Le cloud computing et la sécurité des données

Les DSI se retrouvent entre deux types d'obligations : la protection des données d'un côté, l'obligation des prestataires de les communiquer aux autorités de l'autre. Quand l'Affaire Snowden affronte la Loi Informatique et Libertés dans le Cloud...

Le « cloud » est incontestablement l'évolution majeure des technologies informatiques de ces dernières années. Hybride, public ou privé, SaaS, PaaS ou IaaS, autant d'appellations et d'acronymes qui recouvrent un concept technique et des offres de services multiformes. Le développement des offres « cloud » a également pour conséquence de multiplier la quantité des données externalisées et le nombre de prestataires qui les traitent. Il n'est plus rare que l'hébergeur effectif des données soit le sous-traitant d'un sous-traitant du prestataire de service initial. Ces offres ont cependant entre elles un dénominateur commun : l'entreprise ou l'individu qui adhère à un service de type « cloud » accepte de ne plus exercer de contrôle sur les moyens techniques assurant le traitement et le stockage de ses données.

Dans ce contexte, se pose nécessairement la question de savoir comment ces nouveaux modes de consommation de services informatiques se confrontent aux législations relatives à l'accès et à la sécurité des données.

La confidentialité des données dans le « cloud » : l'exemple des USA

L'affaire Snowden constitue l'illustration presque caricaturale de l'usage dont les autorités publiques font des possibilités d'accès simples et directes aux informations présentent sur les différents services fournis en mode « cloud ». Au-delà de l'efficacité des systèmes d'espionnage et de surveillance mis en place par certaines agences et administrations américaines, les révélations Edward Snowden ont mis en avant la complexité du dispositif légal dont se sont dotés les Etats-Unis pour disposer d'un accès direct sur la donnée stockée, notamment, dans le « cloud ».

Un mois seulement après les attentats du 11 septembre, les Etats-Unis ont adopté le 26 octobre 2001 une loi intitulée « USA Patriot Act ». Cette loi de 2001 a amendé les dispositions existantes d'une précédente loi, le « Foreign Intelligence Surveillance Act » de 1978 en renforçant notamment le mécanisme permettant au FBI d'obtenir la communication d'informations dans le cadre d'investigations en matière de terrorisme ou d'espionnage international. Codifiées au chapitre 50 § 1861 de l'US Code, ces dispositions permettent au FBI de solliciter de tout citoyen ou résident aux USA, de toute entreprise immatriculée aux USA mais aussi de toute entreprise qui a un contact « continu et systématique » avec les USA tout type d'information, quelle qu'en soit la forme et le support. Ce dispositif intéresse principalement les données « statiques », comme les données de connexion des FAI.

Ces demandes sont préalablement autorisées par une cour spéciale (la FISC) dont les procédures sont secrètes et non-contradictoires.

En 2008, une nouvelle loi (le Foreign Intelligence Surveillance Amendments Act du 10 juillet 2008) a été adoptée pour étendre les possibilités de captation des données transitant sur Internet par les autorités fédérales et pour leur assurer un accès « en direct » à ces données.

Ainsi, le US Code dans son article 1881 permet, à l' « Attorney General » et au Directeur de la « National Intelligence », après autorisation de la FISC, d'obtenir des informations concernant des personnes vivant en dehors des Etats-Unis, en accédant directement à leurs données (documents, photos, videos, localisations, metadata) hébergées notamment par Google, Facebook, Microsoft, Yahoo et Skype.

L'accès aux données par les autorités publiques américaines est large dans la mesure où une demande peut être adressée à toute personne physique ou morale sur laquelle les Etats-Unis ont « personal jurisdiction ». Sont ainsi concernés tout citoyen ou résident aux Etats-Unis, toute entreprise immatriculée aux Etats-Unis ou qui y tient sa principale place d'affaires, ou encore toute entreprise qui entretient un contact « continu et systématique » avec les Etats-Unis. Ce dernier cas de figure concerne nécessairement les filiales européennes d'entreprises américaines.

L'entreprise visée par la demande des autorités américaines est tenue de communiquer les informations en sa « possession, custody or control » peu importe la localisation des data centers. En somme, à moins que le prestataire n'ait aucun lien avec les Etats-Unis, il existe de fortes chances qu'il soit soumis à la juridiction américaine et que les données qu'il traite soient accessibles aux autorités américaines en application de l'un des textes précités.

La France dispose également de l'arsenal législatif nécessaire à l'accès aux données

En France, les interceptions administratives de sécurité sont encadrées par la loi du 10 juillet 1991 relative au secret de correspondance par la voie des communications électroniques. L'ordonnance du 12 mars 2012 a abrogé cette loi et a intégré à droit constant ses dispositions dans le Code de la sécurité intérieure (Art. L. 241-1 à L. 245-3).

En application de ce texte, le ministre de l'intérieur, le ministre de la défense ou le ministre chargé des douanes peuvent demander toute interception « ayant pour objet de rechercher des renseignements intéressant la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements ». Une telle interception est autorisée par décision écrite et motivée du Premier ministre, sous le contrôle de la Commission nationale de contrôle des interceptions de sécurité, pour une durée de 4 mois. Selon le 21ème rapport de ladite Commission, plus de six mille interceptions de sécurité ont été demandées par le Premier ministre en 2012.

L'article 20 de la loi du 18 décembre 2013 relative à la programmation militaire a inséré aux articles L. 264-1 et suivant du Code de la sécurité intérieure les dispositions relatives à l'accès par les services de renseignement français aux données de connexions traitées par les opérateurs téléphoniques, les FAI et les hébergeurs. Ainsi, les agents des services de renseignement peuvent solliciter tout opérateur de communications électroniques ou hébergeur de contenu afin que ceux-ci communiquent les informations ou documents « traités ou conservés par leurs réseaux ou services de communications électroniques ». Cette demande se fait également après autorisation écrite du Premier Ministre, sous le contrôle de la Commission nationale de contrôle des interceptions de sécurité, pour une durée de 30 jours.

Vers une obligation générale de sécurité des systèmes d'information

Si, on le voit, les autorités publiques de tous pays entendent disposer d'un accès simple aux données transitant sur les réseaux publiques et stockées dans des services de « cloud », le législateur européen et français tend aujourd'hui à imposer aux entreprises une véritable obligation de sécurité de leur système d'information. La situation n'est pas sans présenter un certain paradoxe...

L'article 34 de la loi « informatique et liberté » du 6 janvier 1978 consacre une première obligation de sécurité des données ainsi formulée : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Selon son rapport annuel de 2012, la Cnil a prononcé 13 sanctions dont 7 concernent directement un défaut de sécurité.

Les technologies de type « cloud » renouvellent indubitablement la problématique liée au respect de cet article 34. Les prestataires traitant la donnée étant multipliés, l'entreprise garante du respect de l'article 34 accepte de courir un risque croissant à mesure qu'elle dilue son contrôle sur les moyens de traitement des données.

L'ordonnance du 24 août 2011 a complété cette loi en créant l'article 34 qui dispose : « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés à des données à caractère personnel ». En cas de violation, le prestataire doit avertir « sans délai » la Cnil et la personne physique concernée, sous peine d'une peine pouvant s'élever à 5 ans d'emprisonnement et 300 000 euros d'amende (Art. 226-17-1 Code pénale). Une exception est prévue dans l'hypothèse où la CNIL constate que des « mesures de protection appropriées ont été mises en oeuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation ».

A cette obligation de sécurité du traitement des données personnelles, s'ajoutent des obligations « sectorielles » de sécurité. On prendra l'exemple des opérateurs d'importance vitale (OIV). Il s'agit d'entreprises ou d'établissement public désignés par arrêté dont « l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation ». Leur liste n'est pas rendue publique mais selon les informations disponibles, ils sont aujourd'hui 218. Depuis la loi de programmation militaire du 18 décembre 2014, les OIV qui doivent veiller de manière renforcée à la sécurité de leur système d'information. Ces opérateurs sont tenus de respecter, à leurs frais, les règles de sécurité fixées par arrêtés du premier ministre. Ils doivent également informer sans délai le Premier ministre d'incidents affectant le fonctionnement ou la sécurité de leur système d'information et se soumettre à des audits de l'ANSSI.

Mais la tendance est désormais de s'affranchir de ces obligations « sectorielles » pour imposer aux entreprises une obligation générale de sécurité. C'est ce qui ressort du considérant 26 de la directive européenne 2013/40/UE du 12 août 2013 relative « aux attaques contre les systèmes d'information » : « Les Etats membres sont encouragés à prévoir, dans le cadre de leur droit national, des mesures pertinentes permettant d'engager la responsabilité des personnes morales, lorsque celles-ci n'ont de toute évidence pas assuré un niveau de protection suffisant contre les cyberattaques ».

Le mouvement de la législation vers l'introduction dans le droit positif d'une obligation de veiller à la sécurité de son système d'information concerne directement l'usage de service « cloud ». Quand les données sont hébergées chez un tiers, l'entreprise délègue de fait à ce tiers une responsabilité technique dont elle devra répondre en cas d'atteinte à la sécurité de ces données. Il convient donc de bien évaluer ces contraintes légales avant d'opérer sa transition vers le « cloud ».

Etienne Papin - Avocat associé du cabinet Feral-Schuhl / Sainte-Marie

Source