Fin octobre 2021, Amazon Web Services (AWS), société notamment d’hébergement cloud, a signé un contrat avec les services de renseignement britanniques, d’une valeur estimée à plus d’un milliard d’euros et pour une durée d’au moins dix an.
Nous allons nous questionner sur les conséquences que peut avoir ce contrat sur les données stockées, sur les citoyens britanniques, mais aussi sur l’Etat et sa souveraineté.
Il y a quelques temps, nous apprenions qu’AWS est maintenant chargé de stocker les données confiées par les services de renseignement britanniques, plus particulièrement du service de renseignement intérieur (MI5), du service de renseignement extérieur (MI6) et du quartier général des communications gouvernementales (GCHQ). Ces institutions feront donc dorénavant appel à une technologie de cloud unique proposée par le fournisseur américain, leur permettant d’accroitre l’efficacité et la rapidité de leurs agents. Ces derniers pourront procéder plus facilement à des échanges d’information de données, et effectuer des recherches dans la base de données de ces services, quelque soit leur localisation.
A l’ère du numérique et d’une « nouvelle révolution industrielle », il est légitime de se demander quels impacts pourront avoir de tels choix de la part des Etats. En effet, la problématique de souveraineté numérique est depuis quelques années soulevée en raison de l’importance des géants du numérique que sont les GAFAM et les BATX, face à des Etats qui tentent de se développer et d’être indépendants d’un point de vue numérique. Nous sommes arrivés à une époque où des entreprises comme Amazon peuvent discuter, négocier avec des Etats, car ces derniers ont besoin d’eux.
Selon Jean Bodin, la souveraineté est le « pouvoir de commander et de contraindre sans être ni commandé ni contrait ». L’idée de souveraineté est donc la capacité d’un Etat de n’être soumis à aucune entité ou autre Etat. La souveraineté numérique peut néanmoins se comprendre comme la possibilité pour un Etat d’être autonome et autosuffisant, en ne dépendant pas d’autres Etats ou entités comme des entreprises, pour répondre à toutes les prérogatives qui se posent en matière de numérique. Aujourd’hui, la souveraineté numérique des Etats est remise en cause, comme le démontre l’exemple du stockage des données sensibles britanniques auprès d’AWS, mais aussi en Europe en raison de la dépendance et donc de la pénurie en matière de semi-conducteurs.
Indépendamment de sa sortie de l’Union européenne, le Royaume-Unis reste, comme l’Europe, encore dépendant sur certains points des géants du numérique américains qui ont réussi à imposer une quasi-hégémonie, si l’on fait abstraction de l’ampleur que sont en train de prendre les entreprises asiatiques du numérique. Alors dans ce cas, pourquoi un tel choix de confier des données aussi sensibles à un tiers étranger ? Pourquoi les services de renseignements britanniques ne pouvaient-ils pas faire appel à un cloud privé, interne, national ?
Un premier élément de réponse serait le coût de la mise en place d’une telle installation. L’ajout d’un cloud privé à l’artillerie des services de renseignements britanniques était peut-être trop couteux en matière de connaissances (connaissances pointues en cybersécurité, technologies physiques, sécurité informatique, …), donc en termes d’humain qualifiés (par exemple pour réaliser les maintenances, mettre en place le système, …), mais aussi peut-être en ressources premières. Ou bien ce choix relève-t-il seulement d’un désintérêt de la question par ces services, d’une priorité de souveraineté numérique qui n’est pas la leur.
Une question de géopolitique s’ajoute aux problématiques budgétaires et étatiques. En effet, quitte à être « obligé » de confier ses données à une entreprise privée, le Royaume-Unis aurait donc préféré privilégier les Etats-Unis à leur concurrent asiatique. Cela exprime une volonté de soutien à l’une des deux superpuissances en concurrence sur bien des points, notamment en matière de numérique.
Les craintes à la suite de cette annonce se sont accentuées en raison de l’écho et de l’impact encore présent de l’affaire Snowden et des révélations de surveillance mondiale des Etats-Unis, et particulièrement de la NSA (services de renseignement des Etats-Unis). En effet, à cette époque les services de renseignement des Etats-Unis s’étaient servis de Facebook notamment pour mener une campagne d’espionnage globale. Il est donc légitime de se demander pourquoi Amazon dans ce cas-ci ne pourrait-il pas permettre l’accès des Etats-Unis aux données des services de renseignement britanniques.
Il est évident que la gestion de ce stockage de données sensibles peut être source de questionnements et de préoccupations. Néanmoins, il a été communiqué qu’Amazon ne devrait pas avoir accès aux données des services britanniques. Néanmoins, une telle affirmation n’est que contractuelle. En pratique, indépendamment de la localisation des datacenters, l’accès aux données est possible puisque ces dernières sont stockées physiquement, et donc accessibles physiquement, chez Amazon.
En conclusion, même si les craintes à l’égard de cette annonce peuvent s’avérées fondées, il ne faut pas oublier que la société sera soumise à un contrat, et donc à des conditions de traitement de ces données, en complément évident du respect des lois. Ce phénomène donne tout de même encore plus de poids aux géants du numérique et peut illustrer une absence de volonté de lutte de la part des Etats en vue de sauvegarder voire de mettre en place une souveraineté numérique.
Lorie Masdieu
Sources :
- Article du Monde informatique
- Article du Figaro
- Article des Echos
- Photo : “Amazon Web Services” by Sean MacEntee
