Cloud de confiance de Google et Thales : le député Philippe Latombe s'insurge
Le député Modem s'interroge sur le bien-fondé de l'offre annoncée pour 2024. Selon lui, les modalités techniques et juridiques du projet ne sont pas claires dans l'optique de protéger les clients contre les lois extraterritoriales.
Philippe Latombe n'en est pas à sa première sortie contre les clouds américains. Le député Modem a déjà pris position contre la pratique des crédits gratuits des fournisseurs étasuniens. "C'est la première piqûre d'héroïne. Via les crédits gratuits, c'est tellement simple d'utiliser leurs solutions propriétaires et tellement peu onéreux que les jeunes pousses ont tendance à les privilégier au risque ensuite d'être inféodées à ces acteurs", expliquait-il au JDN en février dernier (lire l'article Dans le cloud, le piège des crédits gratuits). Cette fois, Philippe Latombe s'attaque frontalement à S3NS, le projet de cloud de confiance dévoilé le 30 juin 2022 par Google et Thales.
"D'un point de vue juridique, est-on sûr qu'une entité commune Thales-Google permettra d'échapper aux lois extraterritoriales, et en particulier au Cloud Act ?
Le député a déposé ce mercredi une question sur le sujet à l'Assemblée nationale à destination du gouvernement. Objectif : obtenir une réaction de Bruno Le Maire ou de Jean-Noël Barrot. Il a également envoyé une lettre à Guillaume Poupard, directeur de l'Agence nationale de la sécurité des systèmes d'information (Anssi) ainsi qu'à Marie-Laure Denis, présidente de la Commission nationale informatique et libertés (Cnil). Un courrier, publié dans son intégralité ci-dessous, dans le quel Philippe Latombe détaille son argumentaire.
"D'un point de vue juridique, est-on sûr qu'une entité commune Thales-Google permettra d'échapper aux lois extraterritoriales, et en particulier au Cloud Act ?", se demande le député dans la lettre. "Il y a en effet le risque d'une sous-évaluation de la réalité du partage des parts sociales entre Google et Thales. Si Google a le contrôle de fait de S3NS, notamment en jouant sur le nombre de voix, celui-ci sera soumis au Cloud Act." Une réglementation qui, rappelons-le, permet aux USA d'accéder à des données hébergées par tout acteur américain, quelle que soit leur localisation, sur simple demande des autorités fédérales de contrôle.
Google sera présent au capital de la nouvelle société à hauteur de 24%. "C'est le niveau maximum défini par la qualification SecNumCloud de l'Anssi dans sa dernière version publiée en mars 2022", constate Alexandra Iteanu, avocate au barreau de Paris spécialiste en droits numériques et données personnelles. Un label que S3NS devra décrocher en vue d'être qualifié par l'Anssi comme un cloud de confiance. "Cette qualification implique par ailleurs des data centers établis en Europe ainsi qu'une société (en charge de l'offre cloud, ndlr) de droit européen", ajoute Alexandra Iteanu. Des conditions que S3NS a pour vocation de remplir.
Une structure jugée peu claire
Autre question mise sur la table par Philippe Latombe : la capacité réelle de Thales d'accéder au code source de la plateforme de Google. "Si Google est propriétaire du code source et n'y donne pas accès, n'a-t-il pas de facto la maitrise des données transitant par sa technologie. Ce qui, d'après le Cloud Act, rend ces données dépendantes de cette législation. La Cnil doit répondre à cette interrogation", martèle Philippe Latombe. Dans ce scénario, le Cloud Act entrerait en contradiction avec le référentiel SecNumCloud qui spécifie, noir sur blanc, que le cloud provider ne doit pas avoir "la compétence pratique d'obtenir les données opérées au travers du service". Enfin, Philippe Latombe s'interroge sur la protection contre les backdoors qui pourraient permettre aux services fédéraux de bénéficier d'"un accès détourné aux informations hébergées".
Le député Modem demande à l'Anssi et à la Cnil d'effectuer une analyse approfondie de la capacité juridique et technique de S3NS à protéger ses clients contre le Cloud Act.
A-t-on le choix ?
Pour Alexandra Iteanu, Google et Thales ont évidemment tout intérêt à répondre en toute transparence à ces questions. "Les fournisseurs de cloud américains captent plus de 70% du marché", rappelle l'avocate. "Le point clé est de savoir si nous souhaitons continuer à confier sans rien faire nos données à des entreprises hors de portée de notre système judiciaire, ou bien si la bonne alternative n'est pas de signer des partenariats avec eux en vue de les responsabiliser et les contrôler juridiquement, et in fine parvenir à un cloud qui sera conforme à nos valeurs et à nos droits."