Souveraineté Numérique - En quoi l’annonce S3NS de Google-Thalès est problématique ? - Philippe Latombe

Depuis quelques jours le député de Vendée Philippe Latombe, expert des thématiques de souveraineté numérique, a pris la parole pour réagir vis-à-vis de l’annonce faite par S3NS, alliance Google-Thales. Cela comporte deux volets, les punch lines qui jouent sur la confusion avec la doctrine « Cloud de Confiance » portée par l’État et, dans un second volet, le discours des dirigeants de Thales porteur de distorsion de concurrence. Cet épisode est représentatif des différentes formes d’entrisme des GAFAM. La souveraineté numérique est un combat de tous les instants. Ceci ne s’arrête pas à l’offre S3NS, mais aussi l’offre Blue (Orange-Capgemini-Microsoft) pour laquelle on est réellement en droit de s’interroger sur la compatibilité réelle avec le RGPD. On revient également sur l’affaire Health Data Hub où, une nouvelle fois, on cherche à forcer l’adoption de technologies américaines sous législation CLOUD Act, alors qu’il s’agit des données de santé des Français ! Il est temps que les rodomontades sur la souveraineté industrielle, se traduisent réellement dans les actes ! Merci à monsieur le député de continuer ce combat, en espérant qu’il sera rejoint en cela par d’autres membres de l’Assemblée Nationale et du Sénat, afin de faire avancer la défense de nos intérêts nationaux.

Emmanuel Mawet : Bonjour Monsieur le Député.

Philippe Latombe : Bonjour.

Emmanuel Mawet : Merci d’avoir à nouveau accepté ce bref entretien pour revenir sur un sujet qui vous a fait réagir, les annonces Google/Thales. Qu’est-ce qui vous a fait réagir et pourquoi ?

Philippe Latombe : Plusieurs sujets m’ont fait réagir. Il y a d’abord une question de forme sous deux aspects.
Le premier c’est l’intitulé même du site internet de S3NS, l’alliance Google/Thales, ce qu’on appelle un cloud hybride, ce sont les phrases qui ont été mises en entête du site internet qui sont : « Le Cloud. De confiance. » Or la doctrine « Cloud de confiance » est une doctrine de l’État, c’est une phrase qui appartient à l’État et qui a sa matérialisation dans la certification SecNumCloud [1] qui est attribuée par l’ANSSI [Agence nationale de la sécurité des systèmes d’information] quand les entreprises en font la demande. J’ai donc regretté que Thales ait utilisé ce vocable en y mettant des points de ponctuation pour essayer juridiquement de ne pas passer sous les fourches caudines de la loi. Je pense, et je l’ai déjà dit, nous ne sommes pas aux États-Unis, nous sommes en France, en Europe, qu’on ne joue pas comme ça avec les limites du droit. J’ai demandé très clairement à l’ANSSI de se prononcer. L’ANSSI n’est pas une autorité administrative indépendante, donc elle ne pourra attribuer de sanctions à S3NS. Je vous l’annonce, j’ai décidé dès la semaine prochaine de saisir la Direction générale de la consommation, de la répression de la concurrence et des fraudes. On ne pourrait pas l’accepter pour une entreprise industrielle, je ne vois pas pourquoi on devrait l’accepter dans le numérique. C’est le premier point.
Le deuxième point de forme c’est la communication faite par S3NS autour de son offre, notamment la conférence de presse du patron de Thales qui a annoncé l’envoi, le commencement de S3NS. Il a demandé à ses clients de venir sur le cloud de Thales et de Google avant même la certification SecNumCloud en disant à ses clients qu’il serait de toute façon SecNumCloud, donc il valait mieux qu’ils viennent maintenant plutôt qu’ils viennent plus tard. Là encore, ce n’est pas parce qu’ils ont envie d’avoir la certification SecNumCloud qu’ils auront la certification SecNumCloud, premier point. Deuxième point, ils n’ont même pas commencé la construction technique de l’offre donc ils ne peuvent même pas prétendre à SecNumCloud, donc je trouve que c’est une publicité trompeuse, donc j’ai saisi là aussi l’ANSSI puisque c’est elle qui délivre SecNumCloud, qui me confirme qu’aujourd’hui elle n’est pas saisie d’une demande de certification puisque l’offre n’existe pas. Bien évidemment il y a des spécifications, que Thales/Google savent quelles sont ces spécifications, il y a des discussions sur le sujet, mais il n’y a pas de processus formel de certification en cours. Je fais un parallèle avec le bio. Aujourd’hui un industriel de l’agroalimentaire qui vend des pâtes ne peut pas dire : « Venez chez moi plutôt que chez mon concurrent parce que moi je serai bio dans deux ans. — Vous êtes déjà bio ? — Non, je ne suis pas bio, mais je le serai dans deux ans. — Vous n’êtes pas bio ! — Non, mais je suis presque bio. » Eh bien non, on est bio ou on ne l’est pas. C’est à peu près la même chose. Aujourd’hui on ne peut pas faire ce genre de communication, ce qui se fait pour les industriels de l’agroalimentaire, mais n’importe quel industriel, n’importe quelle entreprise j’allais dire du secteur concret, réel, ne pourrait pas le faire. Je ne vous pas pourquoi S3NS, parce que c’est du digital, du numérique, pourrait le faire. Là aussi j’ai donc saisi l’ANSSI, je saisirai la Direction générale de la consommation, de la concurrence et de la répression des fraudes et je saisirai aussi l’autorité de contrôle de la concurrence parce qu’ils se sont d’abord auto-saisis de la question du cloud. Quant à la position de Google et de Thales, on sait très bien que quand on a des clients dans son propre cloud ils sont quasiment captifs parce que sortir du cloud c’est extraordinairement compliqué surtout quand on est avec Google et son logiciel qui est un logiciel très spécifique, je ne vais pas dire que c’est impossible mais c’est très compliqué d’en sortir. Ça veut dire qu’ils sont en train de vouloir capter le marché préalablement, avant même que leur offre soit sortie et soit SecNumCloud, ce qui n’est pas acceptable en termes de concurrence, il y a de la distorsion, donc je vais demander à l’autorité de la concurrence de se saisir du sujet.
Ça c’est pour les questions de forme.

Il y a aussi une question de fond que j’ai posée à la CNIL qui est de savoir si les offres hybrides c’est-à-dire Google/Thales, mais aussi Microsoft Azure, le logiciel de Microsoft avec Orange et Capgemini pour Bleu, sont compatibles avec le RGPD [2] et sont immunes à l’extraterritorialité américaine et pendant la phase de construction de l’offre est-ce qu’aller sur cette offre est compatible avec le RGPD. Donc forcément j’ai demandé à la CNIL de se saisir de la question parce que c’est aujourd’hui certainement le dernier moment où on peut le faire parce que les offres ne sont pas commercialement construites, elles sont juste annoncées, elles ne sont pas techniquement lancées, mais il faut qu’on s’interroge sur les choses.
Pourquoi je pose la question expressément sur S3NS, Google/Thales ? C’est que Google aura le logiciel et Thales, normalement, les serveurs. Sauf qu’on sait pertinemment, depuis quelques mois et meme quelques années, que les serveurs ont des spécifications techniques qui sont liées au software donc à la couche logicielle. Ce n’est plus le logiciel qui s’adapte aux serveurs, ce sont les serveurs qui s’adaptent au logiciel. Ce qui va se passer c’est que Thales va acheter dans un datacenter Google des serveurs Google qui vont donc appartenir à Thales mais qui vont être dans un datacenter Google, pour pouvoir faire tourner l’offre Sens. J’aimerais bien savoir si c’est compatible avec Le RGPD et si c’est immune à l’extraterritorialité. Même si le serveur appartient théoriquement à Thales, il est dans un datacenter Google, il a été construit par Google et il a une suite logicielle Google. Est-ce qu’on n’est pas dans le CLOUD Act [3] dans la maîtrise des données, qui est le concept de base qui permet aux agences américaines de demander l’accès aux données qui sont détenues par les entreprises américaines même à l’étranger. C’est ce que je demande en fait à la CNIL et j’aimerais bien qu’elle puisse se prononcer de façon formelle et qu’on puisse savoir la vérité des choses au moins juridiquement, qu’on sache si ces offres sont suffisamment robustes pour protéger les données de nos entreprises et de nos collectivités.

Emmanuel Mawet : Ça pose vraiment interrogation. En plus je vois que la campagne de communication ce n’est pas seulement, je dirais, Google/Thales, Google tout seul aussi parle de « cloud souverain » parce que ce sont des datacenters en France Je trouve que là aussi c’est une notion assez abusive. Qu’en pensez-vous ?

Philippe Latombe : C’est la difficulté. En fait la plupart des clouders américains sont très inquiets de la législation européenne, RGPD, donc française. Ils se basaient sur l’espoir qu’il y ait un accord de transfert des données transatlantiques qui ne verra le jour, très certainement, que d’ici un à deux ans. Ils pensaient avoir cette marge de manœuvre et en sous-marin ils le disent, il faut être très clair, ils disent à tout le monde « attendez, il y aura un accord de transfert des données qui va permettre de régler le problème donc venez chez nous, ce n’est pas un souci ». Oui, sauf que le CEPD, le Comité européen de protection des données, a quand même envoyé un message et un communiqué de presse dès l’annonce de l’accord Biden - von der Leyen disant « ce n’est qu’une annonce d’un hypothétique accord, le droit qui s’applique est le droit qui existe depuis Schrems 2 [4], appliquons Schrems 2 ». Donc Google, Amazon et Microsoft sont très embêtés par la législation, ils essayent de faire ce qu’ils peuvent, ils essayent d’attendre un accord transatlantique, marketinguement ils essayent de jouer sur la notion de cloud souverain. Sauf que, très clairement, je vais être très brutal et très vulgaire, c’est du foutage de gueule. Google nous dit : « Je vais vous proposer une offre souveraine » alors que la couche logicielle est américaine, les serveurs leur appartiennent et que seule la localisation des serveurs serait en France, mais comme on est sur un cloud élastique ça veut dire que si le datacenter français ne marche pas, il y a des réplications dans d’autres pays européens ou même extra-européens et il y a, de toute façon pour entretenir les serveurs, des données qui sont envoyées dans un paquet d’autres datacenters pour pouvoir faire tourner les logiciels pour être sûrs que ça marche.
Troisième point, dernier point, Google est assez facilement locataire de serveurs qui ne lui appartiennent pas, parce qu’ils n’en ont pas suffisamment, qu’ils n’ont pas la capacité à tout fournir, donc ils louent des serveurs à des entreprises plutôt de type américain, AT&T et consorts. On est en plein dans le CLOUD Act. Si le CLOUD Act ne s’applique pas à ce genre de cloud, je ne sais pas à quoi il s’applique ?
Dire que c’est un cloud souverain parce que les datacenters vont être en France, dans une région spécifique française, je ne suis désolé, ce n’est pas ça qui rend un cloud souverain, ce n’est pas ça qui rend immune à l’extraterritorialité américaine, donc ils ne peuvent pas l’utiliser. Ça fait aussi partie des sujets que je demande à regarder auprès de la direction générale de la concurrence et de la direction générale de la répression des fraudes.

Emmanuel Mawet : Toujours pour rester sur cet aspect de souveraineté du cloud, pourquoi faire autant d’histoires alors que, en fait, on a des clouds souverains en France, si on prend Scaleway, Outscale, OVH pour les plus gros.

Philippe Latombe : Ou Clever Cloud qui fait du très technique ou Qarnot qui fait de la puissance de calcul et du stockage. On en a partout, on en a de très bons, le seul vrai problème c’est qu’ils ne sont pas au niveau, en volume, des GAFAM. C’est normal ! Ils n’ont jamais été biberonnés à la commande publique comme les GAFAM l’ont été par l’État fédéral américain qui a des règles protectionnistes très fortes qui leur a donné, par des marchés publics, de l’air et de l’eau. Il est normal que la plante progresse et pousse. Nous on ne sait pas le faire. On a donné des subventions à un moment puis on a dit à ces boîtes-là « désolé, débrouillez-vous, trouvez vos marchés, mais nous, marché public, nous allons plutôt aller sur les gros parce que – syndrome IBM des années 80 –, c’est gros, c’est facile à faire, c’est plutôt bien protégé. Il suffit d’appuyer sur un bouton, ça se fait quasiment tout seul ». Oui, sauf que ce n’est pas ce qu’on demande. Pour arriver à ce niveau-là des milliards et des milliards de dollars ont été investis dans ces boîtes-là par les Américains, par l’État fédéral. Faisons la même chose en Europe ! Faisons progresser nos propres pousses avec, en plus, un argument de poids qui est de dire qu’aujourd’hui l’extraterritorialité du droit américain nous pose un problème. Il y a aussi les Chinois, mais qui sont un peu moins présents, on pourrait en parler aussi, ils passent par un autre biais, ils passent pas les institutions type sportives, par exemple, pour les Jeux Olympiques, ils passent par le CIO pour que le cloud d’Alibaba puisse venir ; ils font ça différemment, ils font ça à la chinoise, ce n’est pas une critique quand je dis ça, c’est une façon différente de fonctionner. Aujourd’hui nous avons une règle de droit qui est protection des données pour nos concitoyens, protection des données personnelles, eh bien protégeons nos données personnelles et visons la commande publique. La première chose que je propose de faire c’est qu’on prenne une circulaire disant que toute commande publique qui va vers du cloud et des produits numériques doit systématiquement demander que ces produits soient immunes à l’extraterritorialité américaine, l’extraterritorialité légale américaine ou chinoise. C’est le cas par exemple pour le HDH [Health Data Hub] avec Splunk. Le HDH veut utiliser Splunk qui est un plugin de sécurité américain, qui est soumis aux règles d’extraterritorialité, donc ça me pose très clairement un problème. Pourquoi l’argent public français et européen ne va-t-il pas vers l’écosystème français et européen en priorité ? Les Américains le font, faisons-le !

Emmanuel Mawet : Pour continuer dans cette veine-là, est-ce que vous pensez qu’il y a une évolution favorable avec le fait qu’on a un ministre de plein droit au numérique ? Ce nouveau ministre, qui ne vient pas du domaine du numérique pour être clair, est-il sensible à ce discours et peut-on imaginer qu’il va prendre ces thématiques à bras-le-corps ?

Philippe Latombe : Je connais très bien le nouveau ministre, nous avons été députés ensemble pendant cinq ans dans le même groupe politique, nous faisons partie de la même famille politique MoDem. Il ne vient pas du domaine, il est très intelligent, très adaptable, je n’ai pas de souci particulier pour qu’il comprenne ce qu’est le monde de la tech, ce qu’est l’écosystème. Ma vraie question reste la même qu’avec le secrétaire d’État précédent c’est quelles sont les attributions, les marges de manœuvre qu’il va pouvoir avoir ? Je remarque que dans son intitulé de ministère il y a « transition numérique et des télécommunications », ça fait un peu vieillot, désolé, mais c’est surtout qu’il n’y a pas la souveraineté. Pour moi, dans ce qu’en j’en lis, la souveraineté est restée au niveau de Bruno Lemaire. J’attends d’avoir les décrets d’attribution qui vont arriver, je pense, fin de semaine ou début de semaine prochaine, sachant qu’il y a des questions de déport sur un certain nombre de sujets, on verra plus clair à ce moment-là. Ce que je remarque c’est que dans d’autres ministères, par exemple les ministères de l’Écologie, il y a une volonté très forte de créer des directions numériques très importantes. Ma vraie question, en lisant les décrets, sera de savoir si le ministre de la Transition numérique sera aussi en charge de la transversalité des projets pour l’État. S’il n’est pas en charge de la transversalité des projets ça veut dire qu’on va avoir, encore une fois, des fonctionnements en silos, ministère par ministère, et ce n’est absolument pas ce qu’il faut, il faut forcément quelque chose de transversal. J’ai pu discuter avec Jean-Noël Barrot hier, j’ai attiré son attention sur un certain nombre de sujets, par exemple le fait que la DINUM [Direction interministérielle du numérique] n’a plus de patron depuis plusieurs mois, c’est un sujet très important, le fait que Guillaume Poupart s’en va de l’ANSSI, qu’il serait quand même bien de connaître son successeur, on parle du cloud mais SecNumCloud sans Guillaume Poupard à l’ANSSI ce n’est plus SecNumCloud, donc il faut qu’on sache comment ça va fonctionner. Il y a quand même des urgences sur lesquelles il va falloir travailler. Et pour moi il y a une urgence de symbole, une urgence juridique, que fait-on du HDH, du Health Data Hub ? Aujourd’hui il n’y a toujours pas d’arrêté soumis à la CNIL qui lui permette de fonctionner et qu’il continue à aller dans le mauvais sens, je le dis très clairement, en ayant publié un appel d’offres très récent, un appel d’offres soi-disant très ouvert sauf qu’à l’intérieur, ce que je disais tout à l’heure, tous ceux qui vont soumissionner devront travailler avec Splunk. Or travailler avec Splunk c’est typiquement le truc qui n’est pas forcément possible pour l’écosystème français et européen, c’est plutôt quelque chose qui ouvre la voie à des GAFAM au premier rang desquels, malheureusement, Azure. J’ai un peu l’impression que c’est une façon soi-disant de dire qu’on ouvre par un appel d’offres, mais tout en fermant l’appel d’offres, ce n’est pas exactement ce que ça devrait être. Là aussi j’ai demandé à ce que Jean-Noël Barrot se saisisse du sujet.

Emmanuel Mawet : Est-ce qu’on peut espérer que ça bouge ? Ça fait maintenant bien deux ans que c’est ce sujet du Health Data Hub qui, comment dire, a réveillé l’écosystème, qui l’a amené à se mobiliser. Est-ce qu’on peut espérer que cette mobilisation finisse par payer ? Je suis un peu inquiet par rapport à ce que vous venez de dire, j’en avais entendu parler, en fait je ne voulais pas le croire !

Philippe Latombe : Eh bien si, il faut le croire !
Là où je suis un peu moins inquiet c’est que je pense que s’il n’y a pas une décision politique très rapide, une décision de justice va intervenir. Je rappelle que le Health Data Hub a fait l’objet d’une procédure devant le Conseil d’État, une procédure en référé, le référé n’a pas abouti. À l’occasion de ce référé le gouvernement, l’État avait dit « nous allons basculer, migrer vers une solution souveraine », or la procédure a été renvoyée au fond puisque pas de référé donc c’est le fond qui doit décider. Aux dernières nouvelles concernant le dossier l’État a été sommé de conclure parce qu’il refuse de conclure depuis plusieurs mois, et si jamais il ne conclut pas très vite, peut-être qu’une décision sera prise très vite et qui sera forcément au détriment de l’État. Et s’il conclut, il va bien falloir, de toute façon, qu’on aille au fond des choses et qu’on puisse avoir une décision de justice, donc le Conseil d’État sera peut-être amené à se prononcer d’ici la fin de l’année 2022 ce qui pourrait, de facto, imposer une modification technique. S’il n’y a pas de décision politique volontaire, ce qui me semblerait être la meilleure des solutions et qui permettrait aussi de montrer à l’écosystème qu’on a compris la problématique et qu’on fait un geste, c’est ce que j’appelle de mes vœux, si jamais ce geste n’est pas fait, je pense, malheureusement, que le Conseil d’État sera amené à décider. Il pourrait décider dans un sens qui, logiquement, pourrait être celui de demander à ce que ça ne soit pas sur une plateforme qui clairement n’est pas SecNumCloud et n’est pas protectrice des données personnelles, or on est sur des données de santé. Il n’y a rien de plus à protéger que les données personnelles de santé de nos concitoyens. Je pense que le Conseil d’État n’aura pas vraiment le choix que d’aller dans ce sens-là. Derrière il reste, de toute façon, l’arme de la Cour de justice de l’Union qui a statué à de nombreuses reprises, il y a plusieurs dossiers en cours avec des questions préjudicielles qui ont été envoyées par plusieurs pays au titre de plusieurs affaires. On va bien voir ce que ça va donner.

Emmanuel Mawet : Je vous remercie beaucoup. Encore une fois on peut voir que le combat de la souveraineté numérique est un combat de tous les jours, de tous les instants puisqu’à chaque fois il y a de nouveaux sujets à traiter.

Philippe Latombe : Je ne lâcherai pas sur ces sujets-là. Vous pouvez me faire confiance.

Emmanuel Mawet : Je vous fais confiance, il n’y a aucun doute là-dessus. Je pense que c’est important d’arriver à communiquer ces problématiques au plus grand nombre, l’importance de leurs données, et que c’est aussi un enjeu économique. Faire travailler des entreprises françaises ou européennes c’est favoriser l’emploi et la valeur ajoutée en France et en Europe.

Philippe Latombe : Je rajouterais juste un point, ce n’est pas simplement économique c’est aussi fiscal que faire travailler des entreprises françaises. Les entreprises françaises payent leurs impôts en France alors que les GAFAM ne payent pas leurs impôts en France, ils ne payent même pas suffisamment d’impôts à travers le monde. Il y a un moment, dans le contexte actuel de difficultés économiques et de recettes fiscales qu’on peut avoir, nous avons besoin d’une contribution qui soit juste entre les entreprises et aujourd’hui il y a une distorsion. Ce n’est pas normal que l’argent public aille au profit d’entreprises qui font de l’évasion fiscale ou de l’optimisation, si on veut l’appeler comme ça, telle qu’ils ne payent pas leurs impôts en France et en Europe.

Emmanuel Mawet : Merci encore une fois et à très bientôt.

Philippe Latombe : Merci à vous en tout cas.