Eurocloud dénonce les risques de l'amendement 73 rect à la PPL Narcotrafic pour la sécurité du Cloud Computing

Paris, le 3 mars 2025 – Eurocloud, association représentant les fournisseurs de services de Cloud Computing, exprime sa vive inquiétude concernant l'amendement 73 rect à la proposition de loi « Sortir la France du piège du narcotrafic », adopté par le Sénat. Si l'objectif de lutte contre le narcotrafic est légitime, cet amendement, qui impose des obligations aux fournisseurs de services de cryptologie, y compris les services de cloud, présente des risques majeurs pour la sécurité des données et la compétitivité du secteur numérique français.

L'amendement 73 rect s’appliquerait à tous les services de Cloud

L'amendement 73 rect, qui crée l’article 8 ter de la PPL Narcotrafic, en modifiant l'article L. 871-1 du code de la sécurité intérieure, oblige en effet les fournisseurs de services de cryptologie à mettre en œuvre les mesures techniques nécessaires pour permettre aux services de renseignement d'accéder au contenu intelligible des données. Cette obligation supprime la possibilité pour les entreprises d'invoquer des impossibilités techniques ou contractuelles pour se soustraire à ces demandes.
Or les services de cloud utilisent la cryptologie pour sécuriser aussi bien les données au repos, en transit et en cours de traitement. Les services de stockage cloud chiffrent ainsi les données sur les serveurs et les disques pour prévenir le vol ou la perte. Les bases de données cloud intègrent le chiffrement des colonnes et la tokenisation pour sécuriser les informations sensibles. La gestion des clés repose sur des serveurs dédiés et des modules HSM pour protéger les clés cryptographiques. Enfin, de nombreuses applications cloud utilisent des solutions de chiffrement côté client et appliquent la cryptographie tout au long du cycle de vie des données.

Les portes dérobées : une menace pour la sécurité de tous

Eurocloud rappelle que la création de "portes dérobées" dans les systèmes de chiffrement affaiblit la sécurité de l'ensemble du service, et ce dont pourraient profiter des acteurs mal intentionnés. Comme le souligne régulièrement Guillaume Poupard, ancien patron de l'ANSSI, il est techniquement impossible de garantir que ces dispositifs ne bénéficieront qu'aux personnes autorisées, comme l’illustre le cyber-espionnage réalisé par le groupe Salt Typhoon. L'expérience montre enfin que les criminels n'hésitent pas à développer leurs propres outils de communication chiffrée, rendant ainsi inefficace l'obligation de créer des portes dérobées dans les messageries légitimes. En affaiblissant la sécurité des services de Cloud Computing, l'amendement 73 rect risque de se retourner contre l'objectif visé, en offrant aux criminels des opportunités d'exploiter les failles de sécurité créées.

Eurocloud appelle à la suppression de l'article 8 ter

Eurocloud demande instamment aux parlementaires de supprimer l'article 8 ter tel qu'adopté par le Sénat et appelle à une concertation approfondie avec les acteurs du secteur numérique afin de trouver des solutions efficaces pour lutter contre le narcotrafic sans compromettre la sécurité des données et la compétitivité de l'industrie française du Cloud Computing.