Intervention de Stéphan Hadinger

La sécurité et la protection des données sont des piliers de la numérisation de l'économie française et européenne. Rien ne compte plus pour AWS que de protéger les données de ses clients. Nous avons travaillé dur, année après année, pour nous conformer aux normes internationales reconnues.

Nous avons ainsi été le premier fournisseur de cloud en 2016 à recevoir la certification C5 en Allemagne. Nous pouvons aussi nous targuer d'une certification « hébergement de données de santé » (HDS) en France et « Esquema nacional de seguridad » (ENS) en Espagne. AWS adhère au code de conduite du Cloud Infrastructure Services Providers in Europe (CISPE), une association professionnelle de fournisseurs de cloud en Europe, permettant à leurs clients d'évaluer la conformité de leur fournisseur de cloud au Réglement général sur la protection des données (RGPD). Nous participons, qui plus est, dans chaque pays européen, à des travaux visant à améliorer la sécurité de nos clients.

Nos nombreuses certifications internationales couvrent l'intégralité de nos clients. Indépendamment de leur taille et de leur secteur d'activité, ils bénéficient de l'ensemble des contrôles requis pour toutes les données personnelles, bancaires ou de santé, même s'ils n'opèrent pas dans ces domaines. En somme, AWS démocratise les technologies de sécurité les plus avancées.

Dans un centre de données classique, un tel niveau de sécurité nécessite un investissement tant financier qu'humain difficile à maintenir dans le temps. Nous l'avons vu avec les affaires récentes de rançongiciels contre les hôpitaux. Ces programmes malveillants s'attaquent d'abord aux organisations dotées des moyens sécuritaires les plus faibles. Le cloud d'AWS met à portée de ses clients la meilleure protection contre les dénis de service, l'accès à des systèmes de détection d'intrusion basés sur l'intelligence artificielle et la possibilité de chiffrer les données qu'ils stockent, sans que cela impacte leur performance. Aujourd'hui, certaines entreprises craignent que le chiffrement massif de leurs données ne s'avère difficile ou coûteux. Ce n'est pourtant pas le cas sur le cloud AWS où, à titre d'exemple, Engie chiffre plus de 90 % de ses données.

Vous nous avez demandé dans votre questionnaire comment nous anticipons les risques d'incendie. Je suppose que la question est liée aux récents événements de Strasbourg. Nous avons une pensée pour les équipes de cette entreprise qui reste mobilisée pour ses clients, et ne cachons pas notre admiration pour les pompiers intervenus sur le terrain.

Tous les centres de données AWS sont équipés de systèmes de détection (de fumée notamment) et d'extinction des incendies (par l'eau ou par le gaz), placés dans les salles serveurs ainsi que les zones techniques avoisinantes. Dans le cas (rarissime) d'un incendie, les données des clients AWS resteraient accessibles, du fait de l'architecture des régions d'AWS. Celles-ci sont composées d'au moins trois zones de disponibilité, c'est-à-dire trois centres de données. En France, nos trois zones de disponibilité (toutes trois en Île-de-France) sont physiquement séparées les unes des autres et se trouvent dans des zones de risques (quand c'est le cas) différents. Chacune d'elles est conçue pour fonctionner avec un haut degré de fiabilité, indépendamment des autres. Leur interconnexion permet aux clients d'architecturer leurs applications de manière à ce que celles-ci basculent automatiquement d'une zone à l'autre sans solution de continuité.

Un exemple concret illustre cette résilience de nos services. Nous avons lancé, voici quinze ans, un service de stockage en ligne : Amazon S3. Les données y sont répliquées automatiquement dans l'ensemble des zones de disponibilité. Six copies sont ainsi effectuées dans trois centres physiquement séparés.

Au-delà de ces aspects techniques, nous proposons une approche complète en termes de sécurité et de protection des données. Nous respectons la souveraineté des données européennes et comprenons que la liberté de choix soit un besoin fondamental de nos clients. Cette liberté revêt plusieurs formes :

– d'abord celle d'une liberté de mouvement. Ce sont les clients AWS, propriétaires de leurs données, qui décident de leur lieu de stockage et de qui sera autorisé ou non à y accéder. Ils gardent aussi la possibilité de les chiffrer, de les déplacer ou de les supprimer ;

– la réversibilité se réfère à la liberté de changer de fournisseur. Elle implique un compromis entre le coût initial de création d'un système et son coût futur de transfert vers un autre acteur. Nous avons contribué à de nombreuses initiatives, telles que le code de conduite sur le portage des données et le changement de fournisseur de cloud (Switching Cloud Providers and Porting Data SWIPO), facilité par la Commission européenne dans le Règlement sur la libre circulation des données non personnelles. Techniquement, AWS propose de nombreuses solutions basées sur des logiciels libres (en open source), de telle sorte qu'il est peu complexe pour nos clients de transférer ou de répliquer leurs données hors du cloud AWS. Nous les y aidons d'ailleurs, car tous les services de synchronisation que nous proposons permettent l'exportation des données ;

– nos clients sont libres de travailler avec des acteurs locaux. Au-delà des services natifs d'AWS, notre cloud permet la mise en place de solutions de type OpenStack, reconnues par le gouvernement français. Nos clients peuvent aussi faire appel à des partenaires français ou européens (Atos ou Devoteam) jouant le rôle de tiers de confiance. Ces sociétés proposent des mesures de sécurité spécifiques au cloud AWS, incluant un second niveau de chiffrement des données avec une gestion des clés externalisée. Elles utilisent des boîtiers cryptographiques exploités en dehors des centres de données AWS.

La possibilité pour les clients d'AWS de changer de fournisseur quand ils le souhaitent nous force quotidiennement à toujours leur proposer les meilleurs services en répondant au mieux à leurs besoins.

Nos clients demandent surtout qu'AWS se conforme à la réglementation européenne et au RGPD, ce qui est le cas depuis que ce Règlement a été mis en place. Bien sûr, nous nous adaptons aux évolutions de la réglementation : nous avons récemment renforcé nos engagements contractuels suite à l'arrêt Schrems II, en allant au-delà de ce qu'il imposait. Nos nouveaux engagements s'appliquent automatiquement à l'ensemble de nos clients soumis au RGPD, que leurs données soient stockées ou non dans l'Espace économique européen, par le biais d'un addendum consultable en ligne dans nos conditions de service. Nous nous engageons concrètement à :

– notifier à nos clients les demandes d'accès émanant d'entités gouvernementales, européennes ou non ;

– contester ces demandes dès qu'elles entrent en conflit avec la législation européenne ou celle d'un État membre de l'Union européenne, ou qu'un motif de contestation légitime apparaît ;

– au cas où nous serions malgré tout contraints de divulguer ces données, n'en révéler qu'une quantité minimale.

Vous nous avez demandé si notre statut de filiale française ou européenne d'une entreprise américaine nous plaçait hors du champ d'application du Cloud Act. Selon notre analyse, le Cloud Act s'applique à tous les fournisseurs de services de communication électronique et d'informatique à distance soumis à la juridiction des États-Unis, y compris les filiales européennes de sociétés américaines telles qu'AWS et AWS EMEA SARL.

La plupart des sociétés étrangères opérant aux États-Unis (parce qu'elles y ont une filiale, une succursale, des salariés, ou simplement des clients) sont elles aussi soumises à la juridiction des États-Unis. Soulignons que le Cloud Act ne donne pas au gouvernement américain un accès illimité aux données détenues par les fournisseurs de cloud.

Habituellement, AWS utilise les outils à sa disposition pour contester les demandes émanant des États-Unis, portant sur une société domiciliée hors de leur territoire. Nous publions d'ailleurs des rapports dressant la liste de telles demandes. Au second semestre 2020, nous n'avons pas livré au gouvernement américain une seule donnée détenue par une société implantée hors des États-Unis.

L'adaptation constante à la réglementation s'inscrit dans l'ADN d'AWS, et c'est dans cet esprit que nous envisageons les législations européennes (DMA, DSA, DGA) qui devraient être bientôt promulguées.

Pour renforcer sa souveraineté numérique, l'Union européenne a besoin de règles cohérentes et applicables tenant compte des spécificités des services de cloud. Ces règles doivent éviter d'entraver l'innovation et laisser le choix aux clients. Nous partageons l'objectif de la Commission européenne de faire de l'Europe une économie ouverte et numérisée.