Cloud : les gouvernements ont la main mise sur vos données !

Il est essentiel de choisir son fournisseur de cloud en étant bien informé de la juridiction dont il dépend, car les instances gouvernementales peuvent, selon les législations, avoir accès à vos données ou celles de votre client.

La situation dans ce cas pourrait se résumer par l’existence d’une faille dans la protection des données sans aucune brèche dans la sécurité ! Il faut donc être conscient des risques auxquels on s’expose.

Patriot Act contre protection des données :  l’Amérique contre Europe

Avec la loi américaine – très controversée - Patriot Act votée en 2001 suite aux attentats du 11 septembre, les autorités américaines ont accès aux données des entreprises partout dans le monde, pourvu que ses fournisseurs cloud soient américains ou qu’ils aient des intérêts économiques aux USA. Cela leur permet d’obtenir des données relatives à des citoyens européens en contournement de la juridiction européenne sur la vie privée, adoptée dans 27 pays et qui interdit la divulgation de renseignements personnels sans le consentement éclairé du propriétaire.  
L’erreur la plus répandue est ainsi de croire que les données doivent être stockées sur des serveurs physiquement présents sur le territoire américain pour être concernés par le Patriot Act.
Malgré les lois européennes de protection des données, le gouvernement américain s’octroie bel et bien le droit d’accéder à vos informations grâce à cette juridiction extra-territoriale. Bien entendu, ce cas de figure ne s’applique qu’en cas de suspicion, mais cela est vraiment problématique pour les grands acteurs du monde du cloud américains qui sont ainsi dans l’incapacité de garantir à leurs clients que leurs données stockées en Europe ne franchissent l’Atlantique. 

Seule la technologie peut protéger la confidentialité des données

Vous savez désormais que si votre choix se porte sur un fournisseur de cloud basé en Europe et n’ayant pas d’intérêts aux Etats-Unis, le Patriot Act ne s’applique pas et que vos données sont en sécurité. Toutefois, cela n’est pas aussi simple. Il suffit de jeter un œil sur le livre blanc publié par Hogan Lovells sur « l’accès aux données par le gouvernement ». Ce cabinet spécialiste de la protection et de la confidentialité des données a examiné la manière dont les autorités gouvernementales accèdent aux données cloud dans 10 pays (dont la France). Dans ce document,  Hogan Lovells démystifie l’hypothèse erronée selon laquelle le gouvernement américain est le seul à s’autoriser un droit d’accès aux données pour des questions de sécurité nationale ou dans le cadre de l’application de la loi. D’après lui, Il est faux de croire que l'accès aux données dans le cloud par le gouvernement américain est supérieur à celui des autres gouvernements.

Pour conclure, vos informations sont sujettes à être divulguées aux gouvernements. Ainsi, quand vous choisissez votre fournisseur de cloud, il est nécessaire de retenir un prestataire dépendant d’une législation que vous maîtrisez.

Mais si vous vous souciez réellement de la confidentialité de vos informations, la règle première est de se concentrer sur les technologies de sécurité. Le cryptage des données est, en particulier, l’un des moyens de se protéger contre la diffusion non souhaitée de votre information. Cela implique d’orienter son choix en fonction des technologies utilisées par le fournisseur cloud (applications, systèmes de fichiers, systèmes d’authentification… ), ce qui représente un coût non négligeable que ce soit côté implémentation ou gestion.