C'est un mélange de ce qui semble être un curieux favoritisme, de l'incompétence, de l'irresponsabilité, de mensonges (dont du Président de la République)
Les États-Unis peuvent accéder aux données de santé des agents de Matignon, de l’Assemblée… et de l’Anssi
En choisissant le français Alan comme mutuelle santé, de nombreux services de l’État mettent leurs personnels à la merci de la loi américaine du Cloud Act.
Le discours est solennel.
Devant un parterre d’élus, le président de la République, Emmanuel Macron, dresse les priorités de la France dans les technologies.
, explique-t-il en ce mois de décembre 2023 à des centaines de maires ou députés.« Si on perd la maîtrise de base, on est fichu. La maîtrise de base, c’est d’avoir des data centers chez nous, un vrai cloud européen et d’avoir des capacités à maîtriser les chaînes de valeur, grâce au programme de recherche électronique et intelligence artificielle de France 2030 »
Un an plus tard, la réalité est toute autre.
Depuis le 1er janvier 2024, les agents de l’Assemblée nationale voient leurs données de santé stockées chez… Amazon et sa division AWS.
À partir de 2025, il en sera de même pour les équipes du ministère de la transition écologique et les services du Premier Ministre.
La raison ? Ces trois entités ont choisi comme complémentaire santé la start-up française Alan, qui utilise les services du géant du cloud.
Espoir de la French Tech depuis sa création en 2016, cette jeune pousse promet de bousculer le marché des complémentaires santé.
Depuis 2023, elle a répondu aux appels d’offres lancés par l’Assemblée, le ministère de la transition écologique ou Matignon et a remporté la mise.
Une bonne nouvelle pour aider un champion tricolore à grandir : avec 681 000 clients comptabilisés à fin septembre, Alan affiche une hausse de 56 % de sa base sur un an grâce, notamment, à ces nouveaux contrats.
Mais ces commandes ont aussi suscité des critiques. « La seule contrainte mentionnée était de stocker les données sur le territoire européen sans autre précision », indique Luc Farré, secrétaire général de l’Unsa fonction publique qui estime également l’offre retenue est plus chère que d’autres rejetées.
Cette simple localisation géographique des données exigée dans les textes ne règle en effet rien. Car, un juge américain peut toujours s’appuyer sur une loi US, le Cloud Act, afin d’accéder à ce type d’information n’importe où dans le monde pour peu que les serveurs soient détenus par une entreprise américaine.
Interrogé à ce sujet, le ministère de la transition écologique, dont environ 60 000 agents sont concernés, ne voit pas de problème.
« Les données d’Alan sont hébergées exclusivement dans l’Union Européenne dans le respect des règles, nous indique-t-on. Et AWS est certifié hébergeur de données de santé qui fournit les garanties nécessaires en termes de sécurité. Cet hébergement ne pose donc pas de difficulté. »
Le sujet est pourtant très sensible : les agents, amenés à traiter des dossiers stratégiques, ne sont pas des citoyens comme les autres, à commencer par les équipes du Premier Ministre.
Sur les 4900 personnes rattachées aux 59 services de Matignon, on trouve l’Académie du renseignement, l’Institut des hautes études de défense nationale (IHEDN), la Commission du secret de la défense nationale (CSDN) mais surtout le Secrétariat général de la défense et de la sécurité nationale (SGDSN). Comble de l’ironie, le cyberpompier de l’État, l’Anssi, est également concerné alors même que cette instance préconise aux grandes entreprises françaises de faire attention et d’héberger leurs données sensibles dans des serveurs certifiés par ses soins (SecNumCloud). Une certification que n’a pas AWS…
« Ces informations de santé sont particulièrement intéressantes pour les services de renseignement américains qui collectent absolument tout, explique Jérôme Poirot, ancien adjoint du coordonnateur national du renseignement.
Des fonctionnaires français peuvent un jour devenir Premier Ministre, ministre ou conseiller dans des cabinets et connaître leur dossier médical peut fournir des éléments intéressants à exploiter. »
Maladies, santé mentale ou encore infections sexuellement transmissibles, tous ces éléments donnent des indications précieuses pour des services de renseignement étrangers qui pourraient les utiliser pour faire éventuellement pression sur une personne. « La recherche d’économies à tous crins lors d’appels d’offres peut se faire au détriment d’autres éléments importants comme la sécurité », déplore Jérôme Poirot. Un autre fonctionnaire de défense va encore plus loin concernant le choix d’Alan, « c’est le summum de l’irresponsabilité ! ».
Un point de vue loin d’être partagé par Anne Fournié. La cheffe de cabinet du directeur des services administratifs et financiers de Matignon rappelle que « ni le code de la commande publique, ni la jurisprudence ne prévoient la possibilité d’exclure un opérateur économique (...) s’engageant à respecter strictement le règlement général de protection des données ». Par ailleurs, elle souligne que les informations collectées par Alan sont chiffrées, donc illisibles pour quiconque n’a pas la clef de déchiffrement requise, selon une méthode « de nature à se protéger vis-à-vis des requêtes FISA (Cloud Act). »
Malheureusement, rien ne dit que les services étrangers ne disposeront pas, demain, de moyens techniques pour contourner ou casser ce chiffrement, si ce n’est pas déjà le cas aujourd’hui. Mais, surtout, ces arguments ne répondent en rien à la volonté politique de souveraineté technologique affichée par le président de la République. Même l’ancienne Première ministre, Élisabeth Borne, avait rappelé à tous les ministères la doctrine gouvernementale en 2023 appelée « Cloud au Centre ». Cette doctrine interdit notamment aux acteurs publics français d’utiliser un service cloud dont les données pourraient faire l’objet d’une demande d’accès d’un État tiers lorsqu’elles sont sensibles. Parmi les éléments cités : « les données qui relèvent de secrets protégés par la loi, (...) par exemple, le secret de la vie privée, le secret médical… »
Et si Alan explique remettre en cause sa politique de fournisseur d’hébergement tous les 3 ans, pour l’instant, aucun changement n’est prévu. « Notre obsession est de garantir la meilleure sécurité des données, et d’offrir le meilleur service, explique Charles Gorintin, cofondateur de la start-up. Nous cherchons la solution la plus sûre et la plus efficace, qu’elle soit française ou non. »
Dès l’année prochaine donc, les agents du gendarme de l’audiovisuel (l’Arcom) ou encore ceux de la Commission nationale de l’informatique et des libertés (CNIL) rattachés aux services de Matignon verront leurs données de santé hébergées chez Amazon.
Et Alan ne compte pas s’arrêter là. Si la société n’a pas candidaté à l’appel d’offres du ministère des Armées (trop complexe avec les soldats en postes hors des frontières) et de l’Éducation nationale (trop important à gérer pour une start-up), elle prévoit de se positionner sur celui du ministère de l’Économie.
Source : https://www.linforme.com/tech-telecom/a ... _2336.html