STEPHANE DE SAKUTIN / AFP
Paris, France | AFP | jeudi 01/12/2021 - L'intervention du géant chinois du commerce en ligne Alibaba dans les JO de Paris 2024 en tant que "top" sponsor du CIO fait l'objet d'une bagarre en coulisses visant à ce qu'il ne puisse pas héberger et accéder aux données sensibles.
"Il y a bagarre", a reconnu mi-octobre Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), bagarre qu'il a qualifié de "compliquée". "On se bat et on explique que pour des raisons de sécurité, y compris de données personnelles, ce n'est pas possible", a-t-il ajouté sans vouloir entrer dans plus de détails.
Alibaba, symbole de la réussite de la Chine dans l'économie numérique mais actuellement dans le viseur des autorités chinoises, fait partie de la quinzaine de "top sponsors" du Comité international olympique (CIO). Le partenariat remonte à 2018, pour les JO d'hiver de PyeongChang en Corée.
La perspective qu'il héberge plusieurs applications névralgiques dans son cloud fait tousser dans le monde feutré de la sécurité informatique français, qui brandit la souveraineté numérique en étendard.
Qu'est-ce qui pose problème exactement ?
Selon des sources ayant connaissance du dossier, il est par exemple prévu que le fichier des personnes accréditées, qui comprend des dizaines de milliers de coordonnées, soit abrité par le cloud Alibaba, y compris des données des autorités, comme celles de policiers par exemple.
Difficile à avaler pour le ministère de l'Intérieur.
Mi-septembre, lors d'une table ronde organisée par le cercle européen de la sécurité des systèmes d'information, le préfet coordonnateur pour la sécurité des Jeux olympiques et paralympiques de 2024, Ziad Khouri, ne s'était pas étendu sur le sujet mais avait parlé "d'échanges dans les prochains jours".
"C'est un sujet assez compliqué. Il va falloir l'approfondir très rapidement avec le monde olympique, pour voir un peu comment on fait en fonction de toutes les contraintes", avait ajouté ce préfet qui dépend du ministère de l'Intérieur.
Depuis, silence radio. Rien ne filtre de ces "échanges", ni de l'ampleur de la "bagarre" évoquée un mois plus tard par l'Anssi.
"Oui il y a bien un problème Alibaba", reconnaît un conseiller ministériel, mais l'Etat rechigne à en dire plus. Le secrétariat d'Etat au numérique renvoie à la délégation interministérielle aux JO qui elle ne veut pas en parler pour l'instant...
Interrogé par l'AFP, le comité d'organisation des JO de Paris 2024 explique pudiquement que "s'agissant de la collecte, du traitement et de l'hébergement des données des accrédités, les travaux sont toujours en cours et font l'objet de discussions spécifiques avec les autorités".
'Pressions étatiques'
Pour le reste, Alibaba "héberge les applications du Cojo, dont son site Internet". "La billetterie des Jeux, quant à elle, sera opérée par un spécialiste européen ayant remporté l'appel d'offre public", a aussi indiqué le Cojo.
Pour Alain Bouillé, délégué général du Cesin, qui rassemble des responsables de sécurité informatique, "les autorités sont plus obnubilées par le nombre de cyber-attaques potentielles que par le sponsoring d'Alibaba". Mais, il met en garde: "Avec les Américains et les +Gafam+, on arrive à faire des choses, mais avec les Chinois il n'y a pas d'accord", relève-t-il. "Si on donne des données à Alibaba, on sait que le gouvernement chinois peut y avoir accès", résume-t-il.
Certes, le COJO affirme que toutes les données seront protégées par le RGPD (règlement général sur la protection des données) et que "toutes les données seront hébergées en Europe".
Il vient même de nommer un "Data Protection Officer (DPO)" pour veiller au bon respect de cette réglementation, et se dit "intransigeant" sur le sujet.
Mais est-ce que cela sera suffisant?
"Le RGPD ne garantit pas la souveraineté des données", réagit M. Bouillé.
Le groupe français Atos, lui aussi sponsor du CIO, "peut mettre à disposition des outils", explique un connaisseur du secteur.
"On peut imaginer que tout ce qui sera stratégique puisse être du ressort d'Atos", abonde Alain Bouillé. Ce sujet à ramification géopolitique n'est pas encore tranché. La Commission nationale de l'informatique et des libertés (CNIL) n'a pas été saisie, a-t-elle répondu à l'AFP.
Interrogé par l'AFP, Alibaba n'a pas souhaité répondre.
Comme l'avait expliqué mi-septembre Thomas Collomb, directeur délégué sécurité du Cojo: "C'est très compliqué pour un comité d'organisation d'écarter un partenaire du CIO", "sauf à ce qu'il y ait des pressions étatiques très fortes".
"Il y a bagarre", a reconnu mi-octobre Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), bagarre qu'il a qualifié de "compliquée". "On se bat et on explique que pour des raisons de sécurité, y compris de données personnelles, ce n'est pas possible", a-t-il ajouté sans vouloir entrer dans plus de détails.
Alibaba, symbole de la réussite de la Chine dans l'économie numérique mais actuellement dans le viseur des autorités chinoises, fait partie de la quinzaine de "top sponsors" du Comité international olympique (CIO). Le partenariat remonte à 2018, pour les JO d'hiver de PyeongChang en Corée.
La perspective qu'il héberge plusieurs applications névralgiques dans son cloud fait tousser dans le monde feutré de la sécurité informatique français, qui brandit la souveraineté numérique en étendard.
Qu'est-ce qui pose problème exactement ?
Selon des sources ayant connaissance du dossier, il est par exemple prévu que le fichier des personnes accréditées, qui comprend des dizaines de milliers de coordonnées, soit abrité par le cloud Alibaba, y compris des données des autorités, comme celles de policiers par exemple.
Difficile à avaler pour le ministère de l'Intérieur.
Mi-septembre, lors d'une table ronde organisée par le cercle européen de la sécurité des systèmes d'information, le préfet coordonnateur pour la sécurité des Jeux olympiques et paralympiques de 2024, Ziad Khouri, ne s'était pas étendu sur le sujet mais avait parlé "d'échanges dans les prochains jours".
"C'est un sujet assez compliqué. Il va falloir l'approfondir très rapidement avec le monde olympique, pour voir un peu comment on fait en fonction de toutes les contraintes", avait ajouté ce préfet qui dépend du ministère de l'Intérieur.
Depuis, silence radio. Rien ne filtre de ces "échanges", ni de l'ampleur de la "bagarre" évoquée un mois plus tard par l'Anssi.
"Oui il y a bien un problème Alibaba", reconnaît un conseiller ministériel, mais l'Etat rechigne à en dire plus. Le secrétariat d'Etat au numérique renvoie à la délégation interministérielle aux JO qui elle ne veut pas en parler pour l'instant...
Interrogé par l'AFP, le comité d'organisation des JO de Paris 2024 explique pudiquement que "s'agissant de la collecte, du traitement et de l'hébergement des données des accrédités, les travaux sont toujours en cours et font l'objet de discussions spécifiques avec les autorités".
'Pressions étatiques'
Pour le reste, Alibaba "héberge les applications du Cojo, dont son site Internet". "La billetterie des Jeux, quant à elle, sera opérée par un spécialiste européen ayant remporté l'appel d'offre public", a aussi indiqué le Cojo.
Pour Alain Bouillé, délégué général du Cesin, qui rassemble des responsables de sécurité informatique, "les autorités sont plus obnubilées par le nombre de cyber-attaques potentielles que par le sponsoring d'Alibaba". Mais, il met en garde: "Avec les Américains et les +Gafam+, on arrive à faire des choses, mais avec les Chinois il n'y a pas d'accord", relève-t-il. "Si on donne des données à Alibaba, on sait que le gouvernement chinois peut y avoir accès", résume-t-il.
Certes, le COJO affirme que toutes les données seront protégées par le RGPD (règlement général sur la protection des données) et que "toutes les données seront hébergées en Europe".
Il vient même de nommer un "Data Protection Officer (DPO)" pour veiller au bon respect de cette réglementation, et se dit "intransigeant" sur le sujet.
Mais est-ce que cela sera suffisant?
"Le RGPD ne garantit pas la souveraineté des données", réagit M. Bouillé.
Le groupe français Atos, lui aussi sponsor du CIO, "peut mettre à disposition des outils", explique un connaisseur du secteur.
"On peut imaginer que tout ce qui sera stratégique puisse être du ressort d'Atos", abonde Alain Bouillé. Ce sujet à ramification géopolitique n'est pas encore tranché. La Commission nationale de l'informatique et des libertés (CNIL) n'a pas été saisie, a-t-elle répondu à l'AFP.
Interrogé par l'AFP, Alibaba n'a pas souhaité répondre.
Comme l'avait expliqué mi-septembre Thomas Collomb, directeur délégué sécurité du Cojo: "C'est très compliqué pour un comité d'organisation d'écarter un partenaire du CIO", "sauf à ce qu'il y ait des pressions étatiques très fortes".
