Question de Mme GOULET Nathalie (Orne - UC) publiée le 24/12/2020

Mme Nathalie Goulet attire l'attention de M. le ministre de l'économie, des finances et de la relance sur les contrats signés entre la banque publique d'investissement (BPI) et Amazon, qu'il s'agisse de celui confiant à Amazon Web Service l'installation d'un service cloud destiné à une base de données interconnectée aux systèmes bancaires de Bercy, pour les données de près de 500 000 entreprises ayant bénéficié du prêt garanti par l'État (PGE) ou de la participation d'Amazon à l'accélérateur du numérique.
Ces opération réalisées sans appel d'offre et sans aucune consultation d'entreprises françaises ou européennes parfaitement capables de répondre à cette demande, posent naturellement, une fois de plus, la question de notre souveraineté et de la sécurité des données ainsi livrées en pâture au géant américain.
De plus l'absence de transparence de ces relations avec une société connue pour pratiquer en experte l'art de l'évasion fiscale pose doublement la question de son choix comme partenaire de la BPI qui deviendrait complice d'évasion fiscale.
Elle lui demande donc le montant de ces transactions et les garanties prises pour la sécurité des données et la réversibilité de ces opérations.

- page 6156


Réponse du Ministère de l'économie, des finances et de la relance publiée le 10/03/2022

Bpifrance a opté, depuis 2019, pour une stratégie de stockage de ses données hybride et multi-hébergeurs, fondée sur le principe de réversibilité, qui garantit la possibilité de faire migrer ses données d'un hébergeur à l'autre, et d'éviter un potentiel « lock in ». Bpifrance a noué dans ce cadre trois contrats avec des fournisseurs de cloud : Amazon, Microsoft et OVH. La commande des pouvoirs publics pour le déploiement exclusivemeent en ligne des attestations de garanties du prêt garantie par l'État (PGE) nécessitait la mise en place en moins de 5 jours d'une plateforme devant être opérationnelle 24h /24h et 7 jours sur 7. Bpifrance a eu recours à un prestataire, Amazon Web Services, dont l'offre de service n'avait pas d'équivalent, à date, parmi les autres acteurs déjà référencés. Les données de Bpifrance hébergées chez ce prestataire ne sont pas accessibles à l'hébergeur, celles-ci étant intégralement chiffrées par une clef privée Bpifrance, elle-même stockée chez Bpifrance. Le Privacy Shield américain, qui ne concerne que les données hébergées sur le sol américain, ne s'applique, par ailleurs, pas aux données hébergées à Paris, et Amazon Web Services n'a pas le droit d'effectuer de transferts de données sans l'accord de Bpifrance. Le sujet de l'hébergement des données sur des serveurs de type cloud, qui constitue l'un des éléments essentiels de la construction d'une souveraineté numérique européenne, est, par ailleurs, suivi de près par le Gouvernement français, qui participe activement aux négociations au Conseil sur le projet de règlement européen Digital Operational Resilience Act (DORA). Ce projet de règlement, tel que proposé par la Commission européenne le 24 septembre dernier, prévoit plusieurs dispositions visant à renforcer la résilience des fournisseurs de services de technologies de l'information et de la communication, dont les fournisseurs de cloud. Le texte introduit notamment un mécanisme nouveau de supervision des fournisseurs de services de technologies de l'information et de la communication désignés comme critiques pour les entités financières de l'Union européenne. Par ailleurs, il fournira des clauses contractuelles type aux entités financières, pour la gestion de leur relation contractuelle avec les prestataires de cloud, afin de garantir le respect de l'intégrité des données et des exigences européennes en matière de cybersécurité.

- page 1310

Page mise à jour le