M. Aurélien Lopez-Liguori alerte M. le ministre de l'économie, des finances et de la souveraineté industrielle et numérique sur le lancement de l'AWS European Sovereign Cloud d'Amazon Web Services (AWS). Amazon a annoncé le 25 octobre 2023 le lancement de sa nouvelle offre à destination des entreprises et autorités publiques européennes. L'entreprise américaine explique que cette nouvelle offre sera « physiquement et logistiquement » séparée des autres régions cloud existantes tout en ayant « la même sécurité, la même disponibilité et les mêmes performances ». Il est prévu que la première région cloud à être mise en place soit l'Allemagne. Toutefois, malgré toutes ces promesses, cette solution, qui n'est en outre pas codéveloppée avec une entreprise européenne, reste soumise aux législations extraterritoriales telles que le Foreign intelligence surveillance Act (FISA) et le Cloud Act. Le danger d'accès par des autorités publiques américaines aux données conservées dans ce cloud demeure donc présent, peu importe la qualification de « cloud souverain » qu'Amazon prétend donner à sa solution. En outre, l'Office fédéral allemand de la sécurité de l'information (BSI) semble vouloir prendre la tête de ce projet dans l'optique d'imposer ce nouveau cloudau reste de l'Europe et ce, en opposition au SecnumCloud. C'est avec enthousiasme que Claudia Plattner, présidente du BSI accueille le projet, déclarant : « Le développement d'un cloud AWS européen facilitera l'utilisation des services AWS par de nombreuses organisations du secteur public et des entreprises ayant des exigences élevées en matière de sécurité et de protection des données (...) Nous sommes conscients du pouvoir d'innovation des services cloud modernes et nous voulons contribuer à les rendre disponibles en toute sécurité pour l'Allemagne et l'Europe ». Il lui demande donc quelle est la position du Gouvernement français sur l'utilisation de ce cloud prétendument souverain et sur le problème posé par sa validation par le BSI, homologue de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), tous deux étant censés co-valider ce type de décision.

Le Gouvernement suit avec la plus grande attention le développement du marché du cloud, et ce dans le cadre de la stratégie nationale cloud, lancée en 2021. Il a, à ce titre, pris acte du lancement de l'offre l'AWS European Sovereign Cloud d'Amazon Web Services (AWS). La stratégie d'un cloud de confiance repose sur la certification « SecNumCloud ». Délivrée par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), elle assure un niveau de protection très élevé des services qualifiés, et cela contre tout accès non-autorisé aux données qu'ils hébergent et qu'ils traitent – notamment via des lois extraterritoriales. Par ailleurs, au moyen de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (SREN), et à la demande des parlementaires, les dispositions législatives tenant à la protection des données sensibles contre les législations extraterritoriales s'agissant à la fois des administrations de l'État, de ses opérateurs ou de certains groupements d'intérêt public, ont été renforcées. À cet égard, toute offre d'informatique en nuage, qu'elle soit présentée par AWS ou tout autre prestataire, devra systématiquement être évaluée en conformité avec les critères relevant de la qualification SecNumCloud 3.2 pour pouvoir être qualifiée comme telle, y compris en ce qui concerne son niveau de protection vis-à-vis du droit extra-européen. Seules les offres étant in fine qualifiées SecNumCloud pourront – par définition – être retenues lorsque la loi impose le recours à une telle offre. Cela étant, l'Allemagne est et demeure souveraine dans ses choix. Les propos de la présidente du BSI (Office fédéral de la sécurité des technologies de l'information et homologue allemand de l'ANSSI) n'engagent nullement la France ou l'Union européenne. Le schéma de certification allemand repose, en effet, sur un système d'évaluation différent et indépendant du schéma français, étant précisé qu'il n'y a, aujourd'hui, pas encore de schéma européen. La certification allemande s'appuie ainsi sur le catalogue des contrôles de conformité de « cloud computing », dénommé C5, qui n'a pas été reconnu équivalent au référentiel français SecNumCloud. En tout état de cause, la France continue à soutenir l'ambition d'assurer le développement d'un marché diversifié et concurrentiel du cloud de confiance, en mesure de répondre aux besoins d'innovation et de sécurité de nos administrations et de nos entreprises. Une position que nous défendons également de manière cohérente et sans faillir dans le cadre des négociations au niveau européen, notamment dans le cadre de la certification de cybersécurité des services cloud (EUCS) afin de disposer d'un cadre fiable, complet, robuste, transparent et qui garantisse une protection efficace des données sensibles en Europe – en particulier contre l'application de législations extraterritoriales. Ces négociations sont complexes, mais la France continue de porter fortement, dans le cadre de ces discussions qui sont encore en cours, sa position visant à maintenir la possibilité pour les États membres de protéger les données les plus sensibles des administrations comme des entreprises, et nous ne ménageons pas nos efforts pour continuer de rallier les autres États membres à notre volonté d'assurer à l'UE une autonomie stratégique suffisante pour protéger ses données les plus sensibles.