La SNCF est-elle en train de servir des données de Français sur un plateau aux Américains ? C’est ce que certains acteurs du numérique français craignent. En effet, le 25 janvier dernier, ses deux applications phares Oui.sncf et L’Assistant SNCF ont fusionné pour ne former plus qu’une seule : SNCF Connect. Le but ? Réunir au même endroit tous les titres de transports, les abonnements et les informations pour organiser, réserver et modifier son trajet.

Il s’agit d’enrichir « le plus possible l’expérience client et l’aider dans toutes ses motivations de déplacements », explique Anne Pruvot, la directrice générale d’e.Voyageurs SNCF. « Nous voulons donc être un des pivots de l’écosystème du tourisme français. SNCF Connect veut faciliter le tourisme des Français et en France ». On l’aura compris, ce nouvel outil est un enjeu majeur pour la SNCF.

Une menace pour les données des Français ?

Oui mais voilà, SNCF Connect aura aussi des conséquences importantes pour les clients de la SNCF.  Sur son site, Emmanuel Mawet, directeur de projet dans le numérique, interpelle dans une lettre ouverte Jean-Pierre Farandou, le PDG de la SNCF : « Vous entreprise française, vous avez fait le choix en toute connaissance de cause de basculer l’ensemble de vos infrastructures cloud chez AWS (Amazon), qui n’est pas compatible avec le Règlement Général de Protection des Données (RGPD), conséquence de l’arrêt Schremm2 de la Cour de Justice de l’Union Européenne (CJUE). »

Des données clients de la SNCF sont désormais stockées sur des serveurs d’Amazon, entreprise américaine. Or Amazon est soumis à l’extraterritorialité du droit américain, quand bien même ses serveurs sont localisés en Europe.

Que ce soit les données personnelles, les données bancaires ou de mobilité des citoyens français et européens utilisant les services de SNCF Connect, « elles sont désormais à la merci de la justice américaine ou de leurs services de renseignements », explique Emmanuel Mawet.

La SNCF estime avoir fait le bon choix

Interrogée, la SNCF se défend et apporte quelques précisions. Tout d’abord, pour elle, ce choix de fonctionnement 100% cloud permet une optimisation des mises en service grâce au cloud, une meilleure résilience (notamment lors des pics de connexion), mais aussi d’innover et d’expérimenter plus facilement.

En choisissant Amazon, elle a «fait le choix du partenaire qui répondait le mieux à nos attentes compte tenu de notre taille et nos enjeux en matière de fiabilité, de robustesse, de qualité de service et d’avancée technologique, nous indique la SNCF. Nous sommes attachés à la définition de cloud de confiance tel que défini par le gouvernement et notre partenaire répond à nos standards élevés en matière de sécurité et de protection des données ».

Le groupe SNCF compte aujourd’hui plus de 35 000 serveurs, pour couvrir l’entièreté des services numériques. « Les 7 000 serveurs de SNCF Connect & Tech concernés par la migration vers Amazon ne constituent donc qu’une fraction de l’infrastructure du groupe », minimise la direction. « En tant qu’entreprise française de service public, le cloud de confiance (tel que défini par le gouvernement en mai 2021) fait partie intégrante de la vision cible du socle technologique du groupe SNCF. Le groupe SNCF est engagé dans les travaux menés par l’Etat à ce sujet et en lien permanent avec le Gouvernement. »

L’armée prend la question au sérieux

La souveraineté numérique est un sujet capital dans notre société de plus en plus connectée. On l’a encore vu il y a quelques jours, quand Hervé Morin, le conseiller en charge des questions d’innovation et de souveraineté auprès de Valérie Pécresse, a dénoncé « l’immense défaillance d’Emmanuel Macron » dans le choix français de « confier la totalité de nos données de santé à Microsoft » dans le Health Data Hub. L’élu normand a alors appelé à ne plus « dépendre uniquement des Gafa ».

Il y a quelques semaines, l’Armée française a publié un livre intitulé « Ces guerres qui nous attendent » rédigé par sa Red Team, une équipe de dix auteurs qui imaginent pour elle les pires scénarios qui pourraient frapper la France d’ici à 2060. « Les GAFAM*, les BATX**, puis les NATU*** se développent à compter de 2008 mais les enjeux géopolitiques autour de la souveraineté numérique et les manipulations de données personnelles à visée électorale n’émergent que dix ans plus tard dans le débat public, explique le livre. L’Europe échoue malheureusement à rassembler sa centaine d’opérateurs de télécommunications et à constituer son propre cloud. Dès les années 2020, les ingérences quotidiennes, tant étrangères qu’intérieures, perturbent le fonctionnement de toutes les institutions, des hôpitaux aux mairies, créant de fortes anxiétés urbaines. »

* Google, Apple, Facebook, Amazon et Microsoft
** Baidu, Alibaba, Tencent et Xiaomi
*** Netflix, Airbnb, Tesla et Uber