La Cnil autorise Microsoft à héberger nos données de santé, la souveraineté numérique en danger ?

Les acteurs français du cloud contestent cette décision qui pourrait menacer l’intégrité de données stratégiques et sensibles pour notre pays. Et qui conforte un peu plus la domination américaine du secteur.

Le géant américain Microsoft va stocker nos données de santé dans le cloud. © ISMAIL ASLANDAGANADOLUAnadolu via AFP

Par Stéphane Barge, Chef d'enquête

Publié le 1 février 2024 à 19h24.

Lecture : 9 min

Réservé aux abonnés

Encore un terrible revers pour le numérique made in France. La Commission nationale informatique et liberté (Cnil) vient d’autoriser Microsoft à stocker les données de santé des Français, à des fins de recherche médicale. Baptisé EMC2, ce vaste entrepôt numérique sera hébergé sur l’infrastructure informatique décentralisée du géant américain, le fameux cloud, pour une durée d’au moins trois ans. Cette plateforme, qui sera alimentée en informations personnelles (sexe, mois et année de naissance, commune de résidence du patient) et médicales (soins, remboursements de consultation, parcours hospitaliers…), vise à faciliter le travail des chercheurs, en particulier pour étudier les effets à long terme des traitements médicaux.

Pétition anti-Microsoft : un millier de signatures récoltées en 24 h

La France projette depuis des années de tirer profit des données de son système de santé, et nos scientifiques commençaient sérieusement à s’impatienter, craignant d’accumuler trop de retard dans la course mondiale à l’innovation. Sans évacuer le risque que des données aussi sensibles et stratégiques pour notre pays puissent être exfiltrées vers les Etats-Unis, avec la complicité de Microsoft, la Cnil estime donc avoir fait un choix pragmatique en confiant les clés de ce cyber-entrepôt au géant mondial du cloud. « Parmi les opérateurs de cloud français ou européens, aucun prestataire potentiel ne propose d'offre d'hébergement répondant aux exigences techniques et fonctionnelles du projet », justifie en substance la Commission.

Depuis qu’elle a été officialisée, hier, son annonce a provoqué une levée de bouclier des acteurs français du cloud. « Cette décision est clairement de nature à éveiller des soupçons quant à l’intégrité des conditions dans lesquelles elle a été prise, autant que sur la capacité de notre pays à assurer la sauvegarde, au propre comme au figuré, de nos données de santé », s’insurge Thomas Fauré, le président de Whaller, une startup française du secteur dans sa pétition adressée à la présidente de la Cnil Marie-Laure Denis.

Intitulée « Sortons nos données de santé de chez Microsoft », elle a déjà enregistré plus d’un millier de signatures depuis qu’elle a été publiée hier. En fin d’année, déjà, les Français OVHCloud, Numspot et Cloud Temple avaient pointé certaines bizarreries dans la procédure de consultation initiée par la Délégation au numérique rattachée au ministère de la Santé (DNS). « En décembre, rappelle en substance Thomas Waller, ces entreprises participantes avaient signalé des difficultés lors de la consultation, dont des changements fréquents dans les exigences techniques et une pression intense, laissant entendre que les dés étaient pipés ab initio et que l’intention de la consultation était de confirmer un choix déjà bien établi ».

Les trois géants américains trustent 71% du marché français

Voilà en tout cas une nouvelle occasion manquée de relancer le cloud à la française, déjà archi dominé par les poids lourds américains. À eux trois Amazon Web Services, Microsoft Azure et Google Cloud Platform trustent dans l’Hexagone 71% du nuage informatique, ce fameux cloud accessible à distance par Internet, où sont stockées toutes les ressources numériques – serveurs, bases de données, logiciels – désormais indispensables à la vie des entreprises. Nul besoin d’être paranoïaque, donc, pour comprendre les enjeux de souveraineté que ces services revêtent.

En vertu de deux lois américaines, le Foreign Intelligence Surveillance Act (Fisa,actualisé en 2008) et le Cloud Act (édicté en 2018), les administrations du pays sont en effet habilitées à saisir n’importe quelle donnée opérée par ces fournisseurs américains, même si elle est stockée sur le sol français. Une façon comme une autre de légaliser l’espionnage économique. «Passer par les spécialistes du nuage, c’est certes la promesse pour les entreprises de réduire leurs coûts, notamment ceux liés à l’acquisition de leurs propres infrastructures. Mais c’est aussi prendre le risque de perdre le contrôle de leurs données, lorsqu’elles sont de la sorte soumises aux lois des Etats-Unis», résume David Chassan, directeur de la stratégie d’Outscale, un des pionniers français du secteur.

Orange et Thales, le flop du projet de cloud souverain français

Face à de telles menaces, nos gouvernants ont bien essayé, à plusieurs reprises, de réagir. Et, pour bouter l’Oncle Sam hors de nos bases de données, de sonner le branle-bas de combat auprès des start-up du secteur comme de nos grands groupes informatiques, ou encore des autorités en charge de notre cybersécurité. La première riposte a toutefois fait flop : il s’agissait de créer, de toutes pièces, une infrastructure nationale de cloud souverain, en s’appuyant entre autres sur Orange et Thales. Mais ces deux fleurons n’ont jamais réussi à s’entendre, et 75 millions d’euros ont été gaspillés dans le projet, abandonné en 2019.

Changement de stratégie en 2021 : cette fois, il s’agit de concevoir un label, baptisé «cloud de confiance», qui viendrait estampiller les différentes offres privées du marché. Établie sous l’égide de l’Agence nationale de la sécurité des systèmes d’information (Anssi), cette certification est a priori tout ce qu’il y a de plus sérieux. «Répondre au cahier des charges, qui compte quelque 700 critères, nous a coûté deux ans et demi de R&D et 7 millions d’euros», témoigne ainsi Sébastien Lescop, directeur général de Cloud Temple, l’un des rares spécialistes français à avoir, pour l’heure, décroché ce sésame.

Seulement voilà: alors que ce label devait, en théorie, ne récompenser que des fournisseurs de droit français et européen, les politiques n’ont pas tardé à changer leur fusil d’épaule. «Protéger les données sur le cloud est aussi essentiel que de protéger nos technologies, nos entreprises. Mais au moment où je vous parle, il se trouve que les meilleurs fournisseurs de cloud sont américains», avait ainsi indiqué, dès 2021, Bruno Le Maire, notre ministre de l’Economie et des Finances et – plus accessoirement – de la Souveraineté industrielle et numérique.

Il n’en fallait pas plus pour que Microsoft et Google s’invitent aux tours de table, en s’alliant avec Orange et Thales, nos ex-losers du nuage numérique souverain, au sein de consortiums respectivement appelés Bleu et S3NS. Quant à Amazon, il serait de son côté en passe de signer avec Atos… «Les Gafam sont allés rencontrer les patrons de ces grands groupes, qui sont de gros prescripteurs en disant: on s’occupe de tout, Vous nous achetez nos licences, vous revendez nos solutions et prenez vos marges. L’objectif, c’est de continuer à inonder le marché des technologies américaines, Thales et Orange ne sont que des prête-noms», décrypte Quentin Adam, le patron de Clever Cloud, une autre start-up du secteur.

Est-ce pour rattraper le coup qu’en février dernier, Bercy a voulu initier un autre consortium, nommé NumSpot, associant cette fois quatre actionnaires bien de chez nous (la Caisse des dépôts, la filiale de La Poste Docaposte, Bouygues Telecom et Dassault Systèmes), et s’appuyant sur l’infrastructure d’Outscale ? «Nous sommes 100% français», clame ainsi son PDG Alain Issarni, ex-responsable informatique de la Cnam. Ce qui n’a pas empêché la plateforme, destinée en priorité aux banques et aux assurances, ainsi qu’aux grandes entreprises publiques, de s’allier cet été à IBM, pour étoffer son offre logicielle. Décidément…

Des milliards de lignes de code à auditer

Bien sûr, ces fleurons nationaux se veulent tous rassurants sur leurs alliances. «Les données seront hébergées en France, dans trois data centers de la région parisienne, sous la responsabilité de notre entreprise de droit français, détenue à plus de 90% par Thales», indique ainsi Cyprien Falque, le directeur général de S3NS, qui compte être labellisé cette année. «En outre, aucun salarié de Google ne sera autorisé à pénétrer dans nos data centers, à moins d’être escorté par un ingénieur de Thales.» Difficile malgré tout de revendiquer une parfaite étanchéité vis-à-vis de Google et de ses serveurs. OVHcloud, qui avait tenté ce genre d’alliance il y a deux ans pour bâtir sa propre «offre de confiance», est bien placé pour le savoir.

L’hébergeur français a en effet rompu ce partenariat l’an dernier, estimant que l’américain ne respectait plus les règles du jeu. «Pour préserver les données de nos clients, nous nous étions convenus que notre réseau devait rester déconnecté de celui de Google», confie Caroline Comet-Fraigneau, vice-présidente d’OVHcloud. Sauf qu’en pratique, les mises à jour des logiciels Google – jusqu’à 50 000 quotidiennement – ont rendu cette contrainte inapplicable. Le géant américain a donc vite exigé de se connecter aux data centers, ce que le président d’OVH Octave Klaba a refusé. «En matière de souveraineté des données, nous resterons intransigeants», insiste Caroline Comet-Fraigneau.

La méfiance est d’autant plus de mise que les Gafam excelleraient dans l’art de disséminer des «backdoors» dans les codes source de leurs logiciels. Soit autant de portes numériques dérobées, permettant de pratiquer des actes d’espionnage. Et qui nécessiteraient, pour s’en prémunir, d’auditer des milliards de lignes de code, à supposer que Microsoft, Amazon et Google autorisent l’opération.

Rien ne garantit d’ailleurs que ces consortiums à forte composante américaine finissent par décrocher le label de confiance de l’Anssi. Il se murmure aussi que l’un d’eux, Bleu, aurait du plomb dans l’aile, mais pour des raisons… bien françaises ! « Entre les équipes de Christel Heydemann, chargées de concevoir les serveurs côté Orange, et celles d’Aiman Ezzat, le patron de Capgemini, qui a rejoint le consortium pour la partie intégration des logiciels, la mayonnaise ne prend tout simplement pas», confie une source proche du dossier. Bleu a annoncé son lancement commercial mi-janvier, mais ne prévoit pas d’être labellisée avant l’an prochain.

Des start-up indépendantes auraient aussi leur carte à jouer, à l’image de Hive, pour laquelle David Gurlé – ex-lieutenant de… Bill Gates, chez Microsoft ! – a levé 7 millions l’an dernier. Son dispositif, basé sur la technologie pair à pair, entend exploiter les espaces de stockage inutilisés des ordinateurs du monde entier pour héberger les données. «En supposant que 1% des utilisateurs acceptent de partager leur disque dur, cette capacité suffirait à rivaliser avec les géants du secteur», justifie le PDG, qui phosphore avec l’Inria sur ce sujet.

Des offres de cloud européennes inadaptées aux besoins des multinationales

Si nos grands groupes n’hésitent pas à jouer le rôle du cheval de Troie, reconnaissons aussi que nos ténors du CAC 40 sont eux-mêmes très réticents à s’affranchir des clouds made in USA. «Demandons-nous pourquoi les offres européennes ne satisfont pas aux besoins de nos multinationales, au même niveau que ce que proposent Amazon, Microsoft ou Google, répond diplomatiquement Henri D’Agrain, le délégué général du Cigref, l’association qui regroupe les responsables informatiques des grandes entreprises et des administrations. Nos entreprises sont les premières victimes de cette dépendance technologique.»

Pas à la hauteur, le cloud français ? «Je ne l’avouerai jamais publiquement, mais il est évident que nos produits sont loin d’égaler la richesse des géants du secteur, reconnaît un spécialiste français. Néanmoins, sur les fonctions clés, notre offre est tout aussi fiable.» Ces patrons doivent de plus composer avec des pratiques commerciales bien rodées. Pour appâter les clients, les Gafam n’hésitent pas, par exemple, à recourir à la technique du crédit gratuit. Présenté comme un geste commercial, ce cadeau proposé aux start-up pour accéder gracieusement au cloud pendant un temps limité, ne se refuse pas. «On parle de dizaines, voire de centaines de milliers d'euros distribués gratuitement à une entreprise, révèle Thomas Fauré, président de Whaller. Ce qu’un éditeur comme nous ne peut évidemment pas se permettre.»

Et quand l’utilisateur mord à l’hameçon, c’est l’engrenage. «Une fois qu’une entreprise a adapté son infrastructure et ses outils pour mener à bien ses projets numériques, il devient de plus en plus délicat de faire demi-tour», confirme Alain Garnier, PDG de Jamespot. Les «egress fees», ces droits de sortie imposés par les Gafam aux clients qui voudraient aller voir ailleurs aggravent encore cette dépendance. «La technique consiste à facturer des frais de transfert de données vers un autre hébergeur, explique David Chassan. Mais les coûts sont en général prohibitifs, et en tout cas supérieurs aux coûts réels de transfert.»

Le lobbying des Gafam

Le plus habile en la matière serait le géant du logiciel Microsoft, qui n’hésite pas à exploiter la popularité de sa suite Office (Word, Excel, Powerpoint, Teams), en la liant à Azure, son offre de services cloud. «Les clients ayant choisi Office 365 sont obligés de payer des frais de licence supplémentaires s’ils veulent continuer à l’utiliser sur une autre plateforme cloud que la sienne. Ces coûts représentent de 80 à 100% du prix de la licence initiale, même si les utilisateurs avaient déjà payé pour faire fonctionner la suite bureautique en dehors du cloud, sur leur propre site», déplore Frédéric Jenny, professeur émérite d’économie à l’Essec, dans son rapport consacré aux pratiques déloyales des éditeurs de logiciels. Ces méthodes sont d’ailleurs bien connues des directeurs de service informatique (DSI). Mais gare à ceux qui auraient l’audace de les contester publiquement ! «Nous sommes confrontés à un marché qui ressemble beaucoup aux pratiques du crime organisé. Vous risquez votre carrière si vous parlez», témoigne l’un d’eux dans ce même rapport.

Il faut dire que les Gafam ont le bras long. «Ils ont conquis toute notre administration avec leur lobbying», constate Philippe Latombe, député (Modem) spécialiste de ce secteur. «Vous ne pouvez même pas imaginer leur puissance de feu», confirme un ancien ponte qui officia un temps chez l’un de ces géants. Cet ex-cadre décrit des armées d’influenceurs, composées en bas de l’échelle d’équipes chargées de documenter les logiciels, et de présenter ces technologies comme conformes aux attentes des politiques. Au-dessus, des chargés d’affaires publiques vont prêcher la bonne parole auprès des parlementaires et des think tanks.

Parmi ces anciens fonctionnaires à la langue bien pendue et à l’épais carnet d’adresses, des noms reviennent plus souvent que d’autres. Comme Benoît Tabaka, secrétaire général de Google et ex-secrétaire général du Conseil national du numérique. Ou Stanislas Bosch-Chomont, le directeur des affaires publiques d’Amazon, qui conseilla un temps Christine Lagarde à Bercy et Nathalie Kosciusko-Morizet à l’Ecologie. Ou encore Jean-Renaud Roy, qui fut pendant dix ans à la tête des affaires publiques de Microsoft avant de rejoindre cet été Illumina, une filiale de Nvidia. Quant aux grands manitous comme Satya Nadella, Jeff Bezos et Sundar Pichai, les patrons respectifs de Microsoft, Amazon et Google, ils n’ont qu’à décrocher leur téléphone pour s’entretenir avec Emmanuel Macron, qui les a d’ailleurs déjà tous reçus à l’Elysée. Pendant ce temps-là, nos patrons de start-up doivent s’estimer heureux lorsqu’ils croisent Jean-Noël Barrot, le secrétaire d’Etat au numérique.

La doctrine «cloud first» des États-Unis

Cette toute-puissance doit aussi beaucoup à la politique des Etats-Unis en matière de marchés stratégiques. «L’État américain a mis en place sa doctrine “cloud first” dix ans avant la France, en privilégiant ses champions nationaux dans ses commandes publiques», rappelle Thomas Reynaud, le patron d’Iliad, maison mère de l’opérateur télécom Free et de l’hébergeur Scaleway. C’est donc un pactole de 10 milliards que les principaux fournisseurs américains se partagent pour déployer leurs services cloud auprès du Pentagone.

À l’instar de Jérôme Lecat, le PDG de Scality, de nombreux acteurs militent pour un «Buy European Tech Act», qui encouragerait les acheteurs publics à privilégier les technologies du Vieux Continent, comme c’est d’ailleurs déjà le cas dans la Défense. Le sujet de la préférence européenne reviendrait certes à remettre en cause l’adhésion de Bruxelles aux accords de l’OMC, qui imposent la non-discrimination au sein des marchés publics. Mais s’il fallait toujours être fair-play…

Champions de la technique, les Gafam excellent aussi dans l’art du lobbying

Les spécialistes français de l’informatique en nuage

Ces spécialistes font partie des rares à revendiquer le label «cloud de confiance», une certification qui garantit la protection des données sensibles de nos entreprises et administrations. Malgré tout, ils doivent encore se contenter des miettes face aux géants américains du secteur, qui trustent les deux tiers du marché.