Paris 2024 : inquiétudes sur le stockage de données par le géant chinois Alibaba, sponsor du CIO
Alibaba, symbole de la réussite de la Chine dans l'économie numérique, est actuellement dans le viseur des autorités locales.
L'intervention du géant chinois du commerce en ligne Alibaba dans les Jeux Olympiques de Paris 2024 en tant que "top" sponsor du CIO fait l'objet d'une bagarre en coulisses visant à ce qu'il ne puisse pas héberger et accéder aux données sensibles.
"Il y a bagarre", a reconnu mi-octobre Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi). "On se bat et on explique que pour des raisons de sécurité, y compris de données personnelles, ce n'est pas possible", a-t-il ajouté sans vouloir entrer dans plus de détails.
Alibaba, symbole de la réussite de la Chine dans l'économie numérique mais actuellement dans le viseur des autorités chinoises, fait partie de la quinzaine de "top sponsors" du Comité international olympique (CIO). Le partenariat remonte à 2018, pour les JO d'hiver de PyeongChang en Corée. La perspective qu'il héberge plusieurs applications névralgiques dans son cloud fait tousser dans le monde feutré de la sécurité informatique français, qui brandit la souveraineté numérique en étendard. Le fichier des personnes accréditées, qui comprend des dizaines de milliers de coordonnées, avec des données des autorités, comme celles de policiers par exemple, est un exemple de données sensibles.
Des discussions en cours
Mi-septembre, lors d'une table ronde organisée par le cercle européen de la sécurité des systèmes d'information, le préfet coordonnateur pour la sécurité des Jeux olympiques et paralympiques de 2024, Ziad Khouri, ne s'était pas étendu sur le sujet mais avait parlé "d'échanges dans les prochains jours"."C'est un sujet assez compliqué. Il va falloir l'approfondir très rapidement avec le monde olympique, pour voir un peu comment on fait en fonction de toutes les contraintes", avait ajouté ce préfet qui dépend du ministère de l'Intérieur.
Depuis, silence radio. Rien ne filtre de ces "échanges", ni de l'ampleur de la "bagarre" évoquée un mois plus tard par l'Anssi. "Oui il y a bien un problème Alibaba", reconnaît un conseiller ministériel, mais l'Etat rechigne à en dire plus. Le secrétariat d'Etat au numérique renvoie à la délégation interministérielle aux JO qui elle ne veut pas en parler pour l'instant...
Interrogé par l'AFP, le comité d'organisation des JO de Paris 2024 explique pudiquement que "s'agissant de la collecte, du traitement et de l'hébergement des données des accrédités, les travaux sont toujours en cours et font l'objet de discussions spécifiques avec les autorités". Pour le reste, Alibaba "héberge les applications du Cojo, dont son site Internet". "La billetterie des Jeux, quant à elle, sera opérée par un spécialiste européen ayant remporté l'appel d'offre public", a aussi indiqué le Cojo.
"Si on donne des données à Alibaba, on sait que le gouvernement chinois peut y avoir accès"
Pour Alain Bouillé, délégué général du Cesin, qui rassemble des responsables de sécurité informatique, "les autorités sont plus obnubilées par le nombre de cyber-attaques potentielles que par le sponsoring d'Alibaba". Mais, il met en garde: "Avec les Américains et les 'Gafam', on arrive à faire des choses, mais avec les Chinois il n'y a pas d'accord", relève-t-il. "Si on donne des données à Alibaba, on sait que le gouvernement chinois peut y avoir accès", résume-t-il.
Certes, le COJO affirme que toutes les données seront protégées par le RGPD (règlement général sur la protection des données) et que "toutes les données seront hébergées en Europe". Il vient même de nommer un "Data Protection Officer (DPO)" pour veiller au bon respect de cette réglementation, et se dit "intransigeant" sur le sujet. "Le RGPD ne garantit pas la souveraineté des données", nuance Alain Bouillé.
Le groupe français Atos, lui aussi sponsor du CIO, peut être une solution. "On peut imaginer que tout ce qui sera stratégique puisse être du ressort d'Atos", abonde Alain Bouillé. Ce sujet à ramification géopolitique n'est pas encore tranché. La Commission nationale de l'informatique et des libertés (CNIL) n'a pas été saisie, a-t-elle répondu à l'AFP.
Comme l'avait expliqué mi-septembre Thomas Collomb, directeur délégué sécurité du Cojo: "C'est très compliqué pour un comité d'organisation d'écarter un partenaire du CIO", "sauf à ce qu'il y ait des pressions étatiques très fortes".
Franceinfo - franceinfo - 2 décembre 2021 (
Cliquer ici pour voir l'article original
)