Par Maxime Pfrimmer, le 12 juillet 2023
Business2020.
Si pour beaucoup, 2020 rime avec le Covid-19, l’inflation et le « quoi qu’il en coûte », pour les experts français de la cybersécurité, elle rime avec scandale.
En cause, la BPI France et la fintech française Doctolib ont toutes deux commis la même erreur : héberger les données de leurs clients français – dont peut-être les vôtres – chez Amazon AWS.
Immédiatement, les experts de la protection des données et certains décideurs français sont montés au créneau contre Amazon Cloud.
Leur leitmotiv : héberger des données chez Amazon Cloud ne garantit pas qu’elles soient traitées selon le RGPD européen. En plus de les exposer au Cloud Act américain.
Paradoxalement, la même année, l’infrastructure cloud d’AWS était utilisée par 80 % des entreprises du CAC 40 ; par 66 % des startups du Next 40 ; et 8 licornes made in France sur 10 utilisaient ses services cloud (source).
Alors est-ce que vous pouvez faire confiance à la solution Cloud d’Amazon ? Est-ce qu’Amazon traitera les données de vos clients selon les normes européennes ? Ou alors finiront-elles sur la table d’une énième agence de renseignement/espionnage industriel états-unienne ?
Découvrez-le tout de suite.
Si vous n’êtes pas un expert de l’infrastructure informatique ou un DSI, AWS vous est peut-être inconnu.
Amazon Web Services – ou AWS pour les intimes – n’est rien d’autre que le leader dans l’industrie des services du cloud computing. Loin devant d’autres géants comme IBM cloud, Google Cloud Platform (GCP) et Oracle Cloud Infrastructure.
En appuyant le déploiement de vos applications cloud sur l’infrastructure informatique d’Amazon AWS, vous bénéficierez de :
La liste des produits AWS est longue.
Malgré cette offensive de charme qui ne laisse aucun DSI indifférent, certaines associations font la traque aux clients des datacenters d’Amazon.
Et voici pourquoi.
La réponse tient en une phrase : Amazon est une entreprise américaine, et par conséquent soumis aux lois états-uniennes.
Si l’amour du pays de Joe Biden pour l’espionnage n’est plus un secret, courant 2018, il a pris des proportions jamais atteintes.
Et ce, à cause du vote de deux lois extraterritoriales par le congrès américain visant l’informatique en nuage : le Cloud Act et le FISAA.
Connaissez-vous les lois extraterritoriales ?
Si votre réponse est non, sachez qu’il s’agit d’un type de lois qui ont la particularité de s’étendre hors de la juridiction du pays du législateur qui les promulgue.
Et dans ce domaine, les champions toutes catégories sont les USA et leurs 14 agences de renseignements.
Vous voyez le rapport avec le fait d’utiliser les infrastructures d’Amazon Cloud ou ne serait-ce que l’un de ses services de stockage ?
Pour bien le comprendre, un point sur les deux lois évoquées plus haut s’impose.
Entre les nombreux scandales de l’ère Trump, la promulgation du Cloud Act en 2018 est passée relativement inaperçue. Excepté dans la presse spécialisée dans l’informatique et chez les grandes entreprises.
Que dit le Cloud Act ?
Cette loi donne aux organismes gouvernementaux américains le droit d’accéder aux données des applications hébergées hors des USA. Et ce, qu’importe que la société — l’hébergeur tout comme l’entreprise cliente — soit américaine ou non.
Avant de crier au génocide des libertés individuelles permit par le Cloud Act, sachez que cette loi n’est pas seule.
La loi FISA est une loi datant de 1978, votée par le congrès américain afin de servir de cadre légal à la collecte d’informations via les ressources informatiques alors naissantes.
Seulement, depuis 2001, ses pouvoirs ont été étendus grâce au “PATRIOT ACT”, avant d’être modifiés en 2008 suite à la crise des subprimes.
Pourquoi nous parlons de cette loi d’une autre époque ? Parce qu’elle a encore été étendue en 2018 pour 5 ans.
D’ailleurs, voici ce que dit le site officiel du bureau d’assistance à la justice (américaine) : « [La loi FISAA] définit les procédures pour la surveillance électronique et physique et la collecte sur les renseignements étrangers ».
Vous trouvez cela dangereux ? Attendez de lire la section 702 de ladite loi.
Dès le premier paragraphe, vous êtes mis(e) dans le bain : « La section 702 est une disposition clé de la loi de 2008 modifiant la loi FISA qui permet au gouvernement de procéder à une surveillance ciblée de personnes étrangères situées en dehors des États-Unis, avec l’assistance forcée des fournisseurs de services de communication électronique, afin d’obtenir des informations sur les services de renseignement étrangers. »
Et avant que vous ne vous posiez la question : non, votre consentement n’est pas requis pour que les agences puissent collecter vos données. D’ailleurs, ni mandat ni décision de justice ne sont requis –ce qui suscite la colère des GAFAM.
D’où le surnom de « Guantánamo du numérique » que lui a donné Guillaume Tissier, DG de la firme “Forward Global”.
En lisant ces deux lois, vous avez sans doute remarqué que le respect de la législation des pays des cibles n’est pas une priorité pour le législateur américain.
Et voilà, vous venez de comprendre la principale peur des entreprises qui ne souhaitent pas utiliser le stockage cloud d’Amazon.
Vous l’avez compris, la raison pour laquelle certaines personnes vous déconseillent d’utiliser AWS n’est pas due à ses performances. Mais plutôt à la perte de souveraineté de la France sur vos données.
Et ces personnes ont à moitié raison, et à moitié tort.
En effet, le sujet de la souveraineté technologique de la France est un sujet brûlant. Aussi bien à l’Élysée que dans les cercles de réflexions français et chez les experts des systèmes d’informations.
Preuve en est cette déclaration du président Emmanuel Macron le jour de la clôture du salon VivaTech 2023:
La French Tech fait partie de notre quotidien. Elle apporte des solutions à nos défis sociétaux, crée des emplois et sert notre souveraineté technologique. Partout en France, avec ses milliers de startups, la French Tech est devenue essentielle à notre économie et notre société.
— Emmanuel Macron (@EmmanuelMacron) June 17, 2022
Heureusement pour vous, l’Europe n’a pas tardé à vous protéger, ainsi que vos données et celles de votre entreprise, de l’espionnage américain.
Imaginez un instant…
Lors d’un meeting avec votre responsable informatique, vous apprenez que les données de vos clients ont été dérobées par les USA directement auprès de votre hébergeur.
Ce serait un cauchemar, vos clients ne tardant pas à vous claquer la porte au nez et à revenir accompagnés d’une légion d’avocats.
Heureusement, grâce aux deux lois de protection des données de l’Union Européenne, cela n’a aucune chance d’arriver.
Le RGPD, ou Règlement Général sur la Protection des Données, est un ensemble de mesures qui visent à rendre impossible l’usage de données personnelles par un tiers sans son autorisation.
Le RGPD est aussi extraterritorial.
Et vous vous en doutez, ce texte de loi recèle des pépites administratives. Notamment, l’article 48 intitulé : « Transferts ou divulgations non autorisés par le droit de l’Union ».
Il dit ceci : « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, […], sans préjudice d’autres motifs de transfert en vertu du présent chapitre. »
Cela signifie 2 choses pour vous :
Et bonne nouvelle : Amazon AWS est membre du CISPE (Cloud Infrastructure Services Providers en Europe) et dispose d’un Data Center installé en France depuis 2017. Autant dire donc qu’en hébergeant vos données chez AWS France, vous êtes certain d’être sous la protection du RPGD européen.
De plus, les membres du CISPE se sont engagés à stocker leurs données entièrement dans l’Espace Économique Européen. Bien loin de l’oncle Sam et de ses agences de renseignements.
Mais, ne cédez pas à l’optimisme trop vite.
En effet, le RGPD est clair : vos données peuvent être échangées avec une puissance étrangère – les USA – si un accord international existe.
Et une ébauche d’accord existe : le Data Privacy Framework.
Bien avant l’essor des technologies cloud, l’échange de données USA-UE faisait déjà l’objet d’âpres débats.
Preuve en est le Safe Harbor, promulgué en 2000 et aboli en 2015.
Suivi du Bouclier de Protection des données UE-USA, promulgué en 2016.
Pour reprendre les mots de la Commission Nationale de l’Informatique et des Libertés (CNIL), le Privacy Shield était : «… un mécanisme d’auto-certification pour les sociétés établies aux Etats-Unis d’Amérique. ».
Il visait à améliorer le sort des données informatiques européennes sur 3 aspects :
Seulement, cet accord a vite été jugé insuffisant et a été enterré en 2020 par la Cour de Justice de l’Union Européenne par l’arrêt Schrem contre Facebook Ireland Ltd.
Depuis mars 2022, les deux puissances travaillent en commun sur un nouvel accord : le Privacy Shield 2.0 ou Data Framework Privacy.
Et lui aussi, semble mal parti.
Ici, nous n’allons pas détailler le Privacy Shield de long en large, vu qu’il a été abandonné. Ni même son successeur, dont les informations sont encore rares.
Notre objectif étant de vous faire savoir que de tels accords existent.
Réponse courte : non.
Stocker vos données chez Amazon vous offre les garanties qu’elles seront traitées selon le RGPD. Et pour cause : la firme américaine est parfaitement conforme au RGPD et stocke toutes vos données sur le sol européen.
Vous vous demandez comment l’entreprise réagirait face à une injonction de l’oncle Sam lui ordonnant de partager vos données ?
Amazon le sait, si des scandales de partage de données d’utilisateurs européens venaient entacher son image, sa croissance serait brutalement interrompue.
Hors de question pour AWS d’avoir son projet Nightingale (Google) ou son scandale Cambridge Analytica (Facebook). Alors, l’entreprise fait tout pour s’opposer au cloud Act.
Sur sa page web dédiée à la confidentialité des données, voici ce que la firme déclare :
Et pour finir, voici quelques avantages offerts par Amazon.
L’aspect légal étant parfaitement défini et sécurisé, une autre raison peut vous pousser à utiliser les services d’Amazon : les fonctionnalités de sa branche Cloud.
En voici quelques-uns :
En conclusion, est-ce que stocker vos data chez Amazon est risqué ? Non, pas du tout.
Néanmoins, si vous souhaitez savoir quel est le meilleur hébergeur pour votre logiciel ou application web, contactez l’un de nos chefs de projets.
Actualité
Perplexity AI, une licorne qui promet de rendre Google “ringard” (ce sont les mots exacts de son PDG), c’est fait prendre en plein scrapping de données. Et ce n’est pas la première fois. Qu’est-ce que Perplexity AI ? Si vous n’êtes pas un abonné de la planète tech, il y a des chances que …
Continue reading « Perplexity AI pris en flagrant délit de vol de données »
27 juin 2024
Actualité
18 ans. C’est le nombre d’années qui s’est écoulé depuis la release de numpy 1.0. Numpy est un peu le couteau de suisse des mathématiques sous Pythons. Grâce à cette bibliothèque, vous pouvez gérer simplement des matrices, des polynômes et toute une kyrielle de fonctions mathématiques. Tous ceux qui font des maths l’utilisent. Des statisticiens. …
Continue reading « NumPy 2.0 sort enfin après 18 ans, on fait le point »
26 juin 2024
Actualité
Mardi 18 juin 2024. Dans un billet de blog plutôt discret, Google a annoncé le lancement de l’application Gemini (ex Bard) en Inde. Cette version de Gemini est capable de comprendre neuf langues indiennes en plus de l’anglais : l’hindi ; le bengali ; le gujarati ; Le kannada ; Le malayalam ; le marathi …
Continue reading « Google Gemini s’invite en Inde (et s’ouvre enfin à tous) »
25 juin 2024