Le Financial Times a annoncé le 25 octobre 2021 que les services de renseignement britanniques avaient signé un contrat avec l’un des géants du web, Amazon, afin d’héberger leurs données. Le contrat lie Amazon Web Services (AWS), la filiale cloud d’Amazon, et, les trois agences de renseignement britanniques : le Gouvernement Communications HeadQuarters (GCHQ, responsable du renseignement d’origine électromagnétique et de la sécurité des systèmes d’information), le MI5 (sécurité intérieure) et le MI6 (sécurité extérieure). Aussi, lors d’opérations conjointes avec les services du ministère de la Défense, le cloud sera mis à disposition de ces derniers. L’objectif de ce contrat est d’accroître, pour le Royaume-Uni, le recours aux analyses de données et à l’intelligence artificielle à des fins d’espionnage. Les experts évaluent les revenus générés par l’accord entre 500 millions et un milliard de livres sur dix ans.
Quel(s) risque(s) pour les données ?
La première réaction, lorsque nous apprenons l’existence de cet accord, est celle de savoir s’il n’est pas risqué de confier des données sensibles à un acteur américain du numérique, réputé peu soucieux de la protection des personnes. Selon le Financial Times, les données seront stockées dans un cloud hautement sécurisé, et, Amazon n’aurait pas accès aux données. L’existence du contrat, connu que du fait d’une fuite d’information, peu de précisions sont données sur son contenu. Il faudra cependant connaître la définition entendue par les parties au contrat du terme « hautement sécurisé », notamment au regard des données hébergées. Un porte-parole du gouvernement britannique a affirmé « De toute évidence, assurer la sécurité de cette technologie est une priorité absolue, les mêmes protections sont appliquées aux informations confidentielles quelque soit le fournisseur de la technologie utilisée ». Selon Alan Woodward, professeur de sécurité informatique à l’Université du Surrey, il s’agirait « d’un site bâti par Amazon en utilisant leur technologie mais géré par les services de renseignement britannique ». De ce fait, il s’agirait seulement d’un outil créé par Amazon, exploité par le gouvernement britannique ; dans ce cas, il n’existerait pas de risques supérieurs à ceux préexistants dans les systèmes traditionnels (cyber-attaque, fuite de données, etc). Ainsi, les mesures à prendre pour empêcher les accès non autorisés dans un cloud, peuvent être notamment de chiffrer les données, renforcer les processus d’autorisation, exiger l’utilisation de mots de passe complexes, opter pour l’authentification à deux facteurs, et donc d’intégrer la sécurité à tous les niveaux.
En outre, le gouvernement britannique aurait été attiré par les technologies à base d’intelligence artificielle développées par les services du groupe américain. En effet, grâce à ces technologies, les capacités opérationnelles des services secrets britanniques seront améliorées ; les agents pourront échanger des données plus facilement quelque soit leur localisation, et, utiliser les apports de l’intelligence artificielle pour leurs besoins, comme l’analyse rapide de grandes quantités de données. L’analyse de ces données est évidement possible, au regard notamment du Data Protection Act de 2018, loi prise par le Royaume-Uni à la suite de l’entrée en vigueur du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit RGPD. La section 28 du Data Protection Act dispose que le traitement des données à caractère personnel n’est pas interdit, dans la mesure où le traitement est effectué à des fins de sauvegarde de la sécurité nationale ou à des fins de défense, et avec des garanties appropriées pour les droits et libertés des personnes concernées. Ainsi, l’analyse, par l’intelligence artificielle est totalement légale, et cela au regard du RGPD auquel a été soumis, pendant moins de deux ans, le Royaume-Uni.
Une souveraineté numérique remise en cause ?
Selon le Financial Times, les données seront hébergées au Royaume-Uni, et, Amazon n’y aura pas accès. Toutefois, si les données sont hébergées sur des serveurs appartenant à Amazon, l’applicabilité du Clarifying Lawful Overseas Use of Data Act (CLOUD Act) ne fait aucun doute. En effet, ce texte, loi fédérale américaine promulguée en mars 2018, permet aux administrations des États-Unis, disposant d’un mandat et de l’autorisation d’un juge, d’accéder aux données hébergées dans les serveurs informatiques situés aux Etats-Unis et dans d’autres pays, au nom de la protection de la sécurité publique et de la lutte contre les infractions les plus graves dont les crimes et le terrorisme. Le gouvernement américain peut donc accéder aux données stockées sur des serveurs situés en Europe, dès lors que la société détentrice des serveurs est américaine.
Ainsi, ce texte peut s’appliquer à Amazon si la société reste propriétaire des infrastructures ; ce qui permettrait aux Etats-Unis d’accéder à des informations stratégiques du Royaume-Uni, qui concerneraient potentiellement des infractions graves de crime et de terrorisme. La nature des infractions justifierait l’accès aux données par l’Etat américain. Ce texte relance donc le débat de la souveraineté numérique du Royaume-Uni sur ses industries stratégiques.
Un tel accord peut-il voir le jour en France ?
Pour le Royaume-Uni, le choix d’une entreprise américaine s’explique par le fait que ces deux pays sont alliés, mais aussi, Amazon est cotée en bourse donc tenue à une certaine transparence. Un rapport publié en septembre 2021, aux Etats-Unis, révélait que Microsoft, Amazon, Google, Facebook et Twitter avaient perçu plus de 44 milliards de dollars grâce à des contrats passés avec le gouvernement américain dans le cadre de « la guerre contre le terrorisme » menée après les attentats du 11 septembre 2001.
Concernant la France, le ministre de l’Economie, des Finances et de la Relance, Bruno Le Maire, a affirmé en réaction à cet accord « Je pense que c’est une menace invisible et c’est une menace réelle. Nous, jamais, nous ne stockerons des données sensibles chez une entreprise américaine ». Effectivement, le gouvernement français cherche à promouvoir des « clouds de confiance ». Le souhait du gouvernement est d’utiliser la technologie des géants américains, mais, de l’exploiter par des sociétés européennes, dans des centres de données situés en Europe. Aussi, Google et Thales ont annoncé un accord en ce sens début octobre, comme l’avait fait quelque mois auparavant Microsoft et Orange-Capgemini.
Ainsi, malgré la volonté de la France, mais aussi de l’Europe, de s’affranchir des entreprises américaines pour créer leurs nouvelles technologies, le constat est sans appel : leurs technologies nous sont nécessaires. Et finalement, le Royaume-Uni n’opérerait pas si différemment que le reste de l’Europe à ce sujet…
Sources :
– Data Protection Act, 23 mai 2018
– Clarifying Lawful Overseas Use of Data Act, H.R. 4943, 21 mars 2018
– Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dit RGPD
– « Amazon nabs contract with UK spy agencies to host classified material in the cloud »,publié le 25 octobre 2021, Financial Times
– « Amazon signe avec les services secrets britanniques pour abriter leurs données sensibles », publié le 26 octobre 2021, Ingrid Vergara, Le Figaro
– « GAFAM : Amazon signe un accord avec les services secrets britanniques », publié le 27 octobre 2021, J. Bigard, L. Bazizin, S. Agrabi, P. Crapoulet, Y. Kadouch, France Info
– « Amazon WEB Services signe un accord avec les agences de renseignement britanniques », publié le 26 octobre 2021, Les Echos