[Mise à jour du 27 décembre à 16h16] Amazon Web Services nous a contacté avec la réponse suivante : « La base de cet article est complètement fausse. AWS est ravi de travailler avec EDF et nous n’avons pas refusé de signer un contrat avec l’entreprise. AWS est souverain par conception et tous nos clients ont toujours eu un contrôle total sur l’endroit où ils localisent leurs données et qui peut y accéder. ».
Nous avons demandé confirmation d’un point. Dans l’article du Canard, un haut fonctionnaire déclare : « Amazon refuse tout simplement d’écrire noir sur blanc qu’il ne fournira pas les données de ses clients français aux services de renseignement américains ou au ministère de la Justice ».
Notre question était donc : « Amazon Web Service est-il en mesure de certifier que les services de renseignement américains et/ou le ministère de la Justice ne peuvent en aucun cas demander eux-mêmes l’accès aux données (Cloud Act, FISA 702) ? « . La société américaine n’a pas encore répondu.
[Article original du 26 décembre à 11h06] En février, Le Canard enchainé révélait qu’EDF avait décidé d’utiliser Amazon Web Services pour gérer une partie des données de ses centrales nucléaires. Il s’agissait de ” « maintenance prédictive » des pièces détachées des centrales électriques », selon nos confrères.
EDF sélectionne plusieurs partenaires informatiques, dont AWS
L’entreprise a immédiatement confirmé : « Pour accompagner l’exploitation du parc nucléaire sur le long terme, EDF a décidé de moderniser une partie de son système dit d’information de gestion. Dans le cadre de ces travaux, plusieurs partenaires informatiques (informatique et technologies), dont AWS [Amazon Web Services, ndlr]ont été sélectionnés pour compléter l’offre de centres de stockage de données et les compétences internes », comme le rapportait Le Figaro en début d’année.
Une source proche du dossier a tempéré les inquiétudes autour des données : c’est « gérer un catalogue de pièces détachées, pompes, etc. pour centrales électriques », expliquent nos confrères. Mais la question de la souveraineté se pose toujours, d’autant que de nombreux acteurs français et européens existent. Pourquoi alors préférer Amazon ?
Les données confidentielles « ne seront pas sur le cloud »
Luc Rémont, PDG d’EDF, a apporté sa réponse et a souhaité tempérer le débat, comme le rapporte l’Usine nouvelle : « Nous n’avons pas confié toutes nos données à Amazon. Nous faisons un test avec Amazon sur un certain nombre d’applications comme le ferait n’importe quelle entreprise. Nos données confidentielles sur les centrales nucléaires ne seront pas sur le cloud. Ils restent dans des bases protégées et ne sont évidemment pas partagés ».
Lorsqu’on lui demande pourquoi Amazon et non un acteur européen, le patron a une réponse toute prête : « Nous avons déployé un test avec Amazon, grand expert du cloud mais aussi de la logistique pour nous aider à optimiser la gestion de nos pièces détachées. ».
Amazon refuse finalement le contrat
Patatras, le super contrat de 860 millions d’euros échoue », Amazon refuse d’héberger les données sensibles d’EDF en France », headlines Le Canard enchainé. “ Derrière cette décision se cache un bras de fer entre les services de renseignement américains et français autour de la souveraineté nationale. », ajoutent nos confrères. Une histoire qui n’est pas sans rappeler le Health Data Hub avec les données de santé françaises chez Microsoft.
Une dizaine de mois après l’annonce du partenariat entre EDF et AWS, les premiers retours semblaient positifs du côté d’EDF, selon nos confrères.
Ces derniers précisent néanmoins que le renseignement français était moins enthousiaste et exigerait que les données récupérées par Amazon soient stockées sur des serveurs français. Toujours selon le Canard, « l’américain a refusé de se plier aux exigences de ce « cloud souverain », sous prétexte que cela rendrait pour lui le contrat avec EDF nettement moins juteux ».
Pour un haut responsable interrogé par nos confrères, la vérité est ailleurs : « Amazon refuse tout simplement d’écrire noir sur blanc qu’il ne fournira pas les données de ses clients français aux services de renseignement américains ou au ministère de la Justice ».
EDF pourrait utiliser S3NS de « Thales x Google Cloud »
Amazon n’est pas le seul acteur américain concerné, Microsoft l’est aussi et a même admis, auprès de la police écossaise, que l’entreprise ne pouvait pas garantir la souveraineté des données hébergées dans son infrastructure Azure.
EDF aurait une solution de secours : passer par S3NS – qui est en cours de certification ANSSI SecNumCloud –, la joint-venture entre Thales et Google, qui serait insensible au Cloud Act et aux autres réglementations américaines comme la Section 702 du Foreign Intelligence Surveillance. Loi (FISA). C’est du moins la promesse des protagonistes.
Il existe également un autre cloud basé cette fois sur les services Microsoft : Blue, avec Orange et Capgemini. Bleu vise également la certification SecNumCloud et espérait déposer un dossier à l’ANSSI avant la fin de l’année, mais nous n’avons plus eu de nouvelles depuis.
La même question « se posera partout »
Sur La même question se pose désormais également pour la plateforme d’appel d’offres de l’État – enjeu souverain s’il en est. Il atterrira partout ».
Il en profite pour revenir indirectement à la charge sur l’histoire du HDH : « Avec d’un côté des obligations et des étiquettes en carton pour les entreprises françaises et européennes à qui on demande des efforts pour rien. Et de l’autre, des entreprises américaines qui s’épargnent ces efforts et conquériront des marchés au détriment de notre souveraineté, et de la possibilité pour les entreprises et les citoyens français d’être préservés du regard inquisiteur de l’administration américaine. ».
« Autrement dit, les acteurs français sont évincés les uns après les autres des marchés de leur propre pays, par des entreprises étrangères qui ne respectent même pas la législation et les contraintes qui leur sont imposées. respecter », dit-il en guise de conclusion.
La question du Health Data Hub se pose à la CEDH
Après la validation par le Conseil d’État de l’autorisation de la CNIL de stocker l’entrepôt de données EMC2 du Heralth Data Hub dans Microsoft Azure, Clever Cloud et d’autres sociétés annoncent saisir la Cour européenne des droits de l’homme (CEDH).
Ils soulignent que cet hébergement chez Amazon expose les données » à d’éventuelles interceptions par les services de renseignement américains dans le cadre de l’application extraterritoriale du droit américain du renseignement, et notamment de la loi FISA ».
