Philippe Latombe étrille le projet de cloud de confiance entre Thales et Google

Les projets de cloud de confiance se multiplient et posent souvent question. Cette fois-ci c’est S3ns, le futur cloud entre Thales et Google, qui alerte le député Philippe Latombe qui accuse le projet de lancer une communication trompeuse et prématurée.

Le jour de la nomination de Jean-Noël Barrot en tant que ministre délégué à la transition numérique et aux télécommunications, le député Philippe Latombe a envoyé deux courriers qui étrillent le projet S3ns, le futur cloud de confiance entre Thales et Google qui devrait arriver en 2024 selon les informations de La Tribune.

Si S3ns n’est pas le seul projet de la sorte à être construit en ce moment-même, c’est celui qui poserait le plus question pour le député MoDem. En effet, la communication autour de Bleu, le projet Orange/Capgemini propulsé par la technologie de Microsoft, serait moins problématique.

La première des deux lettres s’adresse à la Commission nationale informatique et libertés (CNIL) tandis que la seconde était destinée à l’Agence nationale de la sécurité des systèmes d’information (Anssi) afin que ces deux institutions regardent avec attention le projet S3ns.

L’objectif selon La Tribune serait qu’elles observent la structure juridique de l’entreprise ainsi que sa capacité à vraiment protéger les données des opérateurs dits d’importance vitale, qui pourraient souscrire à des offres auprès de ce cloud de confiance et qui sont déjà invités à prendre des offres auprès de Google avant d’être transférés vers S3ns lorsque le service sera disponible en 2024.

Avec ces différents éléments et la communication trompeuse, Phillipe Latombe estime que la CNIL devrait en plus s’auto-saisir pour se prononcer sur la légalité du dispositif au regard du RGPD et demande à l’Anssi d’apprécier la qualification de cloud de confiance étant donné l’utilisation des technologies de Google.

Le cloud aidé par des américains est-il compatible avec le RGPD ?

Philippe Latombe s’interroge surtout sur la légalité du dispositif au regard du RGPD :

Google Cloud et Microsoft Azure sont-ils compatibles avec le RGPD, même emballés dans une coentreprise de droit français ? Le cloud est le socle de l’économie numérique mais personne ne semble se poser cette question cruciale. Dans la mesure où l’UE estime que les lois extraterritoriales américaines violent le RGPD, doit-on demander aux opérateurs d’importance vitale d’utiliser les technologies cloud américaines pour héberger leurs données les plus sensibles ? Les acteurs français -Thales avec S3ns, Orange et Capgemini avec Bleu- peuvent-ils vraiment protéger ces données alors qu’ils n’auront en théorie pas la capacité d’auditer par eux-mêmes le code source ? Il faut arrêter de se voiler la face.

Philippe Latombe

De plus, pour le moment, les offres proposées par Google et qui pourront ensuite être transférées vers S3ns, ne sont pas totalement exemptes de problèmes de confidentialité. Google a depuis quelques semaines des serveurs en France mais dans des datacenters tiers, et ils restent tout de même soumis au cloud act. Les autorités des Etats-Unis peuvent donc avoir accès aux donnés qui sont sur ces serveurs, ce qui peut poser problème pour héberger des données sensibles sur ces cloud dits de confiance.

Et rien ne garantit que des backdoors ne seront pas installées sur les logiciels en question afin que les Etats-Unis puissent avoir des accès en toute discrétion. D’autant plus que Thales mais aussi Orange et Capgemini n’auront que quelques heures pour vérifier un code source qui aura peut-être mis des mois a être développé par Google ou Microsoft avant de le mettre en ligne pour ses clients français.

Concernant la communication autour des différents projets, Philippe Latombe regrette que des offres transitoires soient déjà vendues, tout en sous-entendant qu’elles seraient validées Cloud de confiance or pour le moment ce n’est toujours par le cas. Le label ne sera décerné que lorsque le service final sera disponible.