Protéger les utilisateurs européens contre les effets extra-territoriaux de certaines lois américaines.
« Tout va dans le cloud (…) qui, en enregistrant tout, enregistre la mémoire du monde », déclarait dernièrement John Chambers, le numéro un de Cisco. Sauf que les nuages sont essentiellement américains. Or, cela fait peser un risque sur les données personnelles des Européens, puisque les lois américaines aux effets extra-territoriaux peuvent s’appliquer, sans résistance possible. Et comme l’a rappelé Thierry Breton, p-dg d’Atos, qui s’exprimait le 8 décembre dernier à la conférence internationale organisée par la Cnil et le G29, le Safe Harbor constitue un rempart en trompe-l’œil, dans la mesure où une loi telle que le Patriot Act impose aux prestataires de cloud computing de fournir aux autorités toutes les données voulues, sans contrôle ni information des personnes concernées. Rappelons que les entreprises telles qu’Apple, Google, Facebook ou Microsoft qui ont coopéré avec la NSA dans le cadre du programme Prism avaient adhéré au Safe Harbor ; l’accord négocié par la Commission européenne avec le département américain du Commerce était pourtant déjà en deçà de la directive et sans instauration de contrôle ni de sanction. Stockées aux Etats-Unis ou par des prestataires américains, les données européennes ne bénéficient ni de la protection de la directive, ni de celle du droit américain, réservée aux Américains.
Dans ce marché dominé par l’offre américaine, des prestataires cloud français ont décidé de réagir et de profiter de cette situation asymétrique pour la transformer en avantage concurrentiel tout en offrant des garanties solides aux utilisateurs. Pour ce faire, ils ont créé l’association Cloud Confidence qui propose une certification des offres de cloud basée sur la sécurité des systèmes d’information et le respect de la protection des données à caractère personnel, mais aussi des données clients, des données stratégiques de l’entreprise et du secret des affaires.
Pour bénéficier de ce label, le prestataire cloud doit être une société soumise au droit européen, pour ne pas être susceptible de tomber sous le coup de lois américaines telles que le Patriot Act ou le Fisaa (Foreign Intelligence Surveillance Act) mais aussi de subir une procédure d’e-discovery, dans laquelle une entreprise soumise à un litige outre-Atlantique se trouverait contrainte de communiquer ses données, sans garantie de non-divulgation. Ne peuvent échapper aux effets transnationaux de ces lois, les sociétés de droit américain, mais aussi leurs filiales et celles qui ont des intérêts économiques outre-Atlantique. Le prestataire de Cloud qui offre les meilleures garanties doit donc, au mieux, être une entreprise française ou européenne qui n’a aucun lien d’affaires avec les Etats-Unis.
La certification intervient après un audit « centré sur les questions juridiques et techniques. Les process, les équipements et infrastructures utilisés sont contrôlés, en partie pour qu’il y ait une possibilité de les auditer et qu’elles soient physiquement sur le territoire européen comme les sites d’hébergement », explique Olivier Itéanu, avocat, co-fondateur de cette association et co-animateur de sa commission juridique avec Isabelle Gavanon, avocat, du cabinet Fidal. Le label est délivré pour cinq ans mais un audit est réalisé chaque année. Le droit mou devient donc un outil pour la création de bonnes pratiques.
L’originalité de la formule réside dans le fait qu’elle est basée sur un référentiel juridique. Mais ce n’est pas la seule réponse qui existe à ce besoin de sécurité sur les données. Cet été a été adoptée la norme internationale ISO 27018 qui porte également sur le traitement des données personnelles. Il s’agit d’un cadre normatif international permettant de contrôler les engagements pris par les sous-traitants du cloud. Les points principaux portent sur le consentement, la transparence, la communication, la portabilité des données, la conformité dans le cadre d’un audit et la confidentialité des données. Mais la problématique de la protection des informations par rapport aux effets extra-territoriaux de lois étrangères moins protectrices ne figure pas dans ce document, qui a été élaboré dans le cadre de l’ISO avec de l’IEC (International Electrotechnical Commission), l’ITU (l’Union international des télécoms) et l’américain NIST (National Institute of Standards and Technology).
Sous un autre angle, mais dans la même logique d’indépendance numérique, la mise en place d’un cloud indépendant pour les entreprises et les administrations françaises a émergé avec le lancement de deux sociétés de « cloud souverain » en 2012, soutenues par des fonds publics et issues de grands groupes industriels français : Cloudwatt (Orange Thalès) et Numergy (SFR Bull). Les démarches de Cloud Confidence et du cloud souverain sont parallèles et offrent des garanties proches, mais pour l’instant elles ne se rejoignent pas. Vont aussi dans ce sens, les propositions de Thierry Breton et d’Octave Klaba, p-dg d’OVH (l’hébergeur avait participé aux premières discussions pour la création de Cloud Confidence, mais n’a pas souhaité y adhérer) sur les axes stratégiques pour le cloud qui avaient été présentées à huit membres du gouvernement en juin dernier. Sans parler du Label Cloud qui certifie des offres de manière plus globale et le référentiel de l’Anssi (l’Agence nationale de la sécurité des systèmes d’information).
La France n’est pas le seul pays européen à se préoccuper de ces questions et à avoir fait le choix de développer des cloud souverains. Une réponse nationale mais européenne cohérente semblerait opportune. Toutefois, la création d’une structure commune européenne semble difficile à mettre en œuvre, du fait de la spécificité des législations de chaque pays sur la protection des données. Le futur règlement européen devrait éliminer ce problème, mais pas celui de l’asymétrie entre l’Europe et les Etats-Unis, quant aux lois extra-territoriales. Et ce n’est pas à l’ordre du jour.
Sylvie ROZENFELD