Nous recevons ce matin les représentants d'Amazon web services (AWS) France : M. Julien Groues, directeur général, M. Stephan Hadinger, directeur technique, M. Laurent Tari, directeur juridique, M. Lionel Benatia, directeur des affaires publiques et Mme Charlotte Baylac, chargée des affaires publiques.

AWS est une filiale d'Amazon née en 2006 et spécialisée dans les services de cloud computing, dont elle était, fin 2019, le premier fournisseur français avec 39 % des parts de marché. Vous nous indiquerez l'évolution de ce chiffre depuis. À l'époque, le cloud Microsoft détenait 19 % de parts de marché et Google cloud, 9 %.

Nous avons à vous poser de nombreuses questions sur la protection des données face au Cloud Act, les tendances du marché actuelles et la numérisation des entreprises françaises, dont beaucoup font appel à vos services.

En introduction, j'évoquerai trois sujets sur lesquels nous souhaiterions vous entendre.

D'abord, que recouvre pour vous la notion de souveraineté numérique ? Les pouvoirs publics y consacrent une attention croissante depuis la crise sanitaire. Nous avons entendu, lors de nos auditions, plusieurs définitions de cette notion, que certains rapprochent d'une forme d'autonomie stratégique ou décisionnelle. Je suis curieux du regard qui est le vôtre en tant qu'entreprise américaine implantée en Europe.

Ensuite, comment voyez-vous le marché actuel du cloud ? Comment anticipez-vous son évolution, ces prochaines années ? Votre regard sur les pratiques des entreprises privées et des acteurs publics clients de vos solutions nous intéresse également. Quels sont leurs besoins et leurs attentes ? Ceux-ci ont-ils évolué depuis la crise sanitaire ? Pourriez-vous aussi nous parler de l'initiative GAIA-X, dont vous êtes membre, visant à garantir le mutlicloud, la sécurité des données et l'interopérabilité des services ?

Enfin, nous aimerions échanger avec vous sur les différentes initiatives européennes de régulation du numérique, comme le Digital Services Act (DSA), le Digital Markets Act (DMA) ou le Data Governance Act (DGA). Comment vous positionnez-vous par rapport à ces différents projets de régulation ?

Que pouvez-nous nous dire de l'enjeu que constitue la protection des données, dans un contexte où l'extraterritorialité du droit américain risque de mettre à mal le respect des garanties offertes par le droit européen ? Comment interprétez-vous le Cloud Act dans le cas d'une demande de transmission de données par les autorités américaines ? Qu'est-ce qu'a changé l'arrêt Schrems II dans les relations avec l'Europe ?

C'est un honneur pour nous de prendre la parole devant vous aujourd'hui. Je propose qu'une fois rappelé brièvement qui nous sommes et ce que nous faisons en France et en Europe, nous évoquions la manière dont AWS joue son rôle dans le renforcement du leadership numérique de l'Union européenne.

Nous nourrissons la conviction que les entreprises françaises doivent avoir la liberté de choisir où elles stockent leurs données, d'en contrôler le contenu et de changer de fournisseur si elles le souhaitent, en optant pour celui qui met à leur disposition la meilleure technologie, dans un cadre compétitif. Cette liberté de choix nous apparaît comme un besoin fondamental de nos clients. Nous ne devons pas la limiter sous peine de freiner ainsi leur innovation.

Je suis convaincu que le cloud AWS rend plus souveraines les organisations françaises et européennes, c'est-à-dire plus autonomes, plus compétitives, plus innovantes et mieux sécurisées.

Après plus d'une décennie à développer une application web évolutive, Amazon.com, en tant que détaillant, a pris conscience de sa compétence acquise dans l'exploitation d'infrastructures technologiques et de grands centres de données. L'entreprise s'est alors lancée dans une mission plus vaste : servir de nouveaux clients (développeurs et entreprises) en leur fournissant des services web pour créer des applications sophistiquées et évolutives. Par coïncidence, nous fêtons cette semaine le quinzième anniversaire d'AWS.

Le terme de cloud computing désigne la fourniture à la demande de ressources informatiques facturées à l'usage. Au lieu d'acquérir puis d'entretenir leur propre centre de données ou leurs serveurs, des organisations utilisent, en fonction de leurs besoins, des technologies et des services informatiques. On peut comparer le cloud computing à la fourniture d'électricité, dans la mesure où les entreprises clientes pressent en quelque sorte un interrupteur pour accéder à des services qu'elles peuvent cesser d'utiliser à tout moment, d'un simple clic de leur part.

AWS assure la gestion et le maintien, dans un environnement sécurisé, d'une infrastructure technologique, à laquelle accèdent les entreprises pour développer rapidement leurs propres applications, celles-ci ne payant que pour la partie de l'infrastructure qui leur est utile.

Nous fournissons, partout dans le monde, à la demande, plus de deux cents services liés à la puissance de calcul, au stockage, aux bases de données, à l'Intelligence artificielle, à l'Internet des objets, aux solutions hybrides, etc.

Au cours du dernier trimestre 2020, AWS a réalisé un chiffre d'affaires de 12,7 milliards de dollars, en hausse de 28 % par rapport à l'année précédente, ce qui porte le chiffre d'affaires annualisé à 51 milliards de dollars.

Depuis dix ans, nous accélérons nos investissements en France pour accompagner nos clients locaux. Nous avons ainsi ouvert, en 2017, en France, une région de data centres : à savoir, plusieurs ensembles de centres de données, disponibles pour tous nos clients souhaitant stocker leurs données sur le territoire français ou bénéficier d'une faible latence pour leurs applications.

En France, les équipes d'AWS aident ces clients et partenaires de toute taille (dont les intégrateurs de systèmes et les éditeurs de logiciels indépendants) à passer au cloud afin de bénéficier de ces avantages. Nous comptons en France des dizaines de milliers de clients actifs. Nous travaillons avec les deux tiers des entreprises du Next40 et avec plus de 80 % de celles du CAC40. Le recours au cloud s'est désormais imposé comme norme permettant aux entreprises de se concentrer sur leur cœur de métier et de réduire leur dette technique.

Il présente cinq avantages principaux :

– l'agilité (la capacité d'allouer rapidement d'importantes ressources en cas de besoin en activant des milliers de serveurs en quelques minutes) ;

– la réduction des coûts (Veolia évalue l'économie liée à la migration de ses bases de données vers le cloud à 40 % de ses coûts d'exploitation ERP ) ;

– l'élasticité (au lieu de fonctionner presque constamment en surcapacité pour faire face aux pics d'activité, nos clients ne payent que pour ce qu'ils consomment réellement) ;

– la capacité d'innovation (qui augmente à proportion de la baisse du coût de l'échec) ;

– la faculté de déployer instantanément des solutions partout dans le monde.

Deux autres raisons poussent un nombre croissant de nos clients à se tourner vers le cloud AWS :

– la réduction de l'impact écologique ;

– la sécurité des données et des applications.

En 2020, le cloud computing s'est avéré plus important que jamais : il a permis aux entreprises françaises de s'adapter et de limiter les dommages économiques d'une crise sanitaire inattendue. AWS a accompagné ses clients dans la continuité de leurs opérations, la réduction de leurs coûts informatiques, l'invention de nouveaux business models, ou encore la croissance de leur activité.

La question de la souveraineté numérique réside au cœur de notre mission d'entreprise. Au-delà de la capacité à réguler le cyberespace et la sphère numérique, la souveraineté numérique suppose d'atteindre une autonomie stratégique dans la sphère numérique, conjuguée à une compétitivité technologique renforcée.

Selon nous, être souverain en matière numérique, c'est avant tout maîtriser les outils qui permettent des choix technologiques autonomes, le développement et le déploiement des capacités et des infrastructures numériques stratégiques, comme l'a expliqué la commissaire européenne Margrethe Vestager.

Notre action en ce sens s'articule autour de trois axes :

– garantir le plus haut niveau de sécurité et de protection des données ;

– respecter la souveraineté de ces données ;

– fournir un accès aux technologies les plus avancées.

La sécurité et la protection des données sont des piliers de la numérisation de l'économie française et européenne. Rien ne compte plus pour AWS que de protéger les données de ses clients. Nous avons travaillé dur, année après année, pour nous conformer aux normes internationales reconnues.

Nous avons ainsi été le premier fournisseur de cloud en 2016 à recevoir la certification C5 en Allemagne. Nous pouvons aussi nous targuer d'une certification « hébergement de données de santé » (HDS) en France et « Esquema nacional de seguridad » (ENS) en Espagne. AWS adhère au code de conduite du Cloud Infrastructure Services Providers in Europe (CISPE), une association professionnelle de fournisseurs de cloud en Europe, permettant à leurs clients d'évaluer la conformité de leur fournisseur de cloud au Réglement général sur la protection des données (RGPD). Nous participons, qui plus est, dans chaque pays européen, à des travaux visant à améliorer la sécurité de nos clients.

Nos nombreuses certifications internationales couvrent l'intégralité de nos clients. Indépendamment de leur taille et de leur secteur d'activité, ils bénéficient de l'ensemble des contrôles requis pour toutes les données personnelles, bancaires ou de santé, même s'ils n'opèrent pas dans ces domaines. En somme, AWS démocratise les technologies de sécurité les plus avancées.

Dans un centre de données classique, un tel niveau de sécurité nécessite un investissement tant financier qu'humain difficile à maintenir dans le temps. Nous l'avons vu avec les affaires récentes de rançongiciels contre les hôpitaux. Ces programmes malveillants s'attaquent d'abord aux organisations dotées des moyens sécuritaires les plus faibles. Le cloud d'AWS met à portée de ses clients la meilleure protection contre les dénis de service, l'accès à des systèmes de détection d'intrusion basés sur l'intelligence artificielle et la possibilité de chiffrer les données qu'ils stockent, sans que cela impacte leur performance. Aujourd'hui, certaines entreprises craignent que le chiffrement massif de leurs données ne s'avère difficile ou coûteux. Ce n'est pourtant pas le cas sur le cloud AWS où, à titre d'exemple, Engie chiffre plus de 90 % de ses données.

Vous nous avez demandé dans votre questionnaire comment nous anticipons les risques d'incendie. Je suppose que la question est liée aux récents événements de Strasbourg. Nous avons une pensée pour les équipes de cette entreprise qui reste mobilisée pour ses clients, et ne cachons pas notre admiration pour les pompiers intervenus sur le terrain.

Tous les centres de données AWS sont équipés de systèmes de détection (de fumée notamment) et d'extinction des incendies (par l'eau ou par le gaz), placés dans les salles serveurs ainsi que les zones techniques avoisinantes. Dans le cas (rarissime) d'un incendie, les données des clients AWS resteraient accessibles, du fait de l'architecture des régions d'AWS. Celles-ci sont composées d'au moins trois zones de disponibilité, c'est-à-dire trois centres de données. En France, nos trois zones de disponibilité (toutes trois en Île-de-France) sont physiquement séparées les unes des autres et se trouvent dans des zones de risques (quand c'est le cas) différents. Chacune d'elles est conçue pour fonctionner avec un haut degré de fiabilité, indépendamment des autres. Leur interconnexion permet aux clients d'architecturer leurs applications de manière à ce que celles-ci basculent automatiquement d'une zone à l'autre sans solution de continuité.

Un exemple concret illustre cette résilience de nos services. Nous avons lancé, voici quinze ans, un service de stockage en ligne : Amazon S3. Les données y sont répliquées automatiquement dans l'ensemble des zones de disponibilité. Six copies sont ainsi effectuées dans trois centres physiquement séparés.

Au-delà de ces aspects techniques, nous proposons une approche complète en termes de sécurité et de protection des données. Nous respectons la souveraineté des données européennes et comprenons que la liberté de choix soit un besoin fondamental de nos clients. Cette liberté revêt plusieurs formes :

– d'abord celle d'une liberté de mouvement. Ce sont les clients AWS, propriétaires de leurs données, qui décident de leur lieu de stockage et de qui sera autorisé ou non à y accéder. Ils gardent aussi la possibilité de les chiffrer, de les déplacer ou de les supprimer ;

– la réversibilité se réfère à la liberté de changer de fournisseur. Elle implique un compromis entre le coût initial de création d'un système et son coût futur de transfert vers un autre acteur. Nous avons contribué à de nombreuses initiatives, telles que le code de conduite sur le portage des données et le changement de fournisseur de cloud (Switching Cloud Providers and Porting Data SWIPO), facilité par la Commission européenne dans le Règlement sur la libre circulation des données non personnelles. Techniquement, AWS propose de nombreuses solutions basées sur des logiciels libres (en open source), de telle sorte qu'il est peu complexe pour nos clients de transférer ou de répliquer leurs données hors du cloud AWS. Nous les y aidons d'ailleurs, car tous les services de synchronisation que nous proposons permettent l'exportation des données ;

– nos clients sont libres de travailler avec des acteurs locaux. Au-delà des services natifs d'AWS, notre cloud permet la mise en place de solutions de type OpenStack, reconnues par le gouvernement français. Nos clients peuvent aussi faire appel à des partenaires français ou européens (Atos ou Devoteam) jouant le rôle de tiers de confiance. Ces sociétés proposent des mesures de sécurité spécifiques au cloud AWS, incluant un second niveau de chiffrement des données avec une gestion des clés externalisée. Elles utilisent des boîtiers cryptographiques exploités en dehors des centres de données AWS.

La possibilité pour les clients d'AWS de changer de fournisseur quand ils le souhaitent nous force quotidiennement à toujours leur proposer les meilleurs services en répondant au mieux à leurs besoins.

Nos clients demandent surtout qu'AWS se conforme à la réglementation européenne et au RGPD, ce qui est le cas depuis que ce Règlement a été mis en place. Bien sûr, nous nous adaptons aux évolutions de la réglementation : nous avons récemment renforcé nos engagements contractuels suite à l'arrêt Schrems II, en allant au-delà de ce qu'il imposait. Nos nouveaux engagements s'appliquent automatiquement à l'ensemble de nos clients soumis au RGPD, que leurs données soient stockées ou non dans l'Espace économique européen, par le biais d'un addendum consultable en ligne dans nos conditions de service. Nous nous engageons concrètement à :

– notifier à nos clients les demandes d'accès émanant d'entités gouvernementales, européennes ou non ;

– contester ces demandes dès qu'elles entrent en conflit avec la législation européenne ou celle d'un État membre de l'Union européenne, ou qu'un motif de contestation légitime apparaît ;

– au cas où nous serions malgré tout contraints de divulguer ces données, n'en révéler qu'une quantité minimale.

Vous nous avez demandé si notre statut de filiale française ou européenne d'une entreprise américaine nous plaçait hors du champ d'application du Cloud Act. Selon notre analyse, le Cloud Act s'applique à tous les fournisseurs de services de communication électronique et d'informatique à distance soumis à la juridiction des États-Unis, y compris les filiales européennes de sociétés américaines telles qu'AWS et AWS EMEA SARL.

La plupart des sociétés étrangères opérant aux États-Unis (parce qu'elles y ont une filiale, une succursale, des salariés, ou simplement des clients) sont elles aussi soumises à la juridiction des États-Unis. Soulignons que le Cloud Act ne donne pas au gouvernement américain un accès illimité aux données détenues par les fournisseurs de cloud.

Habituellement, AWS utilise les outils à sa disposition pour contester les demandes émanant des États-Unis, portant sur une société domiciliée hors de leur territoire. Nous publions d'ailleurs des rapports dressant la liste de telles demandes. Au second semestre 2020, nous n'avons pas livré au gouvernement américain une seule donnée détenue par une société implantée hors des États-Unis.

L'adaptation constante à la réglementation s'inscrit dans l'ADN d'AWS, et c'est dans cet esprit que nous envisageons les législations européennes (DMA, DSA, DGA) qui devraient être bientôt promulguées.

Pour renforcer sa souveraineté numérique, l'Union européenne a besoin de règles cohérentes et applicables tenant compte des spécificités des services de cloud. Ces règles doivent éviter d'entraver l'innovation et laisser le choix aux clients. Nous partageons l'objectif de la Commission européenne de faire de l'Europe une économie ouverte et numérisée.

La meilleure façon de garantir le succès des entreprises européennes et donc, leur souveraineté, consiste à leur donner accès à la technologie la plus avancée. Les clients ayant migré vers AWS disposent d'à peu près trois fois plus de fonctionnalités, qu'ils fournissent 42 % plus rapidement à leurs propres clients. L'accélération de notre rythme d'innovation permet, in fine, à nos clients d'augmenter leur marge de manœuvre financière ou humaine.

Les services cloud d'AWS proposent aux organisations publiques et privées une large gamme de services d'intelligence artificielle et d'apprentissage automatique. AWS met ces techniques entre les mains de développeurs, experts ou non en Intelligence artificielle, pour qu'ils créent grâce à elles des robots de conversation, des solutions de recherche automatisée d'enfants disparus dans des bases de données d'images, des méthodes d'analyse et de prévision des besoins de maintenance, de détection de défaillances potentielles dans des chaînes de fabrication ou encore de détection de fraudes dans les transactions financières.

La souveraineté passe aussi par les compétences. Voilà pourquoi AWS soutient de nombreux programmes éducatifs dans les universités françaises. Nous faisons en outre bénéficier des start-up de crédits et d'un soutien technologique. Nous soutenons jusqu'aux personnes éloignées de l'emploi. AWS re/Start utilise ainsi le cloud comme un levier de réinsertion et de reconversion professionnelle. Nous travaillons avec des associations locales, des centres de formation et des entreprises partenaires, accueillant les bénéficiaires du dispositif.

Choisir le cloud, c'est en outre, à nos yeux, saisir une opportunité responsable et durable de lutter contre le changement climatique. Nous nous engageons à exploiter nos infrastructures le plus durablement possible. Nous avons cofondé en 2019 The Climate Pledge, nous engageant à être net zéro carbone dans toute l'entreprise d'ici 2040. Nous sommes en voie d'alimenter notre infrastructure cloud mondiale avec 100 % d'énergie renouvelable d'ici à 2025, soit cinq ans plus tôt que l'objectif initialement fixé.

Nous avons économisé plus de 300 000 tonnes d'émission de CO2 par an, ce qui équivaut à planter 400 millions d'arbres, soit 5,7 arbres par Français. Une étude récente a montré que le passage au cloud AWS permet de réduire l'empreinte carbone jusqu'à 88 % ; notre infrastructure étant trois à quatre fois plus efficace sur le plan énergétique que le centre de données médian.

En conclusion, j'insisterai sur la nécessité de ne pas juger une entreprise sur le lieu d'implantation de son siège social mais sur les garanties qu'elle offre aux citoyens et aux organisations françaises.

Ces derniers mois, et cela m'inquiète, nous avons vu des entreprises ralentir leur mouvement vers l'innovation à cause d'une mauvaise compréhension des réglementations numériques. Il ne faudrait pas que s'ouvre une nouvelle fracture numérique. La sécurité et la protection des données sont la base de la numérisation de l'économie. Nous sommes prêts à la soutenir. C'est là notre rôle.

Nous avons reçu la semaine dernière IBM France qui nous a déclaré, en tant que société de droit français, ne pas être soumise au Cloud Act. Les divergences d'interprétation sur ce point des grands fournisseurs de services informatiques, de droit américain à l'origine, interpellent forcément nos concitoyens.

Qu'en est-il du Foreign Intelligence Surveillance Act (FISA) ? Comment pouvez-vous aujourd'hui matériellement garantir, au-delà d'une pétition de principe, à des sociétés ou des administrations européennes que le gouvernement fédéral américain n'accédera à aucune de leurs données et que ces données sont stockées en permanence sur le sol européen sans que, pour des motifs de sauvegarde, de vérification ou d'entretien des serveurs, elles migrent en tout ou partie vers le sol américain ?

Selon notre interprétation juridique du Cloud Act, et bien que nous manquions d'expérience, au vu des rares demandes reçues dans ce cadre, celui-ci s'applique à tous les fournisseurs de services de communication et de services informatiques à distance, y compris les entreprises américaines disposant de filiales à l'étranger. Nous estimons qu'il s'applique, de même, aux filiales des sociétés étrangères opérant aux États-Unis.

Pour autant, ce Cloud Act ne donne pas au gouvernement américain un accès illimité aux données. Des contrôles sont mis en place. Nous accordons la priorité à la confidentialité et à la protection des données de nos clients via, notamment, leur chiffrement. Seuls nos clients possèdent aujourd'hui les clés de chiffrement de leurs données, sans lesquelles celles-ci sont inexploitables.

Quand l'un de nos clients choisit de stocker ses données dans une région, à savoir une zone métropolitaine, nous nous engageons à ne pas les déplacer. Il est le seul à pouvoir en prendre la décision. Notre certification allemande C5 résulte d'un contrôle précis de ce point. Les données, même répliquées ou sauvegardées, ne migrent pas vers l'étranger.

Nous proposons à nos clients des briques technologiques en self-service. Ce sont donc eux qui contrôlent la localisation de leurs données en décidant, ou non, de les répliquer d'un pays à l'autre.

Le chiffre que j'ai avancé tout à l'heure de zéro donnée transmise au gouvernement américain me semble éloquent. Il atteste l'efficacité de nos mesures de protection (de chiffrement, notamment) face aux demandes. La possibilité pour nos clients de recourir à des mesures de protection additionnelles auprès d'autres fournisseurs (Atos ou Devoteam) leur assure un niveau de contrôle supplémentaire de leurs données.

Vous ne répondez pas tout à fait à ma question sur le FISA, mais nous y reviendrons. J'aimerais vous entendre à propos de deux affaires à l'origine d'une polémique en France. D'abord, celle des données de Doctolib, apparaissant en clair à un moment de la chaîne. Que pensez-vous des inquiétudes qui ont pu en résulter ?

Votre partenariat avec Bpifrance a suscité beaucoup de critiques. Les comprenez-vous ? Comment en tenez-vous compte ? Par quels arguments factuels les contrez-vous ? Comment percevez-vous, à la lumière de ces deux exemples, l'attitude générale vis-à-vis des clouds américains, dont vous faites partie ?

Nous devons aujourd'hui continuer d'informer sur le fonctionnement du cloud AWS, sa sécurité, la mise en place de clés de chiffrement et la création d'infrastructures et d'applications extrêmement sécurisées. Les formations et l'apprentissage de ces technologies revêtent une importance cruciale, puisque c'est grâce à eux que le fonctionnement de nos services devient intelligible. Nous passons beaucoup de temps à expliquer à nos clients comment se doter des meilleurs moyens de sécuriser leurs données et, lorsqu'ils le demandent, nous les aidons à architecturer leurs applications en ce sens.

Nous offrons à nos clients (dont Doctolib et Bpifrance) la possibilité d'utiliser les meilleures technologies au meilleur prix tout en protégeant leurs propres clients. Le 17 février, nous avons ajouté un addendum à nos accords de data processing, renforçant nos engagements sur le traitement des demandes d'accès aux données. Dans sa décision du 12 mars, le Conseil d'État a examiné ce qu'impliquait, notamment par rapport au RGPD, notre statut de filiale d'un groupe américain, soumise à des lois américaines. Le Conseil d'État a estimé de son devoir de vérifier le niveau de protection des données personnelles en tenant compte de nos garanties juridiques et techniques. Selon lui, nos engagements contractuels contribuent à une protection suffisante des données face à des demandes émanant du gouvernement américain, en plus des mesures de chiffrement prises par nos clients.

Nous devons continuer en ce sens. Il ne faudrait pas que certaines situations freinent aujourd'hui l'innovation. Nous sommes persuadés que, techniquement et juridiquement, nos clients disposent grâce à nous de solutions sécurisées.

Le choix d'AWS par Bpifrance a fait du bruit. Le projet portait sur la mise en place des prêts garantis par l'État. Nous y avons vu une excellente nouvelle pour les dizaines de milliers d'entreprises ainsi soutenues pendant la crise. Quelques inexactitudes ont été énoncées quant au fonctionnement et à la sécurisation de l'application. Bpifrance conserve aujourd'hui la propriété et le contrôle intégraux de ses données. C'est elle qui décide où et comment celles-ci sont stockées et qui y a accès. Par souci accru de sécurité, Bpifrance chiffre en outre ses données, en mouvement et au repos, et conserve le contrôle absolu des clés de chiffrement, sans lesquelles ses données sont inexploitables.

Doctolib vous a choisi parce que vous étiez hébergeur de données de santé

Il faudrait leur poser la question, mais je pense que cela faisait partie de leurs critères de sélection.

Étonnamment, le Conseil d'État a considéré les données de Doctolib comme des données personnelles mais non à caractère sensible car elles n'étaient pas, selon lui, des données de santé. Nous interrogerons la CNIL sur son interprétation de ces données ; les différentes catégories de données ne bénéficiant pas du même niveau de protection.

Au-delà des prêts garantis par l'État, il a été question d'un partenariat entre AWS et Bpifrance. Comment percevez-vous le retournement de l'opinion vis-à-vis des géants du numérique américains ? Cette sorte de défiance généralisée vous semble-t-elle totalement infondée ? Viendrait-elle de votre taille ?

Il convient de distinguer la réalité de sa perception. Nos clients se disent ravis de travailler avec nous. Les développeurs adorent utiliser nos technologies pour développer mondialement des solutions innovantes.

Malgré la tendance, en France, à les regrouper, ces sociétés de technologie sont très différentes les unes des autres. Il faut se méfier des simplifications : certaines s'occupent de réseaux sociaux, d'autres, de publicité via la recherche, d'autres encore, de création de téléphones et d'applications. Opérant sur des marchés différents, elles apportent des contributions différentes à la valeur.

Le cœur de métier d'AWS reste la fourniture de services cloud. Nous investissons énormément en France. Depuis quelques années, nous avons ouvert des bureaux à Paris, Lyon, Toulouse, Nantes, Lille. Nous recrutons chaque année un grand nombre de personnes et servons des dizaines de milliers de clients.

Nous allons poursuivre nos efforts pour accompagner nos clients et les former à l'utilisation des technologies du cloud. Celles-ci ont permis aux entreprises françaises de passer au télétravail très rapidement sans solution de continuité. Certains de nos clients ont migré vers le cloud en quelques jours sans que leur activité en soit impactée. Ils ont réduit leurs coûts ; leurs techniciens restant dès lors libres de travailler au développement de nouvelles applications. Nous avons répondu aux besoins en puissance de calcul ou en espace de stockage de fournisseurs de cours en ligne, par exemple.

Selon moi, il faut continuer ce processus de formation et d'accompagnement. Les polémiques s'éteindront alors rapidement.

On reproche, à AWS, mais non à elle seule, ses méthodes commerciales : vous fournissez facilement des vouchers et, bien que la réversibilité ne pose techniquement pas de problème, du fait de vos conditions tarifaires, il est moins cher de déposer des données chez AWS que de les récupérer.

D'autres critiques vous reprochent un lobbying actif, voire agressif. Le revendiquez-vous ? L'assumez-vous ? Estimez-vous nécessaire de modifier votre fonctionnement pour remédier à une telle perception ? GAIA-X visait à l'origine la création d'un cloud souverain européen. Votre appartenance à une telle initiative soulève des questions.

Je reviendrai d'abord sur la partie commerciale de votre question. Aujourd'hui, nous comptons en France des dizaines de milliers de clients. Ils utilisent nos services à la demande et reçoivent une facture mensuelle de ce qu'ils ont consommé, ni plus ni moins, en fonction d'une liste de tarifs publiée sur Internet. Ce sont eux qui choisissent les services qu'ils utilisent et la quantité de données qu'ils stockent. Aucun contrat d'engagement ne les lie à nous. En termes de réversibilité, on ne peut pas faire mieux.

Aucun contrat (de licence ou autre) ne bloque nos clients dans nos infrastructures. Nous appartenons d'ailleurs à des groupes, évoqués par M. Stephan Hadinger, facilitant les transferts. La plupart de nos technologies sont basées sur de l'open source, ce qui facilite le basculement vers d'autres clouds.

Nos clients souhaitent surtout rapidement innover et donc bénéficier dans les meilleurs délais des technologies les plus récentes. On constate, en France et dans le reste du monde, un basculement massif des entreprises de systèmes propriétaires avec licences vers de l'open source. Elles réalisent ainsi des économies tout en renforçant la sécurité de leurs infrastructures, dès lors plus puissantes.

Nos pratiques commerciales bénéficient à nos clients. Loin de les retenir prisonniers de contrats, nous travaillons quotidiennement pour leur donner envie de nous rester fidèles.

L'initiative GAIA-X permet à nos yeux d'associer les entreprises, le monde de la science et de la politique à la définition des standards des nouvelles générations d'infrastructures de données, à la fois ouvertes, transparentes et sécurisées. Nous souhaitons créer ensemble un écosystème numérique ouvert et compétitif de données. Nous avons rejoint GAIA-X pour aider nos clients à continuer d'accélérer l'innovation autour de la donnée. Comme nombre de nos clients y participaient déjà, il nous a semblé logique de les accompagner. Nous œuvrons dans quatre groupes de travail sur :

– les besoins en architecture et en software ;

– les infrastructures opérationnelles ;

– le stockage et le calcul dans le cloud ;

– les réseaux et les transferts.

Nous nous concentrons aussi sur les certifications.

Vous avez fait part de votre crainte qu'une fracture numérique se creuse, à cause des réticences de certaines entreprises à faire appel à vos services, parce que vous ne seriez pas souverains. Avez-vous conscience que votre taille effraie ? Vous et vos collègues d'origine américaine faites figure d'« ogres ». Cette peur que vous suscitez vient-elle selon vous de votre chiffre d'affaires colossal, propre à donner l'impression que vous tuez la concurrence en vous assurant un monopole ?

Gartner estime entre 5 et 7 % la part de l'informatique dans le cloud en France. Toujours selon Gartner, AWS détiendrait 45 % à 47 % de parts de marché dans le cloud, un secteur où œuvrent énormément d'acteurs. Les clients peuvent, soit choisir leur cloud provider, soit continuer à construire leurs propres centres de données avec des fournisseurs de hardware ou de software. Nos partenaires souhaitent accéder aux meilleures technologies pour en tirer profit. Depuis le lancement d'AWS, voici plus de quinze ans, plus de 80 baisses de prix de nos services ont été constatées, or nous n'en avons interrompu aucun.

Je me livre à un rapide calcul : AWS représente 51 milliards de dollars de chiffre d'affaires annuel. Votre objectif consiste-t-il à garder votre part (45 % à 47 %) de ce marché en pleine croissance ?

Notre objectif est de continuer à écouter nos clients et leur fournir le meilleur de la technologie pour qu'ils continuent d'inventer de nouveaux modèles d'affaires. Les start-up comme les grandes entreprises mènent à bien, rapidement, des innovations qui transforment positivement notre manière de travailler autant que notre mode de vie. Notre culture d'entreprise consiste à les accompagner en ce sens.

Comprenez-vous que cela fait peur ? En cas de triplement des entreprises dans le cloud, votre chiffre d'affaires exploserait, dépassant éventuellement le budget d'un certain nombre d'États.

Je ne sais pas si cela fait peur. Tant que nous resterons complètement transparents sur nos activités, nous pourrons continuer d'accompagner tout l'écosystème du cloud dans sa transformation.

Pourriez-vous nous en dire plus sur la partie formation ?

Nous ambitionnons de former tous ceux qui le souhaitent aux technologies du cloud. Certaines de nos formations visent les entreprises, véritables viviers de talents en France. Nous aidons leurs employés à s'approprier les technologies du cloud pour mieux innover. Nous touchons aussi les intégrateurs, entreprises de services du numérique (ESN), à qui nous transmettons les compétences en matière de bonnes pratiques et de sécurité nécessaires à l'accompagnement de leurs propres clients. Nous formons aussi les étudiants en informatique de manière à ce qu'ils arrivent sur le marché de l'emploi, prêts à contribuer à la transformation des entreprises françaises. Enfin, le cloud offre une fantastique opportunité aux personnes éloignées de l'emploi d'apprendre un métier. Nous avons créé voici dix-huit mois le programme re/Start en France. Nous assurons, par cohortes, des formations certifiantes de trois mois, avec Simplon, aux technologies du cloud et aux soft-skills qui débouchent, grâce à nos partenaires, sur des embauches.

Intervenez-vous, dans ce type de formation, sous la marque AWS ? Le nom de votre entreprise y apparaît-il ?

Oui. Nous assurons auprès des enseignants, dans les universités, des formations validées par des certifications, professionnelles ou non, allant de la compréhension du fonctionnement du cloud aux meilleures pratiques de sécurité. Dans ce cadre, nous intervenons sous notre nom ou via des partenaires certifiés se revendiquant comme des formateurs AWS.

La souveraineté, pour les entreprises et les organisations que nous accompagnons, c'est la possibilité d'explorer de nouveaux marchés et de gagner en compétitivité en bénéficiant du meilleur de la technologie afin de se réinventer en servant au mieux leurs clients.

J'apprécierais que vous m'apportiez par écrit une réponse, que j'annexerai au rapport, sur le FISA.