Bpifrance met les données des PME dans le cloud d’Amazon



Ça fait désordre : Bpifrance, la banque publique d’investissement, notamment chargée de gérer les prêts aux entreprises étouffées par le Covid-19, a fait appel à Amazon pour gérer et entreposer ses données. Elle souhaite également s’associer au géant américain pour le projet d’Accélérateur numérique, un service de formation en ligne dédié à toutes les PME et TPE françaises. Nathalie Goulet, sénatrice centriste de l’Orne, a aussitôt demandé à l’Institut de la souveraineté numérique de voir si une telle délégation à un géant américain était compatible avec l’exigence de souveraineté prônée par l’Etat.

Usage défaillant voire dangereux

Le verdict est tombé sans attendre. Bernard Benhamou, secrétaire général de l’Institut de la souveraineté numérique, n’a guère pris de gants pour dénoncer « l’usage défaillant voire dangereux » qu’Amazon pourrait faire de ces données. Il souligne un dangereux précédent, celui qui a abouti à confier à Microsoft les données de 67 millions de Français. « Nous avons eu exactement le même type de comportement et de justification lors de la mise en place du health data hub, explique Bernard Benhamou lors d’une visioconférence, on nous a rassurés au départ en affirmant que les données étaient chiffrées et non accessibles. » 

Mais la Cnil a exprimé des réserves sur le fait de confier à

une société comme Microsoft qui répond au droit américain et a l’obligation de transmettre ses données aux autorités américaines, autrement dit à une puissance étrangère. Pour Bernard Benhamou, Bpifrance reproduit le même schéma. « Ces questions de sécurité ne sont pas contournables, rappelle-t-il, le comportement d’Amazon peut poser problème. » Un problème d’autant plus crucial que la BPI gère les PGE (les prêts garantis par l’Etat) auprès des TPE et PME. « C’est notre principal concurrent qui nous abrite », résume Francis Palombi, président de la Confédération des commerçants de France.

Lire aussitribune – que peut-on attendre de Biden dans la lutte contre l’hégémonie des GAFA?

Pas d’acteurs européens

Les autorités de santé et Bpifrance ont mis en avant l’impossibilité de trouver des acteurs européens capables de rendre les mêmes services. « Existe-t-il des entreprises capables de gérer 630.000 dossiers ?, s’insurge Bernard Benhamou. Il serait dramatique que cela n’existe pas. Il y a des systèmes bien plus complexes et plus importants, par exemple dans le cas de l’impôt en ligne. Donc, oui, il y a des acteurs capables de le faire. Le seul argument c’est l’immédiateté. »

« Cette histoire, c’est le marronnier de l’hiver, rétorque Nicolas Dufourcq, directeur général de Bpifrance, Amazon n’a accès à aucune donnée de nos données. Nous utilisons AWS comme 84% des entreprises du FBF120. Nous détenons les clés de sécurité. »

Le chiffrement n’est pas une garantie suffisante

L’argument ne convainc pas Bernard Benhamou : « Cela ne signifie pas que l’hébergeur ne les possède pas, ne serait-ce que pour des raisons de maintenance. Il serait donc étrange qu’Amazon n’ait accès à aucune donnée. » Les données sont en principe sécurisées. Elles sont chiffrées ce qui interdit théoriquement leur utilisation par un tiers. Le chiffrement des données pourrait effectivement apporter une sécurité suffisante. Encore faudrait-il que le chiffrement lui-même soit une technologie européenne. Mais souvent les géants du cloud rédigent une partie du cahier des charges de leurs clients et les incitent à utiliser des algorithmes de chiffrement éprouvés. Et rarement européens.

L’Union européenne elle-même est souvent en porte-à-faux sur ces questions. Elle vient, par exemple, d’annoncer investir 7 millions d’euros pour le déploiement d’un superordinateur au Portugal. Européen ? Non. Fujitsu. Comble de l’ironie, la visioconférence organisée depuis le Sénat par Nathalie Goulet se passait sur Zoom. N’y avait-il vraiment aucune alternative européenne ?



challenges

A lire aussi

Laisser un commentaire