'Amazon Web Services (AWS). Ce nouveau service d'informatique en nuage se prétend souverain et conçu pour aider les clients du secteur public et ceux des industries hautement réglementées à répondre aux exigences réglementaires les plus strictes en matière de résidence des données et d'exploitation. Situé et exploité en Europe, l'AWS European Sovereign Cloud sera physiquement et logiquement séparé des régions AWS existantes, avec la même sécurité, la même disponibilité et les mêmes performances que dans les régions AWS existantes, offrant ainsi aux clients un choix supplémentaire pour répondre à leurs besoins en matière de résidence des données, d'autonomie opérationnelle et de résilience. À l'Office fédéral allemand de la sécurité de l'information (BSI), la présidente est enthousiaste : « Le développement d'un nuage AWS européen facilitera grandement l'utilisation des services AWS par de nombreuses organisations du secteur public et des entreprises ayant des exigences élevées en matière de sécurité et de protection des données. Nous sommes conscients du pouvoir d'innovation des services Cloud modernes et nous voulons contribuer à les rendre disponibles en toute sécurité pour l'Allemagne et l'Europe ». Sur son site, Amazon s'étend aussi sur les bienfaits apportés aux Européens en matière de sécurité et de souveraineté, oubliant elle aussi un détail d'importance : ce nouveau Cloud reste sous le coup des lois extraterritoriales américaines (notamment Cloud Act et Foreign intelligence surveillance Act - FISA), ce qui limite considérablement ses prétentions à la souveraineté. Par ailleurs, à travers les propos de la présidente du BSI, l'Allemagne semble vouloir prendre sans concertation le lead, pour imposer cette solution cloud au reste de l'Europe, donc singulièrement à la France et ce en opposition frontale à SecNumCloud. Il souhaite connaître sa position sur cette nouvelle offre américaine et sur le problème posé par sa validation par le BSI, homologue de l'Agence nationale de la sécurité des systèmes d’information (ANSSI), tous deux étant censés co-valider ce type de décision.
Réponse émise le 16 avril 2024
Le Gouvernement suit avec la plus grande attention le développement du marché du cloud dans le cadre de la stratégie nationale cloud lancée en 2021 et nous avons, à ce titre, pris acte de l'annonce d'AWS concernant le lancement futur d'une offre dite « European Sovereign Cloud ». La stratégie de cloud de confiance du Gouvernement repose sur la qualification SecNumCloud délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui garantit un niveau de protection élevé des services qualifiés contre les accès non-autorisés aux données qu'ils hébergent et traitent, notamment via des lois extraterritoriales. Toute offre d'informatique en nuage présentée par AWS ou par un autre prestataire devra ainsi, en France, être évaluée en conformité avec les critères relevant de la qualification SecNumCloud 3.2 pour pouvoir être qualifiée comme telle, y compris en ce qui concerne son niveau de protection vis-à-vis du droit extra-européen. Les propos de la présidente du BSI (Office fédéral de la sécurité des technologies de l'information et homologue allemand de l'ANSSI) n'engagent pas la France ou l'Union européenne. Le schéma de certification allemand repose, en effet, sur un système d'évaluation différent et indépendant du schéma français. La certification allemande repose sur le catalogue des contrôles de conformité de cloud computing dénommé C5 qui n'a pas été reconnu comme équivalent au référentiel SecNumCloud. La France continue en tout état de cause à soutenir l'ambition d'assurer le développement d'un marché diversifié et concurrentiel du cloud de confiance, en mesure de répondre aux besoins d'innovation et de sécurité de nos administrations et de nos entreprises. C'est également la position que nous défendons de manière cohérente et sans faillir dans le cadre des négociations au niveau européen, et l'engagement collectif que nous avons pris publiquement avec l'Allemagne et l'Italie le 30 octobre 2023 à Rome en faveur de l'adoption d'un système de certification de cybersécurité des services cloud (EUCS) qui soit fiable, complet, robuste et transparent, et qui garantisse une protection efficace des données sensibles en Europe, y compris, en ce qui concerne les données les plus sensibles, contre les législations extraterritoriales.
Aucun commentaire n'a encore été formulé sur cette question.