Lancement par Amazon Web Services d’une infrastructure de cloud souverain exclusivement dédiée au marché européen. Basé initialement en Allemagne , ce projet bénéficie d’un investissement massif de 7,8 milliards d’euros afin de garantir une autonomie technique et juridique totale vis-à-vis des États-Unis. Pour rassurer les secteurs sensibles comme la défense ou la finance, la gestion est confiée à des entités locales dirigées par des citoyens européens. Bien que des responsables politiques saluent cette avancée vers la souveraineté numérique , certains observateurs restent sceptiques quant à la réelle étanchéité du système face aux lois extraterritoriales américaines. Cette initiative vise à offrir la puissance technologique d’un géant mondial tout en respectant les normes de confidentialité strictes de l’Union européenne.
C’est purement marketing.
Bien qu’Amazon, lance un cloud en Europe, ça ne reste pas moins une entreprise américaine et toutes entreprises, dont la maison mère, est américaine, est soumise au Cloud Act.
Le CLOUD Act permet aux autorités américaines de contraindre une entreprise américaine comme AWS à fournir des données qu’elle contrôle, même si ces données sont stockées hors des États-Unis.
De ce fait, si les autorités américaines le souhaitent, elles peuvent exiger l’accès à certaines données ciblées, elles peuvent Imposer une clause de confidentialité (le client peut ne jamais être informé).
Effectivement, sur le plan technique et juridique, voici pourquoi l’argument de la « souveraineté » d’Amazon reste une fiction face au droit américain :
1. Le « Contrôle » prime sur la « Géographie »
Le marketing d’Amazon insiste sur le fait que les données restent sur le sol européen (en Allemagne pour commencer). Or, le CLOUD Act a été précisément conçu pour ignorer la géographie.
- Le critère retenu par la justice américaine est la nationalité de la société mère.
- Puisqu’AWS Europe est une filiale à 100% d’Amazon.com Inc., cette dernière a le « contrôle » légal sur les données. Pour un juge de New York ou de Washington, le fait que le disque dur soit à Francfort est hors sujet.
2. L’illusion du personnel européen
Amazon met en avant que seuls des employés résidant dans l’UE géreront ce cloud.
- La réalité : Même si l’ingénieur qui appuie sur le bouton est Allemand ou Français, il travaille pour une structure dont la chaîne de commandement remonte à Seattle.
- Si le siège américain reçoit une injonction secrète (avec gag order), il a les moyens techniques et hiérarchiques d’ordonner l’accès aux données ou de modifier les systèmes de gestion sans que le personnel local ne puisse s’y opposer légalement face au droit US.
3. Le problème du chiffrement (Encryption)
Amazon propose souvent que les clients gardent leurs propres clés de chiffrement.
- C’est la seule protection réelle, mais elle est limitée : pour que les données soient exploitables (indexation, recherche, sauvegarde, calcul), elles doivent souvent être déchiffrées en mémoire vive sur les serveurs d’Amazon. À ce moment précis, elles deviennent vulnérables à une interception logicielle ordonnée par les autorités américaines.
4. Pourquoi parlent-ils de souveraineté ?
Il s’agit d’une souveraineté de confort :
- Elle satisfait les régulateurs européens sur le plan du RGPD (protection contre le transfert de données à des fins publicitaires ou commerciales).
- Mais elle échoue totalement sur le plan de la raison d’État (protection contre l’espionnage économique ou judiciaire via le CLOUD Act).
En résumé : Pour une entreprise qui craint l’espionnage industriel ou qui traite des données hautement stratégiques, ce cloud n’offre aucune garantie supplémentaire par rapport au cloud AWS standard. La « muraille de Chine » qu’Amazon prétend construire entre ses filiales européennes et sa maison-mère américaine est une cloison de papier face à la loi fédérale des États-Unis.
C’est pour cette raison que des experts qualifient souvent ces offres de « Cloud de confiance de façade ». Pour avoir une réelle indépendance, il faudrait que l’infrastructure appartienne à une entité dont le capital et la direction sont 100% européens, sans aucun lien de subordination avec une entreprise américaine.