Le Cloud computing à l’ère post Snowden : et après ?

Alors que l’affaire Snowden révélait il y a peu l’ampleur de la surveillance massive opérée par les États-Unis sur la base de leur propre législation, une récente décision d’un juge américain vient rappeler que les prestataires de Cloud américain restent soumis à la loi des Etats-Unis, et ce quel que soit le lieu d’implantation de leurs serveurs.

Le 25 avril 2014, le juge fédéral de New York James Francis C. IV a en effet notifié une injonction à Microsoft l’obligeant à livrer aux autorités américaines des données confiées par ses clients et stockées dans un data center situé en Irlande.
Rappelons qu’en choisissant un service Cloud, le client confie à son prestataire le soin de traiter et notamment d’héberger ses données pour son compte. Le Cloud lui permet de bénéficier de solutions informatiques virtualisées de traitement de données réparties dans plusieurs data center.
Or, au regard de la loi de protection des données personnelles, le Client reste responsable de la conformité du traitement des données [1]. Toute violation des dispositions de la loi par le prestataire de Cloud est donc susceptible d’engager la responsabilité du Client qui ne se serait pas assuré au préalable du respect des règles de protection des données personnelles par son prestataire.
Outre les risques juridiques relatifs à la juridiction compétente et à la loi applicable et à l’absence de droits pour les personnes concernées, le recours au cloud est également susceptible d’entrainer une perte de gouvernance, une impossibilité de récupérer les données confiées au prestataire, un mauvais isolement des données en cas d’hébergement mutualisé, une suppression défaillante des données sans compter des mesures de sécurité insuffisantes.
C’est pour cette raison qu’avant de recourir à un prestataire de Cloud, la CNIL[2] estime que les entreprises devraient faire une analyse des risques liés à la sensibilité des données concernées et au type de traitement.

Des enjeux commerciaux, politiques et démocratiques

Le traitement des données personnelles dans le Cloud est au cœur des enjeux stratégiques et économiques des entreprises et des états. En 2020 le volume des données stockées sera multiplié par 50, soit 2,7 zettaoctets. Par ailleurs, dès 2012 une étude américaine  évaluait à 315 milliards les données personnelles des citoyens européens. Il est facile dans ces conditions, d’imaginer les enjeux financiers liés au stockage des informations.
Et l’individu dans tout cela ? Un usage détourné ou malveillant des données le concernant serait non seulement très dommageable pour sa vie privée, ses droits et ses libertés mais aussi pour la démocratie en tant que telle.
Enfin et au-delà même du seul caractère personnel des données, la maitrise et la «confiscation » de l’information par quelques acteurs profitant de leurs pouvoirs ou de leur position dominante au mépris des règles européennes de protection des données bouleversent l’ordre économique mondiale au profit des puissances violant les règles de protection des données.

Un cadre européen protecteur des droits et des libertés

En Europe, les données personnelles et la vie privée sont notamment protégées par l’article 8 de la Charte des droits fondamentaux et l’article 8 de la CEDH. Leur traitement et leur transfert sont strictement encadrés par la directive 95/46/CE, transposée en France dans la loi de 1978 modifiée en 2004. Ces textes interdisent l’hébergement et le traitement de données hors de l’Union européenne et dans un pays n’offrant pas un niveau de protection adéquat en dehors des exceptions suivantes:
  • Le prestataire de Cloud est contraint de respecter des « clauses contractuelles types » ou des règles internes de groupe (BCR),
  • Ou s’il s’agit d’un prestataire américain, ce dernier doit avoir adhérer à l’accord de Safe Harbor [3] par lequel il s’engage à respecter un certain nombre de principes de protection des données.
…mais à ce jour difficilement compatible avec la loi américaine
 
Alors que Microsoft adhère au Safe Harbor, elle a également choisi de proposer des garanties supplémentaires à ses clients européens via la signature de clauses contractuelles[4] renforçant la confidentialité des données. Ces clauses ont été validées par un certain nombre de régulateurs au sein de l’UE. Pourtant à la lecture de la décision du juge James C. Francis IV, ces clauses s’avèrent manifestement inopposables à la justice et aux agences de surveillance américaines.

Le Foreign Intelligent Surveillance Amendement Act ( FISAA) instaure un dispositif légal de collecte massive de données

La décision du juge New-Yorkais trouve son fondement juridique dans l’US Code[5] et plus précisément dans le FISAA. Ironie du sort, ce texte a été voté par le Congrès américain la même année que notre loi « informatique et libertés » en 1978.
A la différence du Patriot Act qui a pour objet de lutter contre le terrorisme, le FISAA assure aux autorités américaines et notamment au procureur général et au directeur de renseignement, un cadre légal pour la collecte de massive et systématique d’information à des fins de renseignement extérieur à l’insu des personnes et quelle que soit leur nationalité. Son champ d’application n’étant pas précisé, cette loi s’impose à tous les prestataires américains de services de communication et de services informatiques ainsi qu’à leurs filiales indépendamment de leur lieu d’implantation ou aux prestataires étrangers de ces services qui opèrent sur le territoire américain.

Un paysage sous haute tension et en pleine mutation

Ces récentes affaires ont favorisé l’émergence (ou conforté ?) de stratégies locales et régionales chez de nombreux acteurs du Cloud.
Tandis que la présidente brésilienne, Dilma Roussef, revendiquait fin 2013 un droit du sol pour les data center, et que la nouvelle Zélande protège déjà ses données sensibles dans son espace, des prestataires européens ont profité de l'occasion pour prendre position en faveur d’un Cloud souverain [6].
C'est dans ce contexte tumultueux que l’USTR indiquait récemment [7] qu’un Cloud européen anti NSA pourrait violer les accords de libre-échange.
De son côté Microsoft a fait appel de la décision. Affaire à suivre donc.
En attendant, on ne recommandera que trop aux entreprises souhaitant recourir à un prestataire de Cloud de soigneusement analyser les risques juridiques et de sécurité associés au traitement des données personnelles par le prestataire et d'auditer les garanties juridiques associées à chaque offre de service.
Ainsi que le rappelle la CNIL dans la droite ligne de l'avis du groupe des régulateurs européens (G29), "les prestataires qui n'offrent pas les garanties essentielles dans leurs contrats et qui refusent toute négociation avec leurs clients ne devraient pas être sélectionnés".

------------------------
Chronique co-écrite avec Angelo ARAKAZA.

[1] Loi informatique et libertés du 06/01/1978 révisée en 2004 et directive 95/46/UE
[2] Commission Nationale  Informatique et libertés : autorité de régulation des traitements de données personnelles
[3]  Suite aux révélations sur le programme PRISM la Commission européenne a critiqué la violation de cet accord signé entre les USA et l’UE et le Parlement européen a demandé sa suspension.
[4] MS Agreement
[5] http://uscode.house.gov/view.xhtml?req=granuleid:USC-prelim-title50-section1881a&num=0&edition=prelim
[6] Voir Cloudwatt (Thales et Orange) et Numergy (SFR et Bull) en France, Swisscom en Suisse, Vodafone ou Deutsch telekom AG en Allemagne.
[7] United States Trade Representative http://www.techdirt.com/articles/20140409/08121226855/ustr-makes-ill-judged-criticism-european-plans-to-create-eu-only-cloud-response-to-nsa-spying.shtml