Alors que le gouvernement soutient l’idée d’une politique de reconquête de notre souveraineté numérique, la Banque publique d’investissement a choisi de confier la gestion des données des prêts Covid garantis par l’Etat à Amazon Web Services. Réaction de Nathalie Goulet, Vice-Présidente de la Commission des Lois du Sénat.

Une affaire qui, si elle fait s’époumoner les spécialistes du numérique et les pourfendeurs de l’évasion fiscale, n’a jusqu’ici pas fait grand bruit ; quelques articles dans la presse spécialisée et quelques tweets outrés des acteurs français de l’Internet.

De quoi s’agit-il ? Afin d’aider au sauvetage de l’économie française, confrontée à la crise sanitaire, le gouvernement a développé les prêts garantis par l’État (PGE). Dans ce cadre, le ministère de l’Économie a demandé à la BPI de mettre en place un système qui permettrait de mettre en place le cautionnement des prêts qui devaient être accordés.

Il fallait donc trouver rapidement un service cloud disponible pour y installer une base de données interconnectée aux systèmes de consolidation bancaire et à ceux de Bercy.

Encore une fois au nom de l’urgence, cette opération n’a donné lieu à aucun appel d’offres, à aucune consultation des prestataires français ou européens tels qu’ OVHcloud, Scaleway ou Rapidspace.

Et c’est ainsi que, très discrètement, la BPI a offert sur un plateau à Amazon les données de toutes les entreprises en difficulté qui ont reçu un prêt garanti par l’Etat !

On croit rêver, ou plus exactement cauchemarder.

Ce gouvernement serait-il schizophrène ?

Comment expliquer autrement que le Président de la République ait déclaré vouloir défendre la souveraineté numérique de la France quand ses services, eux, multiplient les errances auprès des GAFAM ?

Enfin, errances toujours dans le même sens ; on rappellera pour mémoire.

Le retour en arrière sur le Health Data Hub, cette plateforme qui rassemblera l’ensemble des données de santé des Français, et dont l’hébergement a été confié à Microsoft. Rétropédalage effectué après une saisine du Conseil d’État et un passage devant la commission de suivi de la gestion de la crise sanitaire liée au Covid au Sénat¹.

Ainsi, la BPI héberge sur AWS (Amazon Web Services)  les données fiscales de plus d’un demi million d’euros, 500 000 entreprises françaises ayant bénéficié de ces prêts.

Le choix d’Amazon paraît surprenant alors même que la société Amazon est régulièrement attaquée en Europe et aux États-Unis par les autorités antitrust pour avoir abusé des données qu’elle possède sur les sociétés afin de renforcer sa situation hégémonique…

Pas très rassurant.

Interrogée sur ce sujet lors des questions au gouvernement, la secrétaire d’État Olivia Grégoire a assuré le Sénat de la solidité des sécurités mises en place auprès d’Amazon, ainsi que la réversibilité vers un cloud européen 2.

Permettez-moi d’en douter.

Les délais extrêmement courts ont obligé la BPI et son prestataire à utiliser les services standards d’Amazon qui n’inclue pas de garantie sur la sécurité des données ni sur la réversibilité. Ces 500 000 entreprises françaises sont bien prises en otage sur les bases propriétaires d’Amazon, et leur exposition à des juridictions extraterritoriales absolument pas garanties !

Ainsi, après les données de santé des Français avec Microsoft, c’est la santé de notre économie qui passe entre des mains étrangères. Quel magnifique cadeau en termes d’intelligence économique !

Acte 2 de ce cauchemar.

Et, pour continuer dans la foulée, pour accompagner la transition numérique et technologique des PME françaises, la BPI a lancé avec Amazon France l’Accélérateur du Numérique.

Rebelote !

Mardi 8 décembre, l’Amazon Academy a intégré l’Accélérateur du Numérique, un service de formation en ligne proposé en partenariat avec Bpifrance, jetant dans les griffes d’Amazon une multitude de petits commerçants qui s’apercevront bien vite que la situation hyper-concurrentielle d’une plateforme n’est en rien une solution à leurs difficultés.

Cette situation est inacceptable, tant du point de vue de la souveraineté que de la protection de nos données, mais cela pose évidemment la question des relations troubles entre la BPI et une entreprise connue pour son aversion pour la solidarité fiscale.

Cherchez l’erreur !

La BPI soutient une structure qui excelle dans l’évasion fiscale au détriment de sociétés françaises ou européennes.

Alors que, loi de finances après loi de finances, et nous n’en avons pas manqué cette année (4 lois de finances rectificatives et une loi de finances), nous tentons de trouver des solutions pour taxer les géants du numérique en général et Amazon en particulier, qui sont, rappelons-le, les grands bénéficiaires de la crise sanitaire des confinements.

Et nous n’avons pas ménagé nos efforts.

Tentative de définition de l’établissement stable, tâtonnements vers une fiscalité française puis européenne du numérique, rien n’y fait.

Les géants du numérique, géants apatrides et génies de l’évitement fiscal, continuent de nous narguer.

Malgré les annonces et les coups de menton, nous sommes bien impuissants à rétablir une fiscalité équitable pour ces géants devenus indispensables à notre vie.

Raison de plus pour que l’État ne contribue pas inutilement à les rendre légitimes. L’argent du contribuable ainsi englouti finira au Luxembourg ou dans un autre paradis fiscal.

Pendant la discussion budgétaire, cette année, j’ai soulevé la question des relations douteuses entre les entreprises dont l’État est actionnaire et l’évasion fiscale dans des paradis fiscaux, où elles sont nombreuses à avoir installé leurs entreprises³.

La ministre a beau dire et répéter que l’État est exemplaire, la réalité est tout autre. Renault possède 25 filiales dans les paradis fiscaux, sans parler d’ENGIE, société récemment impliquée dans des opérations au Luxembourg.

Cette promiscuité entre les décideurs français et les géants américains du numérique n’a pas fini d’interpeller. On gardera en mémoire le contrat onéreux en 2008, renégocié en 2013 et 2017, entre le ministère de la Défense et Microsoft, contrat dit « open bar ».

Aucune urgence ne peut justifier des mesures contraires à l’intérêt national quand des entreprises françaises ou européennes sont en mesure de répondre aux attentes à condition qu’on les saisisse.

Aucune urgence ne justifie de privilégier Amazon ou Microsoft et de se passer d’appels d’offres ou de placardiser des sociétés françaises ou européennes, totalement ignorées.

Attendons donc sereinement une cyberattaque ou un pillage de nos données qui feront peut-être réfléchir des dirigeants qui savent tout sur tout !

Il faut le dire et le répéter, la souveraineté de nos données consiste à protéger un patrimoine que le gouvernement dilapide jour après jour, créant des dommages irréparables et hypothéquant notre capacité à décider de notre avenir commun !

Nathalie Goulet
Vice-Présidente de la Commission des Lois du Sénat

Photo : Gil C/Shutterstock.com