Et si la certification était l’avenir du Cloud en Europe ?
En France, une association de prestataires d' "informatique en nuages" a récemment annoncé le lancement officiel de Cloud Confidence*, un label de protection des données basé sur un schéma de certification délivré par un organisme de certification accrédité.
Cloud Confidence porte non seulement sur la protection des données personnelles et de la vie privée dans le cloud computing mais aussi sur la protection des données clients, des données stratégiques de l’entreprise et du secret des affaires.
La certification permet une régulation du marché et pallie tant l’absence de réglementation que les dysfonctionnements de la justice
Sur le vieux continent et notamment en France, la certification n’a pas rencontré jusqu’à présent le même succès que dans d’autres régions du monde. Aujourd’hui, la conjonction de multiples facteurs pourrait renverser la tendance.
D’une
part, il n’y a pas à ce jour [1]
en Europe de règle unique et générale ni de schéma de certification traitant de
la protection du patrimoine informationnel d’une entreprise.
D’autre part, dans une économie globalisée que quelques
acteurs semblent confondre avec une zone de non-droit, les régulateurs manquent
cruellement de moyens pour faire respecter les règles relatives à la protection
des données
Enfin l’affaire Snowden concernant la surveillance massive des informations
et des communications par des agences de renseignements étrangères a ébranlée
la confiance dans le Cloud computing.
Au-delà des révélations, ce scandale a surtout révélé l’ampleur d’une
surveillance affranchie de tout cadre légal et a confirmé s’il en était besoin
la violation de l’accord de Safe Harbor [2].
Cet accord entre les
Etats-Unis et l’Union Européenne autorise en effet le transfert de données
personnelles de citoyens européens vers les entreprises situées aux Etats-Unis
qui se sont engagées à respecter les principes dudit accord et notamment la
confidentialité des données.
Le G29
qui regroupe les autorités de protection des données des pays européens a déjà
mentionné que « l’entreprise exportatrice de données devrait obtenir la
preuve que les principes de la sphère de sécurité (i.e. Safe Harbor) sont bien
respectés par les entreprises américaines». En d’autres termes, adhérer
aux principes de la sphère de sécurité, c’est bien, mais insuffisant au regard de la
réglementation européenne s’ils ne sont pas suivis d’effets.
En avril 2014, le groupe des autorités de protection des données s'est clairement exprimé sur le caractère illégal d'une surveillance secrète, massive et systématique par des agences de renseignement de pays tiers (cf. wp 215) .
De
constats d’échec en ultimatums non suivis d’effets, la commission européenne
tarde à prendre position au risque de se décrédibiliser.
Si la commission n’exclut pas
une remise en cause de cet accord, la
CJUE [3] saisie le 10/07/2014 par la
Haute Cour Irlandaise dans l’affaire « Max Schrems » est au centre de
toutes les attentions. La Cour européenne devra se prononcer sur le fait de
savoir si les autorités nationales de protection des données telles que la CNIL
en France doivent se désolidariser de l’accord de Safe Harbor quand elles
constatent que les entreprises américaines destinataires des données n’assurent
pas un niveau de protection adéquat comme le requiert la directive européenne.
La confiance est un « Must » [4]
Afin de créer
un espace digital européen de confiance, un nouveau règlement sur la protection
des données prévoyant de nouvelles obligations et un net renforcement des
sanctions devrait être adopté en 2015. Le lancement
d’un nouveau label tel que CLOUD CONFIDENCE donne l’opportunité aux acteurs du
de l’informatique en nuages de transformer une contrainte réglementaire en
force compétitif.
De telles
démarches vont d’ailleurs dans le sens de l’article 39 du futur règlement aux termes duquel la certification et les labels pourraient être
un moyen permettant aux sous-traitants de démontrer leur conformité. Un texte qui vient conforter l’avis du
G29[5]
favorable à une
certification indépendante du cloud par
un tiers de bonne réputation et susceptible de prouver que le prestataire
respecte ses obligations.
Pas de protection des données sans transparence et sans sécurité juridique
Le Client a l’obligation de choisir un prestataire de cloud qui apporte des garanties de protection suffisantes et il doit veiller au respect de ces mesures. Outre les principaux objectifs de sécurité que sont la disponibilité, la confidentialité et l’intégrité, il convient aussi d’assurer ceux de transparence, de séparation, de possibilité d’intervention, de responsabilité et de portabilité, propres à la protection des données.
Certes l’informatique en nuage augmente certains risques comme la perte de gouvernance, la suppression non sécurisée des données, l’insuffisance des procédures d'audit ou la défaillance des solutions de séparation, qui en outre ne sont pas suffisamment pris en compte par les principes du Safe Harbor. A ce sujet, il est indispensable de prendre en compte les risques liés à la sensibilité des données et au traitement.Il importe de documenter les actions mises en œuvre et de strictement encadrer la relation contractuelle avec le prestataire afin que le Client puisse garder le contrôle sur les données dont il reste responsable et sur la chaine de sous-traitance et déployer les mesures techniques et organisationnelles de sécurité. C’est aussi l’occasion de clairement définir les obligations et les responsabilités de chacune des parties.
Rappelons d’ailleurs que «le faible poids contractuel d’un petit responsable du traitement face à d’importants prestataires de services ne doit pas lui servir de justification pour accepter des clauses et conditions contractuelles contraires à la législation sur la protection des données [6]».
Autant d’exigences qui doivent faire partie d’un référentiel traitant de la protection des données. Tel semble être l’ambitieux projet de Cloud Confidence.
[1] Il existe une « proposition de loi du 16 juillet 2014 relative à la protection du secret des affaires »
[2] Traduit par « sphère de sécurité ».
[3] Cour de Justice de l’Union Européenne.
[4] « Trust is a must » Andrus Ansip http://www.euractiv.com/sections/innovation-enterprise/ansip-threatens-suspend-safe-harbour-data-agreement-us-308962
[5] Groupe des autorités de protection des données des pays membres de l’UE