Philippe Latombe, un député Modem de Vendée, a saisi la Cnil et l’Anssi le 4 juillet au sujet de S3ns, la coentreprise de Google et Thales qui lance mi-2022 un « Cloud souverain français », de même que son concurrent Bleu. Il demande à ces agences de l’État d’étudier si son montage et les offres Cloud de Google respectent bien les législations françaises et européennes, dont le RGPD, ainsi que les récentes lois DSA et DMA.
Le lancement officiel et fastueux le 30 juin 2022 à Paris de S3ns, société française qui porte le « cloud à la française » créé par l’opérateur Cloud américain Google Cloud et l’intégrateur Thales, a créé bien des remous politiques en France. 5 jours après l’annonce officielle, Philippe Latombe envoyait le 4 juillet 2022 deux lettres aux instances françaises de régulation du Numérique pour leur demander d’enquêter sur S3ns.
La Cnil et l’Anssi sont saisies sur S3ns
La première (en photo) s’adresse à Marie-Laure Denis, la présidente de la Commission nationale informatique et libertés (Cnil). La seconde à Guillaume Poupard, le directeur de l’Agence nationale de la sécurité des systèmes d’information (Anssi), sur le départ. Aucune des deux organisations n’a commenté officiellement son courrier pour l’instant. Philippe Latombe a également déposé une question (n°27-00047) au Gouvernement afin d’inciter Jean-Noël Barrot, le nouveau ministre du numérique, lui aussi membre du Modem, à réagir.
Catherine Morin-Desailly, sénatrice UC au Sénat pour la Seine-Maritime, fait partie des premiers élus à avoir apporté son soutien à Philippe Latombe. Elle déclare sur Twitter avoir déjà « alerté le gouvernement à 2 reprises lors de questions au Gouvernement au Sénat sur cette stratégie du cloud, dit de confiance, je partage les exigences de mon collègue Philippe Latombe qui a saisi la Cnil et l’Anssi sur le projet Google -Thales S3ns ».
Tromper la confiance des clients avec le label « cloud de confiance »
Le député Modem de Vendée demande officiellement à la Cnil et à l’Anssi de regarder sérieusement le montage de S3ns, société créée par Thales et dont Google Cloud est actionnaire minoritaire en théorie, et notamment sa structure juridique, ainsi que sa capacité à protéger réellement les données de ses clients avant mi-2024, date théorique du lancement d’offres Cloud qui seraient certifiées par l’Anssi.
Il reproche d’ailleurs à S3ns de vouloir induire les clients en erreur en leur faisant croire que les offres Cloud « transitoires » de Google disposent déjà des certificats Anssi nécessaires pour se dire « souveraines ». Philippe Latombe dénonce dans ses courriers la politique marketing abusive de S3ns : « Le site Internet officiel de l’offre S3NS présente celle-ci comme “Le Cloud de confiance. Pour la France”. L’utilisation faite ici de l’expression “Le Cloud de confiance” pose le risque d’induire les acheteurs en erreur sur le caractère exclusif de cette offre eu égard au “label Cloud de confiance” annoncé par le gouvernement dans le cadre de sa stratégie nationale pour le Cloud, annoncée le 17 mai 2021 ».
« De la publicité au moins abusive » selon OVHCloud
De nombreuses entreprises françaises du Numérique dénoncent aussi, à l’instar de Philippe Latombe, la stratégie marketing de S3ns, que certains estiment mensongère, car elle est basée sur l’obtention obligatoire du label « cloud de confiance » délivré par l’Anssi. Or, ni S3ns, ni Bleu, sa rivale américaine pilotée par Microsoft, n’obtiendront la nouvelle certification SecNumCloud de l’Anssi avant 2024, a priori. Et pourtant, elles démarrent leurs activités commerciales dès l’été 2022 sur la base d’offres Cloud non certifiées, qu’elles qualifient elles-mêmes de « transitoires ».
Selon Michel Paulin, le directeur général d’OVHCloud : « Tout ceci reste surtout de grands effets d’annonces marketing d’offres qui n’existent pas et n’existeront pas avant au mieux deux ans. Annonces qui présagent de certifications sans aucun fondement, ce qui s’apparente à de la publicité au moins abusive. Il est regrettable que des acteurs français dépendants si fortement de l’état français participent à ces mascarades de pseudo souveraineté ».
Une vraie levée de boucliers des opérateurs français du Cloud
Le lancement marketing de S3ns, société dont la sécurité des offres cloud « souveraines » de Google ne sera pas validée par la norme Anssi avant mi-2024, est la goutte d’eau qui a fait déborder le vase de la contestation en France. Cette nouvelle levée de boucliers des opérateurs et éditeurs français du Cloud, contre l’omniprésence des Gamma américains (Google, Amazon, Microsoft, Meta et Apple) dans le Cloud en Europe, a démarré en fanfare la veille du lancement officiel de S3ns le 30 juin 2022.
Trois de ses chefs de file, Quentin Adam, le PDG de Clever Cloud, Yann Lechelle, le PDG de Scaleway, et Michel Paulin, le directeur général d’OVHCloud, ont publié le 29 juin sur le journal Les Echos une tribune commune où ils rappellent que la France compte aussi des champions à défendre et à promouvoir dans l’industrie du cloud. Au même titre que Thales, un champion lui de l’industrie française de l’Armement, dont l’État est actionnaire… Thomas Whaller, le PDG de l’éditeur français Whaller, a choisi d’en plaisanter : « Pour les entreprises françaises du cloud, les partenariats avec les géants américains ne font pas « S3NS ».
Michel Paulin s’indigne sur les réseaux sociaux de cette volonté de duper le client : « Ces accords n’ont de souveraineté que de nom il y a peu de souveraineté technologie car tout est contrôlé et développé par des acteurs soumis aux lois extraterritoriales, la valeur technologie et la valeur ajoutée européenne est marginale et infime. La souveraineté de données peut aussi être un vrai motif d’interrogation. Ces montages juridiques de passe passe sont-ils de vraies garanties de protection juridique. On peut en douter et beaucoup déjà en doutent. ( en tout ce qui est sûr c’est que ces solutions ne protégeront en rien du Fisa). »
Les avocats étudient la question en profondeur
Nous avons interrogé des avocats spécialisés en droit numérique sur cette polémique relative à la « Souveraineté » des données et des offres cloud en France. Tous nous ont déclarés ne pas posséder assez d’éléments en l’état pour donner immédiatement une réponse juridique qualifiée à 100 %.
Toutefois, selon Alain Bensoussan, un avocat expert en droit de la cybersécurité, “un cloud français digne de confiance et conforme au RGPD doit reposer sur une infrastructure située en France, hébergeant des données cryptées par une société française via un algorithme de cryptographie organisant sa confidentialité, déposé auprès de l’Agence nationale de la sécurité des systèmes d’informations (Anssi)“. En tout état de cause, “la clé de cryptage de cet algorithme doit être placée sous la maîtrise d’un opérateur soumis à l’ordre public français”, ce qui permet “la mise en œuvre le cas échéant de la loi dite « de blocage » du 26 juillet 1968, qui permet d’éviter que des puissances étrangères ne viennent connaître d’informations sensibles attentant aux intérêts de la Nation, y compris ses intérêts économiques essentiels”.
Des données hébergées en colocation dans des datacentres de tiers américains
Cela dit, si les deux structures franco-américaines de « Cloud Souverain » hébergent bien les données de leurs clients en (Île-de-)France désormais, c’est en mode colocatif dans des datacentres externes, dont ceux du champion mondial du secteur, l’américain Equinix.
Comme le relève Philippe Latombe dans son courrier : « Sur la page des offres de S3ns, il est ainsi écrit que les données seront hébergées “en France dans les datacenters Google” concernant l’offre transitoire, puis “dans les datacenters S3NS” concernant l’offre Cloud de Confiance. Or, à ce jour, Google ne dispose pas de ses propres datacenters en France, mais loue des espaces dans des datacenters de tiers américains, ce qui pose la question de la réelle transparence de Google quant à l’architecture technique projetée ».
« Et le trio Orange/Capgemini/Microsoft Monsieur le député ? »
« Et le trio Orange/Capgemini/Microsoft Monsieur le député ? vous n’attaquez pas ? deux poids deux mesures ? » s’interrogent de nombreuses personnes sur les réseaux sociaux. La situation de ces deux acteurs est un peu différente.
Tout d’abord, rappelons que Microsoft a fait profil bas en Europe ces derniers mois et que son président, Brad Smith, a tenté d’ouvrir en juin le débat en déclarant son intention d’offrir une concurrence « plus saine » aux acteurs européens du Cloud. Il a aussi eu l’intelligence de se limiter à la fourniture de ses plateformes Cloud pour Bleu, société française dont il dit ne pas être actionnaire, aux côtés de ses partenaires Orange et Capgemini.
Contrairement à Google Cloud, qui annonce qu’il sera lui actionnaire, même minoritaire, de S3ns, société française qu’il a cocréée avec Thales. Pas dans l’immédiat semble-t-il, comme l’indique Philippe Latombe : « alors qu’il a été annoncé que S3NS serait une entreprise commune entre Thales et Google, la société créée est toujours à ce jour une SASU dont Thales est l’unique associé. S’agit-il d’un délai administratif, ou existe-t-il un montage juridique qui permettrait à cette SASU (de 10 K€ de capital) de faire remonter les fonds vers une autre entité commune cachée aux yeux du public ? La question mérite d’être posée ».
Quid du Health Data Hub (HDH) français ?
Enfin, ces mêmes Internautes s’interrogent aussi sur la volonté de l’État français à donner, ou pas, davantage de « souveraineté » au Health Data Hub (HDH) français, comme Cédric O, l’ex-Secrétaire d’État au Numérique, s’y était engagé avant de quitter son ministère ce printemps. En effet, si le Conseil d’État a bien autorisé fin 2020 Microsoft à héberger le Health Data Hub sur son Cloud, une polémique était née sur le choix du Cloud d’un Gamma américain (Google, Amazon, Microsoft, Meta et Apple) et sa décision d’héberger au démarrage les données de santé des Français en partie sur des datacentres européens, donc hors de France.