Sécurité et Stratégie est une publication du CDSE

INTERNATIONAL : Informatique en nuage - mettez de côté le PATRIOT Act, penchez-vous sur FISAA !

Lors d’un récent colloque organisé le 13 juin dernier à la Cour de Cassation à l’initiative de l’avocat général Claude Mathon sur l’actualité des problématiques de l’intelligence économique, un haut dirigeant d’entreprise avait déclaré qu’à ses yeux, les deux sujets majeurs de l’année 2013 tournaient autour du Cloud et de la protection des données personnelles. Depuis le premier épisode du feuilleton des révélations de l’affaire Snowden dévoilant une part de l’écosystème du programme de cybersurveillance américain, ces deux problématiques prennent une toute autre dimension. Olivier Barrat, Maître de conférences à Sciences Po Paris, Docteur en sciences de l’Information et de la communication, évoque dans cet article les enjeux de la loi FISAA. Il présente dans un premier temps les contours de cette loi trop méconnue, au point d’avoir été négligée dans les discussions bruxelloises sur le USA Patriot Act, et évoque ensuite ses implications pour les entreprises européennes ainsi les moyens pour celles-ci d’y faire face. Il s’agit assurément d’un sujet d’avenir, le dispositif législatif ayant été renouvelé par le président Obama jusqu’en 2017 tandis qu’il bénéficie de moyens matériels considérables de duplication et de stockage des données mis en place par la NSA.

FISAA : les contours d’une loi trop négligée

Le Foreign Intelligence Surveillance Act (FISA) est une loi déjà ancienne, votée par le Congrès américain en 1978, entrée en vigueur le 25 octobre 1978, codifiée au titre 50 du US Code, chapitre 36, et qui sert de principal cadre légal à l’administration pour la collecte d’informations de renseignement extérieur (« foreign intelligence »). Parallèlement, on relèvera que le président des Etats-Unis dispose, de son côté, de pouvoirs propres en matière de renseignement extérieur sur le fondement desquels des interceptions ont été réalisées à la suite des attentats du 11 septembre 2001. FISA a été amendé par le USA PATRIO Act adopté au nom du renforcement de la sécurité des Etats-Unis et de la lutte contre le terrorisme, pour que son champ d’application soit élargi et que le régime applicable aux procédures de collecte des données par les agences américaines soit assoupli. Le USA PATRIOT Act, entré en vigueur le 26 octobre 2001, a également modifié le Electronic Privacy Act, le Money Laundering Control Act et le Bank Secrecy Act. La dernière modification des dispositions de fond de la loi FISA, désormais intitulée FISAA , remonte à 2008. En raison des multiples contentieux judiciaires que son application avait entrainés depuis le 11 septembre 2001, la loi FISAA a servi de dispositif de validation rétroactive aux pratiques d’interceptions de communications, y compris sans mandat ou hors cadre légal par les agences de renseignement américaines. Elle devait s’éteindre le 31 décembre 2012 mais le président démocrate Obama a décidé de prolonger de cinq années, soit jusqu’au 31 décembre 2017, son application.

Une forêt cachée par l’arbre du USA PATRIOT Act

Le USA PATRIOT Act, législation temporaire dont la durée d’application a été étendue à deux reprises en 2006 et 2011, dispose d’un champ d’application limité à la lutte contre le terrorisme. Sa section 215 permet au directeur du FBI (Federal Bureau of Investigation) ou tout autre directeur d’administration compétent de requérir la communication de tout document dans le cadre d’une enquête ouverte en raison d’une présomption d’activité terroriste ou d’espionnage. Son champ de compétence touche les personnes physiques ou morales présents sur le territoire américain ou ayant des contacts suffisants avec les Etats-Unis, ainsi que les entreprises stockant des données serveurs situées dans ce pays, quelle que soit leur nationalité.

En revanche, la loi FISAA permet une surveillance de masse au champ particulièrement vaste, au-delà de la seule justification de la lutte contre le terrorisme, et dépasse même celui des communications pour s’étendre à toute donnée présente notamment dans l’informatique en nuage (ou Cloud). FISAA s’applique aux prestataires de communications et de services électroniques mais aussi à l’ensemble des prestataires de service informatique en couvrant tout type de données électroniques. Le but visé, notamment par la NSA (National Security Agency) au budget impressionnant et jamais réduit, est d’avoir la possibilité d’intercepter, de déchiffrer, de copier, d’analyser et de stocker, pour une éventuelle utilisation rétroactive, dans différents centres, l’ensemble des communications mondiales qu’elles passent par les satellites, par les câbles enfouis sous la terre ou sous-marins mais aussi des données aussi variées que l’intégralité des emails, les conversations téléphoniques, des recherches sur les moteurs de recherche du type Google, les achats, les itinéraires, etc. présents sur la toile et le Cloud. En mars 2012, un article du magazine Wired avait révélé la construction d’une nouvelle infrastructure de la NSA, appelée Data center, d’un million de mètres carrés, au coût de 2 milliards USD, dans l’Utah (site de Bluffdale), capable de stocker et d’exploiter plusieurs yottaoctets (10 puissance 24 octets) de données. Un yottaoctet équivaut, en termes de mémoire, à 1000 années du trafic mondial prévu en 2015 sur Internet. Ce site qui sera inauguré à l’automne 2013, mettra en œuvre des algorithmes de traitement de big data permettant de déchiffrer des données cryptées et de faire le lien entre des formes de communication aussi diverses que des courriels, des achats sur Internet, des communications téléphoniques, des images ou vidéos ou des informations collectées par certaines administrations (douanes, immigration, police, etc.).

Les pouvoirs conférés par FISAA à l’administration américaine pour obtenir des informations en matière de renseignement extérieur sont très étendus. FISAA permet : l’émission d’injonctions administratives (Administrative Subpoenas) pour la communication de données de connexion et d’identification de personnes (Section 1802 et suivantes) ; la délivrance de « FISA Orders » par une juridiction spéciale (le FISC, ou Foreign Intelligence Surveillance Court) c’est-à-dire des mandats valables pour demander à un prestataire de communications ou de services électroniques de communiquer tout type de données ou d’éléments matériels ou lui permettant d’y accéder, concernant un ressortissant Américain (Section 1861 et suivantes) ; la mise en place de dispositifs techniques permettant le copiage de données en vue de leur transfert « pen register and trape and trace authority » (Section 1841 et suivantes) ; la mise sous surveillance de non-Américains pendant la durée renouvelable d’une année, sur décision conjointe de l’Attorney General et du Director of National Intelligence (Section 1881).

L’Institut pour le droit de l’information, centre de recherche de l’université d’Amsterdam (faculté de droit), a procédé en novembre 2012 à une analyse juridique de la loi FISAA corrélée à celle du USA PATRIOT Act, mise en ligne sur Internet . L’étude confirme l’absence de réponse aux interrogations des Européens sur la durée de conservation ou sur l’usage exact de la collecte des données par les services de renseignement des Etats-Unis au nom de la lutte contre le terrorisme « et d’autres menaces d’importance ». Signalons aussi que les co-auteurs du rapport du Parlement européen intitulé Fighting Cyber crime and protecting privacy in the cloud, publié en octobre 2012, ont mis en lumière le fait que les administrations américaines ont élaboré, sur le fondement de FISAA, une doctrine de collecte tous azimuts des données (« a doctrine of indiscriminate collection, which only seeks to control subsequent access ») et que la construction par la NSA de centres de stockage et d’analyse des données a désormais atteint une échelle sans précédent (« unprecedented scale »).

Une surveillance des Non-Américains, personnes physiques ou morales, sans contrainte juridique majeure

La loi FISAA fonde la surveillance des Etats-Unis sur trois catégories de personnes selon des règles propres : les Américains, les Américains dont on peut penser raisonnablement qu’ils résident en dehors des Etats-Unis, et les non-Américains. Les injonctions émises par l’administration américaine peuvent s’accompagner d’une interdiction (gag order) à leurs destinataires (généralement les sociétés de prestation de services) de prévenir leurs clients qu’ils ont communiqués ou transférés des données les concernant. Les recours contre ces injonctions sont strictement encadrés et particulièrement limités puisque la personne, physique ou morale dont les données sont transmises ne peut pas, en principe, les contester. Les procédures de délivrance des injonctions devant le tribunal spécial confidentiel FISC ne sont pas publiques et l’administration américaine n’est pas tenue de présenter des preuves à cet effet. Etant donné que les personnes physiques ou morales européennes ne sont pas sur un pied d’égalité avec leurs homologues américains, elles ne peuvent bénéficier, selon la loi FISAA, ne serait-ce qu’en termes de procédure, d’aucune des garanties constitutionnelles américaines de protection, en particulier celles offertes par le quatrième amendement qui requiert un mandat et une sérieuse justification pour toute perquisition ou interception. Ce point a, d’ailleurs, été confirmé récemment par un arrêt de la Cour suprême des Etats-Unis de février 2013, Amnesty et al. vs. Director of National Intelligence.

Bien que seule une petite partie des documents et des informations détenus par le « lanceur d’alerte » et ex-agent de la NSA, Edward Snowden, a été publiée jusqu’ici par le quotidien britannique The Guardian (le plus intéressant a peut-être été la parution d’une sélection réduite de diapositives portant sur le programme PRISM), il semble difficile à ce jour de mesurer précisément, preuves à l’appui, le degré de surveillance de masse et permanente des non-Américains, qu’ils soient entreprises, organismes publics, centres de recherche, etc., particulièrement après la construction du site de la NSA à Bluffdla, dont les capacités sont inégalées. On sait de source publique que pour les seules actions nécessitant un mandat judiciaire (délivré confidentiellement par le FISC, Foreign Intelligence Surveillance Court) en vertu du dispositif FISAA (c’est-à-dire notamment celles qui peuvent concerner un Américain), l’Assistant Attorney General, Ronald Weich, a écrit dans une lettre (publique) adressée le 30 avril 2012 au Vice-président américain, Joseph Biden, que « bien que le gouvernement [américain] ne soit pas tenu de le faire en vertu de la loi [FISAA] », en 2011, 1 676 demandes de mandat judiciaire avaient été adressées au FISC, dont 205 pour le seul recueil de « business records ». Début septembre 2013, on a appris que, selon des documents communiqués par Edward Snowden, par l’intermédiaire d’un journaliste du Guardian basé à Rio, Petrobras, entreprise pionnière en matière d’exploration pétrolière offshore, aurait été pris pour cible par les services de renseignement américains. Ces révélations ont conduit le chef de la diplomatie brésilienne à protester auprès de la responsable américaine pour la sécurité nationale Susan Rice, en amont du déplacement aux Etats-Unis de la présidente du Brésil, Dilma Rousseff, prévu en octobre. Pour l’heure, les Etats-Unis ont reconnu que les plaintes brésiliennes étaient « légitimes » et la société Petrobras a annoncé qu’elle investirait 21 millions USD sur les cinq ans à venir pour la sécurisation de ses données.

Un dispositif extraterritorial soumis à une loi du silence sous peine de lourdes sanctions

La loi FISAA n’a pas défini son propre champ d’application dans l’espace. En revanche, son champ d’application en considération des personnes dépend entièrement de la compétence des juridictions américaines. Selon la célèbre décision de la Cour Suprême du 3 décembre 1945, International Shoe Co. vs. Washington, une juridiction américaine n’est compétente qu’à partir du moment où il existe des points de contact suffisants entre la situation de fait et la législation en cause. C’est le cas pour les sociétés établies aux Etats-Unis y compris pour leurs données ou serveurs hébergés à l’étranger, pour les sociétés étrangères qui commercialisent des produits ou des services sur le territoire américain ou pour les sociétés étrangères qui hébergent sur le sol américain des données ou des serveurs. S’il n’existe pas encore de jurisprudence spécifique sur l’application à l’étranger de la loi FISAA, sa mise en œuvre réelle en dehors des Etats-Unis ne laisse que peu de doutes.

La section 1881-a de la loi FISAA au champ d’application « extraterritorial » (par commodité de langage), joue un rôle crucial dans le dispositif de surveillance de l’informatique et des communications électroniques mondiales. Bien que sa lecture prima facie soit sujette sur certains points à interprétation, elle a été conçue pour permettre aux agences américaines, et au premier chef la NSA, d’exiger des grands fournisseurs Internet ou du Cloud (qu’ils soient américains ou étrangers), la communication de données mais surtout l’installation des dispositifs, non pas seulement d’interception ponctuelle mais de siphonage permanent, pour scanner et potentiellement dupliquer toutes les données qu’ils hébergent, y compris en dehors des Etats-Unis. En d’autres termes, quand bien même une donnée serait traitée formellement à l’intérieur de l’UE, dès lors qu’elle migrerait par l’intermédiaire des prestataires américains, elle serait soumise à la captation et à la surveillance des Etats-Unis. La loi FISAA (section 1881 a (3) ) leur garantit une immunité pleine et entière contre toute poursuite judiciaire. Ainsi une société américaine qui aurait remporté un marché de services informatiques en France devrait, si elle était destinataire d’injonction sur le fondement de FISAA, communiquer à l’Administration américaine les données qu’elle détient. Il en irait de même pour une société française qui aurait hébergé ces données aux États-Unis. S’agissant des filiales étrangères des sociétés américaines (on pense aux prestataires de services informatiques), une injonction adressée à la société américaine mère, doit suffire dans l’esprit de la loi FISAA, à permettre le transfert de données conservées par les filiales.

Une loi du silence s’impose aux acteurs du système de surveillance puisque les personnes qui révéleraient l’existence de ces dispositifs ou qui s’opposeraient à leur introduction, pourront faire l’objet de poursuites et de sanctions, y compris pénales, potentiellement très lourdes. En l’espèce, la sanction de l’infraction de Contempt of Court prévue à la section 1881-h) 5 D de la loi FISAA, n’est pas sujette au principe de proportionnalité avec la faute commise et peut donc atteindre des montants considérables. Ceci explique que l’ensemble des opérateurs et fournisseurs d’accès américains ne puissent répondre aux questions précises qui leur sont posées sur les implications de la loi FISAA après les révélations d’Edward Snowden et préfèrent concentrer leurs éléments de langage sur les procédures légales issues du seul USA PATRIOT Act justifié par la cause plus acceptable aux yeux de leurs clients potentiels de la lutte contre le terrorisme.

Les implications pour les entreprises européennes et leurs moyens pour y faire face ?

Un risque pour la souveraineté et le patrimoine informationnel des Etats membres de l’UE

Les co-auteurs du rapport du Parlement européen d’octobre 2012 ont estimé que la section 1881-a de la loi FISAA « fait incontestablement peser un risque bien plus grave sur la souveraineté des Etats membres de l’UE » à l’égard de leurs données et sur la protection des droits et du patrimoine des personnes physiques et morales européennes, que l’ensemble des autres lois américaines, y compris le USA PATRIOT Act. Les entreprises, les centres de recherche, les laboratoires, les administrations, les organismes de santé jusqu’aux simples citoyens sont impactés par FISAA. Or, à leurs yeux, ni la Commission européenne, ni les autorités nationales de protection des données, ni le Parlement européen, n’ont eu véritablement conscience des implications induites par l’application de la section 1881-a de la loi FISAA avant le milieu de l’année 2011 . Le rapport relève que seulement « quelques questions émanant de parlementaires européens avaient été posées et qu’en février 2012, la commissaire Viviane Reding se demandait alors si le conflit de lois devait être réglé par la Cour internationale de justice de La Haye bien que les Etats-Unis ne reconnaissent pas cette compétence ».

Un enjeu du partenariat transatlantique global en gestation

Jusqu’aux révélations d’Edward Snowden dans la fenêtre chronologique de la rencontre des Présidents américain et chinois, les conclusions du rapport du Parlement européen n’avaient rencontré que peu d’écho à Bruxelles. Un panel d’experts européens vient, certes, d’être désigné pour tenter de recueillir auprès de la NSA des indications sur les données provenant de l’UE interceptées, dupliquées et stockées mais la problématique spécifique induite par la loi FISAA n’a toujours pas été abordée dans toutes ses dimensions par la Commission européenne, que ce soit dans sa proposition de directive du 12 février 2013 concernant « des mesures destinées à assurer un niveau élevé de sécurité des réseaux et de l’information dans l’Union » ou dans le cadre de l’élaboration d’un règlement « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », en cours d’examen au sein du Conseil et du Parlement européen. Cette tâche est moins aisée qu’il n’y paraît car le calendrier de négociation de ce règlement européen se télescope avec celui de la négociation qui s’est engagée début juillet 2013 entre l’Union européenne et les Etats-Unis en vue d’un partenariat transatlantique global sur le commerce et l’investissement. Le règlement et le partenariat en discussion font tous deux l’objet d’intenses actions de lobbying selon les médias. Le processus de convergence réglementaire inclus dans ce projet de partenariat est lourd d’enjeux, en particulier sur la thématique du Cloud et des transferts de données, et on gage qu’il est promis à des discussions serrées, ne serait-ce qu’en raison de la conception américaine mercantile des flux de données. Rappelons que dans son rapport d’information au titre interrogatif percutant, L’Union européenne, colonie du monde numérique ?, présenté en mars 2013, la sénatrice Morin-Desailly avait fortement souligné que « le groupe de l’article 29, qui réunit les CNIL européennes, a fait part de sa préoccupation quant au caractère lacunaire des dispositions finalement proposées dans le règlement par la Commission européenne pour encadrer le transfert hors de l’Union européenne, sur requête administrative ou judiciaire d’un pays tiers ».

Les « Safe Harbours » ne sont plus « safe »

Pour la sénatrice Morin-Desailly comme pour nombre d’organisations de droits de l’homme et de protection des citoyens, la loi FISAA et, plus généralement, l’évolution des législations américaines, « viennent de réduire à néant » l’effectivité et la crédibilité du système de « Safe Harbour » négocié entre les Etats-Unis et la Commission européenne en 2000. Les fournisseurs de services de communication électronique ou de Cloud américains définis par la loi FISAA comme des « fournisseurs de services d’informatique à distance » comme Google, Microsoft, Amazon, HP, Apple, Salesforce.com, etc., ainsi que leurs filiales, sont considérées, même aujourd’hui, comme des « Safe Harbours » au regard du droit européen. Ils figurent, en effet, sur une liste publiée par le Département du commerce américain et peuvent, en vertu de l’accord conclu avec la Commission, bénéficier de transferts de données non-soumis à autorisation des autorités européennes de protection des données dont la CNIL . Le débat sur le point de savoir s’il convient désormais de tirer les conséquences juridiques de l’ineffectivité de l’accord du « Safe Harbour » au regard des implications de la loi FISAA pour le dénoncer, se trouve à l’heure actuelle mêlé à l’idée de créer un « guichet unique », c’est-à-dire une CNIL européenne unique, compétente pour autoriser le transfert hors UE des données personnelles.

L’Union Européenne face à trois questions majeures

L’Union européenne doit impérativement régler trois questions juridiques majeures pour mieux protéger les citoyens et les entreprises européens. En ce qui concerne le cas spécifique du Cloud computing, son organisation pose au moins trois questions essentielles pour la protection des données personnelles qui n’ont pu recevoir de réponses claires jusqu’à maintenant au regard de l’état du droit. Des divergences d’interprétations non réglées, ou volontairement entretenues, existent toujours, d’une part, entre les Etats membres de l’UE, d’autre part, entre les autorités nationales de protection des données (CNIL) et le législateur national, qui sont largement exploitées par les fournisseurs de services informatiques étrangers. Des réponses juridiques précises et uniformes de la part de la Commission européenne comme des Etats membres de l’UE, auraient pour conséquence d’aider à résoudre une grande partie de la problématique de la sécurisation de cet espace.

-  Quel est le champ d’application territorial des réglementations européennes ou des législations des pays membres de l’UE portant sur le Cloud, du fait de l’absence de localisation stable des données et de la difficulté de savoir où elles sont localisées lorsque les serveurs se trouvent partout dans le monde et ne conservent que des éléments fragmentés ?

-  Qui sont respectivement 1) le « responsable de traitement », en particulier quand un fournisseur ne fait qu’héberger des données ? 2) le « responsable conjoint de traitement » ? 3) Le « sous-traitant » ? Les utilisateurs, les particuliers ou les entreprises, a priori considérés comme « responsables de traitement », n’ont pas toujours la maîtrise complète de l’activité de leurs prestataires, en principe « sous-traitants » alors que ces derniers devraient être considérés, en fin de compte, comme des « responsables conjoints de traitement ».

-  Que recouvre, en définitive, la notion de « transfert de données vers des Etats tiers à l’Union européenne » au regard des caractéristiques techniques de l’informatique en nuage ?

Résister à la séduction du Cloud

La séduction du passage au Cloud ressort d’une étude de 2011 réalisée par la Commission selon laquelle 80 % des structures ont pu réduire immédiatement leurs coûts de maintenance du parc informatique de 10 à 20 %. La Commission européenne, dans sa communication du 27 septembre 2012 intitulée Exploiter le potentiel de l’informatique en nuage en Europe , soulignait même que toutes les études économiques disponibles confirmaient l’importance de l’informatique en nuage promise à une forte croissance dans le monde, puisque ce marché devrait tripler d’ici 2014, tandis qu’à l’horizon 2020, 3,8 millions d’emplois pourront avoir été créés au sein de l’UE.

En raison de cet attrait, il est utile pour nos entreprises, leurs directeurs de sécurité ou leurs responsables de nouvelles technologies, de suivre les actions de normalisation, de certification, voire de labellisation en cours en vue d’éviter le risque de développement de nuages informatiques sans interopérabilité, portabilité des données, ni réversibilité (trois critères essentiels pour éviter tout verrouillage) mais aussi d’assurer la sûreté et la protection des données sensibles ou stratégiques qu’ils pourraient héberger. Au niveau européen, il s’agit des travaux de l’Institut européen de normalisation des télécommunications (ETSI) qui a créé un groupe « nuage informatique » chargé d’étudier les besoins en la matière et la conformité aux normes d’interopérabilité. Au niveau international, ce sont les travaux de normalisation menés principalement à l’ISO (International Organization for Standardization) et à l’UIT (Union internationale des Télécommunications) sur la base de propositions avancées notamment par la Chine et la Corée du sud, candidates elles aussi à conquérir une part importante du marché international des services d’hébergement de données.

En France, l’ANSSI a élaboré dès 2010 une série de recommandations à destination des utilisateurs du Cloud, afin de les mettre en garde contre certains types de risques comme la perte de gouvernance, la dépendance technologique, l’isolation défaillante, l’effacement incomplet ou non sécurisé des données placées dans l’informatique en nuage. L’Etat français a lancé, dans le cadre du Grand Emprunt, un projet de Cloud souverain sécurisé, Andromède, destiné à l’usage de l’administration et des entreprises françaises et à servir de catalyseur. Ce projet a débouché en septembre 2012 sur la constitution de deux consortiums dans lesquels la Caisse des dépôts et consignations a injecté 150 millions d’euros : Numergy (SFR, Bull) qui a débuté son activité en octobre 2012, et Cloudwatt (Orange, Thales) dont les deux offres sont aujourd’hui disponibles. D’autres, essentiellement privées, existent ou sont en passe d’être avancées et utilisent souvent l’argument que leurs prestations prémunissent contre les effets « extraterritoriaux » de FISAA et du USA PATRIOT Act. Ainsi SFR, Orange, Atos, Capgemini, Dassault et Thales en tête, suivies de nombreuses PME, affichent leurs ambitions sur ce marché du Cloud sécurisé. Ailleurs en Europe, les initiatives sur le marché du secteur public restent morcelées. On relève des initiatives nationales comme G-Cloud au Royaume-Uni ou Trusted Cloud en Allemagne, mieux avancée.

Prendre conscience de la hauteur du risque de captation d’informations stratégiques et verrouiller les contrats

Si l’on met de côté les solutions radicales de Cloud privé entièrement localisé en France et confié à des opérateurs de confiance, plus onéreuses, les solutions de Cloud offertes au public, gratuites ou payantes, et les contrats standards proposés par les opérateurs le plus souvent étrangers, conviennent globalement pour des données non-sensibles du patrimoine informationnel de nos entreprises sous réserve évidemment que les journaux d’accès soient protégés vis-à-vis de leurs concurrents potentiels. Et encore faut-il qu’une sérieuse réflexion préalable soit engagée en interne sur la valeur de chacune des informations placées dans l’informatique en nuage.

D’une manière générale, on remarque que les sociétés de conseil et même les fournisseurs de services de communication électronique et de Cloud recommandent à leurs clients désireux de faire appel à leurs services, de veiller à trois éléments en vue de protéger les données qui leur seraient confiées : 1) déterminer si les données mises en ligne ou stockées peuvent être utilisées à d’autres fins que la fourniture du service d’origine, comme par exemple leur monétisation auprès de tiers annonceurs, 2) connaître l’identité exacte de tous les sous-traitants employés et s’assurer qu’ils sont effectivement tenus de respecter les mêmes obligations contractuelles prévues entre le client et le prestataire de services, 3) obtenir des garanties contractuelles précises et claires parfaitement adaptées aux transferts d’informations ou de données envisagés. Mais sur ce dernier point, la sénatrice Morin-Desailly estime que ces garanties ne peuvent avoir, en réalité, que peu de valeur : « Ainsi, malgré le discours rassurant des fournisseurs de services de Cloud, la possibilité que des gouvernements étrangers requièrent des données représente un risque qui ne peut être éliminé par des garanties contractuelles : en effet, la juridiction américaine s’applique même à des données qui sont stockées, hors du territoire américain, dès lors que le fournisseur de services de cloud relève de la juridiction américaine : c’est le cas quand le fournisseur est américain bien sûr, mais aussi s’il a un bureau aux Etats-Unis, et ce peut même être le cas si ce fournisseur a simplement des relations d’affaires systématiques (« conducts systematic business ») avec les Etats-Unis, ce qui est très souvent le cas ».

Malgré cette vue pessimiste et même s’il est difficile de sortir du cadre des contrats d’adhésion si répandus sur le marché des prestations informatiques, il peut toutefois s’avérer judicieux de négocier un contrat de gré à gré. Cela peut permettre notamment : l’identification véritable du prestataire et des sous-traitants ; la vérification du droit applicable au prestataire et aux données hébergées par ce dernier ; l’exigence d’une certification du type ISO 27000, de la localisation des données en France ou dans un Etat appliquant une réglementation conforme au droit français et européen ; l’insertion de clauses de résiliation du marché (souvent non prévues dans le catalogue type des clauses de sécurité du fournisseur étranger) dans le cas, par exemple, où la transmission de données aux autorités américaines pourrait être prouvée, de méconnaissance de la loi « Informatique et libertés » ou de la « loi française de blocage de 1968 » de la part du titulaire du marché, etc.
En revanche, le recours à des solutions Cloud pour des données sensibles ou des informations stratégiques, nécessite davantage de circonspection et à tout le moins le respect d’un cahier des charges spécifiques devant découler d’objectifs de sécurité définis et parfaitement adaptés à chaque cas de figure (laboratoires, pôle de compétitivité, clinique, etc.).

Voir le sommaire

Pour s'abonner à la revue Sécurité & StratégiePour s'abonner à la revue Sécurité & Stratégie

Accueil | Contact | Mentions légales | Comité d’orientation | Note aux auteurs | Organisation
Acheter | S’abonner | Les derniers numéros | A propos de l’éditeur

Copyright© CDSE - Sécurité & Stratégie - 2017
Sécurité et Stratégie est une publication du CDSE