Texte de la question
Mme Delphine Batho interroge M. le ministre de l'économie, des finances et de la relance sur le choix fait par la banque publique d'investissement Bpifrance de confier à Amazon Web Services l'hébergement des données relatives à l'accompagnement des entreprises mises en difficulté par les conséquences de la pandémie de la covid-19. L'article 6 de la loi n° 2020-289 du 23 mars 2020 de finances rectificative pour 2020 permet à l'État, dans ce contexte de crise économique liée à la crise sanitaire, d'accorder sa garantie aux prêts consentis par les établissements de crédit et les sociétés de financement aux entreprises françaises et précise que l'État charge BpiFrance Financement SA de la mise en œuvre de ce dispositif. Pour ce faire, BpiFrance a fait le choix de s'appuyer sur la solution cloud proposée par Amazon Web Services pour y installer une base de données, ceci sans appel d'offres préalable et alors que des entreprises françaises ou européennes disposent des compétences et des infrastructures qui auraient permis de fournir le même service. Bpifrance a ainsi fait le choix de confier des informations aussi sensibles que la liste des entreprises françaises en difficulté qui ont sollicité une garantie de l'État à Amazon, alors même que la Commission européenne a ouvert à l'encontre d'Amazon une procédure formelle pour non respect des règles de la concurrence et abus de position dominante. Elle le prie de bien vouloir indiquer dans quelles circonstances précises BpiFrance a pris une telle décision, si celle-ci a fait l'objet d'une mise en concurrence et si elle a été approuvée par le Gouvernement. Elle lui demande également de bien vouloir indiquer si le Gouvernement compte enjoindre à Bpifrance d'utiliser une autre solution de stockage des données, proposée par des acteurs du numérique français ou européens.
Texte de la réponse
Bpifrance a opté, depuis 2019, pour une stratégie de stockage de ses données hybride et multi-hébergeurs, fondée sur le principe de réversibilité, qui garantit la possibilité de faire migrer ses données d'un hébergeur à l'autre, et d'éviter un potentiel « lock in ». Bpifrance a noué dans ce cadre trois contrats avec des fournisseurs de cloud : Amazon, Microsoft et OVH. La commande des pouvoirs publics pour le déploiement exclusivemeent en ligne des attestations de garanties du prêt garantie par l'État (PGE), nécessitait la mise en place en moins de 5 jours d'une plateforme devant être opérationnelle 24h /24h et 7 jours sur 7. Bpifrance a eu recours à un prestataire, Amazon Web Services, dont l'offre de service n'avait pas d'équivalent, à date, parmi les autres acteurs déjà référencés. Les données de Bpifrance hébergées chez ce prestataire ne sont pas accessibles à l'hébergeur, celles-ci étant intégralement chiffrées par une clef privée Bpifrance, elle-même stockée chez Bpifrance. Le Privacy Shield américain, qui ne concerne que les données hébergées sur le sol américain, ne s'applique, par ailleurs, pas aux données hébergées à Paris, et Amazon Web Services n'a pas le droit d'effectuer de transferts de données sans l'accord de Bpifrance. Le sujet de l'hébergement des données sur des serveurs de type cloud, qui constitue l'un des éléments essentiels de la construction d'une souveraineté numérique européenne, est, par ailleurs, suivi de près par le Gouvernement français, qui participe activement aux négociations au Conseil sur le projet de règlement européen Digital Operational Resilience Act (DORA). Ce projet de règlement, tel que proposé par la Commission européenne le 24 septembre dernier, prévoit plusieurs dispositions visant à renforcer la résilience des fournisseurs de services de technologies de l'information et de la communication, dont les fournisseurs de cloud. Le texte introduit notamment un mécanisme nouveau de supervision des fournisseurs de services de technologies de l'information et de la communication désignés comme critiques pour les entités financières de l'Union européenne. Par ailleurs, il fournira des clauses contractuelles type aux entités financières, pour la gestion de leur relation contractuelle avec les prestataires de cloud, afin de garantir le respect de l'intégrité des données et des exigences européennes en matière de cybersécurité.