RGPD VS Cloud Act : héberger vos données chez AWS France est une bonne idée ?

2020.

Si pour beaucoup, 2020 rime avec le Covid-19, l’inflation et le « quoi qu’il en coûte », pour les experts français de la cybersécurité, elle rime avec scandale.

En cause, la BPI France et la fintech française Doctolib ont toutes deux commis la même erreur : héberger les données de leurs clients français – dont peut-être les vôtres – chez Amazon AWS.

Immédiatement, les experts de la protection des données et certains décideurs français sont montés au créneau contre Amazon Cloud.

Leur leitmotiv : héberger des données chez Amazon Cloud ne garantit pas qu’elles soient traitées selon le RGPD européen. En plus de les exposer au Cloud Act américain.

Paradoxalement, la même année, l’infrastructure cloud d’AWS était utilisée par 80 % des entreprises du CAC 40 ; par 66 % des startups du Next 40 ; et 8 licornes made in France sur 10 utilisaient ses services cloud (source).

Alors est-ce que vous pouvez faire confiance à la solution Cloud d’Amazon ? Est-ce qu’Amazon traitera les données de vos clients selon les normes européennes ? Ou alors finiront-elles sur la table d’une énième agence de renseignement/espionnage industriel états-unienne ?

Découvrez-le tout de suite.

Qu’est-ce que AWS ?

Si vous n’êtes pas un expert de l’infrastructure informatique ou un DSI, AWS vous est peut-être inconnu.

Amazon Web Services – ou AWS pour les intimes – n’est rien d’autre que le leader dans l’industrie des services du cloud computing. Loin devant d’autres géants comme IBM cloud, Google Cloud Platform (GCP) et Oracle Cloud Infrastructure.

En appuyant le déploiement de vos applications cloud sur l’infrastructure informatique d’Amazon AWS, vous bénéficierez de :

• de machines virtuelles aptes aux calculs hautes performances, un must si votre entreprise est dans le secteur de la finance ou du marketing ;
• des analyses en temps réel de vos données, grâce à des algorithmes de machine Learning ;
• un espace de stockage extensible à l’infini, répondant à vos besoins en termes d’agilité et de flexibilité, et bien d’autres.

La liste des produits AWS est longue.

Malgré cette offensive de charme qui ne laisse aucun DSI indifférent, certaines associations font la traque aux clients des datacenters d’Amazon.

Et voici pourquoi.

Pourquoi AWS est parfois critiqué en France ?

La réponse tient en une phrase : Amazon est une entreprise américaine, et par conséquent soumis aux lois états-uniennes.

Si l’amour du pays de Joe Biden pour l’espionnage n’est plus un secret, courant 2018, il a pris des proportions jamais atteintes.

Et ce, à cause du vote de deux lois extraterritoriales par le congrès américain visant l’informatique en nuage : le Cloud Act et le FISAA.

Les lois extraterritoriales des USA : une arme de surveillance

Connaissez-vous les lois extraterritoriales ?

Si votre réponse est non, sachez qu’il s’agit d’un type de lois qui ont la particularité de s’étendre hors de la juridiction du pays du législateur qui les promulgue.

Et dans ce domaine, les champions toutes catégories sont les USA et leurs 14 agences de renseignements.

Vous voyez le rapport avec le fait d’utiliser les infrastructures d’Amazon Cloud ou ne serait-ce que l’un de ses services de stockage ?

Pour bien le comprendre, un point sur les deux lois évoquées plus haut s’impose.

Le Clarifying Lawful Overseas Use of Data Act, ou Cloud Act

Entre les nombreux scandales de l’ère Trump, la promulgation du Cloud Act en 2018 est passée relativement inaperçue. Excepté dans la presse spécialisée dans l’informatique et chez les grandes entreprises.

Que dit le Cloud Act ?

Cette loi donne aux organismes gouvernementaux américains le droit d’accéder aux données des applications hébergées hors des USA. Et ce, qu’importe que la société — l’hébergeur tout comme l’entreprise cliente — soit américaine ou non.

Avant de crier au génocide des libertés individuelles permit par le Cloud Act, sachez que cette loi n’est pas seule.

Le Foreign Intelligence Surveillance Act (FISA)

La loi FISA est une loi datant de 1978, votée par le congrès américain afin de servir de cadre légal à la collecte d’informations via les ressources informatiques alors naissantes.

Seulement, depuis 2001, ses pouvoirs ont été étendus grâce au “PATRIOT ACT”, avant d’être modifiés en 2008 suite à la crise des subprimes.

Pourquoi nous parlons de cette loi d’une autre époque ? Parce qu’elle a encore été étendue en 2018 pour 5 ans.

D’ailleurs, voici ce que dit le site officiel du bureau d’assistance à la justice (américaine) : « [La loi FISAA] définit les procédures pour la surveillance électronique et physique et la collecte sur les renseignements étrangers ».

Vous trouvez cela dangereux ? Attendez de lire la section 702 de ladite loi.

Dès le premier paragraphe, vous êtes mis(e) dans le bain :  « La section 702 est une disposition clé de la loi de 2008 modifiant la loi FISA qui permet au gouvernement de procéder à une surveillance ciblée de personnes étrangères situées en dehors des États-Unis, avec l’assistance forcée des fournisseurs de services de communication électronique, afin d’obtenir des informations sur les services de renseignement étrangers. »

Et avant que vous ne vous posiez la question : non, votre consentement n’est pas requis pour que les agences puissent collecter vos données. D’ailleurs, ni mandat ni décision de justice ne sont requis –ce qui suscite la colère des GAFAM.

D’où le surnom de « Guantánamo du numérique » que lui a donné Guillaume Tissier, DG de la firme “Forward Global”.

En lisant ces deux lois, vous avez sans doute remarqué que le respect de la législation des pays des cibles n’est pas une priorité pour le législateur américain.

Et voilà, vous venez de comprendre la principale peur des entreprises qui ne souhaitent pas utiliser le stockage cloud d’Amazon.

La souveraineté numérique française, ou pourquoi héberger ses données chez AWS inquiète

Vous l’avez compris, la raison pour laquelle certaines personnes vous déconseillent d’utiliser AWS n’est pas due à ses performances. Mais plutôt à la perte de souveraineté de la France sur vos données.

Et ces personnes ont à moitié raison, et à moitié tort.

En effet, le sujet de la souveraineté technologique de la France est un sujet brûlant. Aussi bien à l’Élysée que dans les cercles de réflexions français et chez les experts des systèmes d’informations.

Preuve en est cette déclaration du président Emmanuel Macron le jour de la clôture du salon VivaTech 2023:

La French Tech fait partie de notre quotidien. Elle apporte des solutions à nos défis sociétaux, crée des emplois et sert notre souveraineté technologique. Partout en France, avec ses milliers de startups, la French Tech est devenue essentielle à notre économie et notre société.

— Emmanuel Macron (@EmmanuelMacron) June 17, 2022

Heureusement pour vous, l’Europe n’a pas tardé à vous protéger, ainsi que vos données et celles de votre entreprise, de l’espionnage américain.

Le RGPD et le Data Privacy Framework (Ex Privacy Shield) : les ripostes européennes

Imaginez un instant…

Lors d’un meeting avec votre responsable informatique, vous apprenez que les données de vos clients ont été dérobées par les USA directement auprès de votre hébergeur.

Ce serait un cauchemar, vos clients ne tardant pas à vous claquer la porte au nez et à revenir accompagnés d’une légion d’avocats.

Heureusement, grâce aux deux lois de protection des données de l’Union Européenne, cela n’a aucune chance d’arriver.

Le RGPD

Le RGPD, ou Règlement Général sur la Protection des Données, est un ensemble de mesures qui visent à rendre impossible l’usage de données personnelles par un tiers sans son autorisation.

Le RGPD est aussi extraterritorial.

Et vous vous en doutez, ce texte de loi recèle des pépites administratives. Notamment,  l’article 48 intitulé : « Transferts ou divulgations non autorisés par le droit de l’Union ».

Il dit ceci : « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, […], sans préjudice d’autres motifs de transfert en vertu du présent chapitre. »

Cela signifie 2 choses pour vous :

• les données de votre entreprise ainsi que celles de vos clients européens et/ou stockées en Europe ne seront pas partagées sans votre accord tacite ;
• même si vous faites appel à un sous-traitant, vos données sont toujours protégées.

Et bonne nouvelle : Amazon AWS est membre du CISPE (Cloud Infrastructure Services Providers en Europe) et dispose d’un Data Center installé en France depuis 2017. Autant dire donc qu’en hébergeant vos données chez AWS France, vous êtes certain d’être sous la protection du RPGD européen.

De plus, les membres du CISPE se sont engagés à stocker leurs données entièrement dans l’Espace Économique Européen. Bien loin de l’oncle Sam et de ses agences de renseignements.

Mais, ne cédez pas à l’optimisme trop vite.

En effet, le RGPD est clair : vos données peuvent être échangées avec une puissance étrangère – les USA – si un accord international existe.

Et une ébauche d’accord existe : le Data Privacy Framework.

Le Data Privacy Framework

Bien avant l’essor des technologies cloud, l’échange de données USA-UE faisait déjà l’objet d’âpres débats.

Preuve en est le Safe Harbor, promulgué en 2000 et aboli en 2015.

Suivi du Bouclier de Protection des données UE-USA, promulgué en 2016.

Pour reprendre les mots de la Commission Nationale de l’Informatique et des Libertés (CNIL), le Privacy Shield était : «… un mécanisme d’auto-certification pour les sociétés établies aux Etats-Unis d’Amérique. ».

Il visait à améliorer le sort des données informatiques européennes sur 3 aspects :

• l’option pour un plaignant (européen) de faire supprimer ses données ;
• la collecte de quantités importantes de données ;
• une délimitation des pouvoirs et de l’indépendance du médiateur.

Seulement, cet accord a vite été jugé insuffisant et a été enterré en 2020 par la Cour de Justice de l’Union Européenne par l’arrêt Schrem contre Facebook Ireland Ltd.

Depuis mars 2022, les deux puissances travaillent en commun sur un nouvel accord : le Privacy Shield 2.0 ou Data Framework Privacy.

 

Et lui aussi, semble mal parti.

Ici, nous n’allons pas détailler le Privacy Shield de long en large, vu qu’il a été abandonné. Ni même son successeur, dont les informations sont encore rares.

Notre objectif étant de vous faire savoir que de tels accords existent.

Au final, est-ce qu’héberger vos données chez AWS France est une mauvaise idée ?

Réponse courte : non.

Stocker vos données chez Amazon vous offre les garanties qu’elles seront traitées selon le RGPD. Et pour cause : la firme américaine est parfaitement conforme au RGPD et stocke toutes vos données sur le sol européen.

Vous vous demandez comment l’entreprise réagirait face à une injonction de l’oncle Sam lui ordonnant de partager vos données ?

Comment Amazon compte protéger vos données des lois américaines

Amazon le sait, si des scandales de partage de données d’utilisateurs européens venaient entacher son image, sa croissance serait brutalement interrompue.

Hors de question pour AWS d’avoir son projet Nightingale (Google) ou son scandale Cambridge Analytica (Facebook). Alors, l’entreprise fait tout pour s’opposer au cloud Act.

Sur sa page web dédiée à la confidentialité des données, voici ce que la firme déclare :

• elle ne divulguera pas vos données, y compris aux organismes gouvernementaux américains ;
• en cas d’injonction d’une agence fédérale, elle redirigera la source vers vous, afin que vous puissiez donner votre accord tacite ou pas ;
• Si elle est obligée à partager vos données, elle vous donnera un préavis raisonnable pour que vous puissiez obtenir une ordonnance préventive ;
• elle délivrera uniquement le minimum d’informations si toutes les possibilités de recours sont épuisées ;
• et enfin, elle contestera toute demande non-conforme au RPGD.

Et pour finir, voici quelques avantages offerts par Amazon.

L’aspect légal étant parfaitement défini et sécurisé, une autre raison peut vous pousser à utiliser les services d’Amazon : les fonctionnalités de sa branche Cloud.

Les avantages du Cloud computing d’AWS France

En voici quelques-uns :

• AWS Activate, qui offre aux PME et aux Start-up 100 000$ de crédit à utiliser dans les services Amazon ;
• un chiffrement sur une clé longue de 256 bits grâce à la norme AES 256 qui rend impossible le déchiffrement de vos données par une attaque de force brute ;
• des tarifs flexibles, qui ne vous font payer que ce que vous utilisez réellement ;
• une puissance de calcul extensible au besoin.

En conclusion, est-ce que stocker vos data chez Amazon est risqué ? Non, pas du tout.

Néanmoins, si vous souhaitez savoir quel est le meilleur hébergeur pour votre logiciel ou application web, contactez l’un de nos chefs de projets.