Et si la certification était l’avenir du Cloud en Europe ?

En France, une association de prestataires d' "informatique en nuages" a récemment annoncé le lancement officiel de Cloud Confidence*, un label de protection des données basé sur un schéma de certification délivré par un organisme de certification accrédité.

Cloud Confidence porte non seulement sur la protection des données personnelles et de la vie privée dans le cloud computing mais aussi sur la protection des données clients, des données stratégiques de l’entreprise et du secret des affaires.   

La certification permet une régulation du marché et pallie tant l’absence de réglementation que les dysfonctionnements de la justice

Sur le vieux continent et notamment en France, la certification n’a pas rencontré jusqu’à présent le même succès que dans d’autres régions du monde. Aujourd’hui, la conjonction de multiples facteurs pourrait renverser la tendance.

D’une part, il n’y a pas à ce jour [1] en Europe de règle unique et générale ni de schéma de certification traitant de la protection du patrimoine informationnel d’une entreprise.
D’autre part, dans une économie globalisée que quelques acteurs semblent confondre avec une zone de non-droit, les régulateurs manquent cruellement de moyens pour faire respecter les règles relatives à la protection des données

Enfin l’affaire Snowden concernant la surveillance massive des informations et des communications par des agences de renseignements étrangères a ébranlée la confiance dans le Cloud computing.
Au-delà des révélations,  ce scandale a surtout révélé l’ampleur d’une surveillance affranchie de tout cadre légal et a confirmé s’il en était besoin la violation de l’accord de Safe Harbor [2].
Cet accord entre les Etats-Unis et l’Union Européenne autorise en effet le transfert de données personnelles de citoyens européens vers les entreprises situées aux Etats-Unis qui se sont engagées à respecter les principes dudit accord et notamment la confidentialité des données.
Le G29 qui regroupe les autorités de protection des données des pays européens a déjà mentionné que « l’entreprise exportatrice de données devrait obtenir la preuve que les principes de la sphère de sécurité (i.e. Safe Harbor) sont bien respectés par les entreprises américaines». En d’autres termes, adhérer aux principes de la sphère de sécurité, c’est bien,  mais insuffisant au regard de la réglementation européenne s’ils ne sont pas suivis d’effets.

En avril 2014, le groupe des autorités de protection des données s'est clairement exprimé sur le caractère illégal d'une surveillance secrète, massive et systématique par des agences de renseignement de pays tiers (cf. wp 215) .
De constats d’échec en ultimatums non suivis d’effets, la commission européenne tarde à prendre position au risque de se décrédibiliser.
Si la commission n’exclut pas une remise en cause de cet accord,  la CJUE [3] saisie le 10/07/2014 par la Haute Cour Irlandaise dans l’affaire « Max Schrems » est au centre de toutes les attentions. La Cour européenne devra se prononcer sur le fait de savoir si les autorités nationales de protection des données telles que la CNIL en France doivent se désolidariser de l’accord de Safe Harbor quand elles constatent que les entreprises américaines destinataires des données n’assurent pas un niveau de protection adéquat comme le requiert la directive européenne.

La  confiance est un « Must » [4]

Afin de créer un espace digital européen de confiance, un nouveau règlement sur la protection des données prévoyant de nouvelles obligations et un net renforcement des sanctions devrait être adopté en 2015. Le lancement d’un nouveau label tel que CLOUD CONFIDENCE donne l’opportunité aux acteurs du de l’informatique en nuages de transformer une contrainte réglementaire en force compétitif.
De telles démarches vont d’ailleurs dans le sens de l’article 39 du futur règlement aux termes duquel la  certification et les labels pourraient être un moyen permettant aux sous-traitants de démontrer leur conformité. Un texte qui vient conforter l’avis du G29[5] favorable à une certification  indépendante du cloud par un tiers de bonne réputation et susceptible de prouver que le prestataire respecte ses obligations.

Pas de protection des données sans transparence et sans sécurité juridique

 

Le Client a l’obligation de choisir un prestataire de cloud qui apporte des garanties de protection suffisantes et il doit veiller au respect de ces mesures. Outre les principaux objectifs de sécurité que sont la disponibilité, la confidentialité et l’intégrité, il convient aussi d’assurer ceux de transparence, de séparation, de possibilité d’intervention, de responsabilité et de portabilité, propres à la protection des données.

Certes l’informatique en nuage augmente certains risques comme la perte de gouvernance, la suppression non sécurisée des données, l’insuffisance des procédures d'audit ou la défaillance des solutions de séparation, qui en outre ne sont pas suffisamment pris en compte par les principes du Safe Harbor. A ce sujet, il est indispensable de prendre en compte les risques liés à la sensibilité des données et au traitement.  

Il importe de documenter les actions mises en œuvre et de strictement encadrer la relation contractuelle avec le prestataire afin que le Client puisse garder le contrôle sur les données dont il reste responsable et sur la chaine de sous-traitance et déployer les mesures techniques et organisationnelles de sécurité. C’est aussi l’occasion de clairement définir les obligations et les responsabilités de chacune des parties.

 

Rappelons d’ailleurs que «le faible poids contractuel d’un petit responsable du traitement face à d’importants prestataires de services ne doit pas lui servir de justification pour accepter des clauses et conditions contractuelles contraires à la législation sur la protection des données [6]».

 

Autant d’exigences qui doivent faire partie d’un référentiel traitant de la protection des données. Tel semble être l’ambitieux projet de Cloud Confidence.