Philippe Latombe n'en est pas à sa première sortie contre les clouds américains. Le député Modem a déjà pris position contre la pratique des crédits gratuits des fournisseurs étasuniens. "C'est la première piqûre d'héroïne. Via les crédits gratuits, c'est tellement simple d'utiliser leurs solutions propriétaires et tellement peu onéreux que les jeunes pousses vont avoir tendance à les privilégier au risque ensuite d'être inféodées à ces acteurs", expliquait-il au JDN en février dernier (lire l'article Dans le cloud, le piège des crédits gratuits). Cette fois, Philippe Latombe s'attaque frontalement à S3NS, le projet de cloud de confiance dévoilé le 30 juin 2022 par Google et Thales.
"D'un point de vue juridique, est-on sûr qu'une entité commune Thales-Google permettra d'échapper aux lois extraterritoriales, et en particulier au Cloud Act ?
Le député a déposé ce mercredi une question à l'Assemblée nationale à destination du gouvernement. Objectif : obtenir une réaction de Bruno Le Maire ou de Jean-Noël Barrot. Il a également envoyé une lettre à Marie-Laure Denis, présidente de la Commission nationale informatique et libertés (Cnil) ainsi qu'à Guillaume Poupard, directeur de l'Agence nationale de la sécurité des systèmes d'information (Anssi). Un courrier, publié dans son intégralité ci-dessous, dans le quel Philippe Latombe détaille son argumentaire.
"D'un point de vue juridique, est-on sûr qu'une entité commune Thales-Google permettra d'échapper aux lois extraterritoriales, et en particulier au Cloud Act ?", se demande le député dans cette lettre. "Il y a en effet le risque d'une sous-évaluation de la réalité du partage des parts sociales entre Google et Thales. Or, si Google a le contrôle de fait de S3NS, celui-ci sera soumis au Cloud Act." Rappelons que Google doit être présent au capital de la nouvelle société à hauteur de 24%.
Une structure peu claire
Autre question mise sur la table : la capacité réelle de Thales à accéder au code source de la plateforme de Google à des fins d'audit. "Il a été évoqué trois jours de décalage entre l'offre publique officielle de Google Cloud et celle de S3NS, pour permettre à Thales d'effectuer les contrôles de sécurité. Or, ce délai sera très insuffisant si Google envoie d'un seul coup l'équivalent de plusieurs mois de travail de centaines d'ingénieurs", note Philippe Latombe. Le député pose également la question de la protection contre les backdoors qui pourraient permettre aux services américains de bénéficier d'un accès détourné aux données hébergées.
Philippe Latombe demande à l'Anssi et à la Cnil d'effectuer une analyse approfondie de la capacité juridique et technique de S3NS à protéger ses clients contre le Cloud Act. Une réglementation qui, rappelons-le, permet aux USA d'accéder à des données hébergées par tout acteur américain, quelle que soit leur localisation, sur simple demande des autorités fédérales de contrôle.
