En mars 2018, le Congrès américain a voté au sein de la loi sur les dépenses, un texte nommé Cloud Act. Cette loi permet, par le biais d’entreprises américaines, d’obtenir des données personnelles stockées dans des pays étrangers, notamment en Europe.
Retour sur une affaire opposant Microsoft au gouvernement américain
Dans l’affaire Microsoft vs gouvernement américain, les autorités ont demandées à l’éditeur informatique de leur divulguer le contenu du compte de messagerie électronique d’un utilisateur, dans le cadre d’une enquête portant sur un trafic de drogue. La société Microsoft s’y est opposée arguant que les données concernées étaient stockées hors des USA, sur un serveur situé en Irlande. Or, l’entreprise estimait que le Stored Communication Act ne pouvait s’appliquer en dehors du territoire américain.
Naissance du « Cloud Act »
En guise de réponse, le « could act » a vu le jour quelques mois plus tard permettant au gouvernement américain d’accéder à des informations et données stockées en dehors des États-Unis. Les opérateurs de télécommunication et de communications électroniques américains pourront être contraints de divulguer des informations où qu’elles se trouvent.
Une telle ingérence numérique relance la question de disposer d’un cloud souverain situé en France voire en Europe et d’un arsenal juridique permettant de protéger les entreprises du risque de détournement d’informations lorsque ces mêmes entreprises s’appuient sur des technologies états-uniennes.
Quels sont les risques ?
Pour le commun des mortels, les risques semblent limités dans l’absolu. Néanmoins, ils peuvent se traduire par une atteinte supplémentaire au respect de la vie privée, donc (partiellement du moins) secrète.
Pour les entreprises, c’est plus compliqué car de plus en plus d’entreprises sont séduites par les avantages du cloud notamment ses avantages en matière de réduction des coûts, de flexibilité et de solutions innovantes. La sécurité des données devient un enjeu majeur. Et ce n’est pas qu’une affaire de logiciels… Le cloud doit être intégré dans la gestion des risques.
Qu’il s’agisse d’une attaque ciblée, d’une erreur humaine, d’une vulnérabilité des applications ou de mauvaises pratiques en matière de sécurité, le résultat est toujours le même : l’activité économique est impactée. Des informations sensibles peuvent se retrouver dans la nature ou être exploitées par des concurrents ou un État.
Le RGPD rappelle la coresponsabilité de l’entreprise et de ses prestataires. Les sous-traitants doivent en autre mettre en place des processus de sécurité.
Les risques liés à l’espionnage industriel, à la sécurité nationale, à la propriété intellectuelle et à la protection des données personnelles sont bien réels.
Quelles sont les solutions ?
Avec ou sans Cloud Act, il existe des solutions que doivent impérativement mettre en place les organisations.
Le chiffrement des données
Selon RedLock, une société américaine spécialisée dans la sécurité du cloud, un peu plus de 80 % des bases de données dans le cloud public ne sont pas chiffrées. Souvent seuls les mots de passes font l’objet d’un chiffrement. Son extension à l’ensemble des données est un élément à intégrer dans la politique de sécurité mais ne suffit pas. Les données dont la combinaison est sensible doivent être chiffrées séparément. Les clefs d’encodage doivent à leur tour être régulièrement modifiées, stockées à distance et accessibles via une connexion sécurisée.
La gouvernance des données
Développer une vision stratégique de la donnée permet de déterminer les enjeux liés à l’acquisition et à l’exploitation de la donnée de son entreprise. Dans ce domaine, le Chief Data Officer (CDO) joue un rôle important, il doit mettre en œuvre les mesures nécessaires pour éviter la mauvaise utilisation ou accès frauduleux aux données. L’accès aux données doit être uniquement réservé aux personnes désignées ou à des tiers qui détiennent une autorisation spéciale et ponctuelle (service des impôts, police, etc.). Le DPO doit également déterminer une durée raisonnable de conservation des informations personnelles
Privilégier les solutions souveraines en matière de cloud
L’utilisation de services de stockage européens ne garantit pas à elle seul l’absence de risque mais permet en toute logique de les atténuer. Pour n’en citer que quelques-uns :
- OVH, société françaises proposant des offres de cloud public principalement situés en France.
- Ikoula, Propriétaire de ses propres Data Centers en France et initiateur du « Cloud Gaulois », le prestataire s’appuie sur des écosystèmes de type Cloud public situés en France.
- Outscale, une entité de droit français proposant un Cloud souverain français.
Utilisez des alternatives aux grands du numériques
Il existe des alternatives souveraines aux géants du web, et notamment aux moteurs de recherche, gestionnaire d’email. Vous trouverez de plus amples détails sur la page : alternatives souveraines à Google, Gmail.
Les rôles et devoir de l’Europe
Les stratégies de protection individuelles ne doivent pas occulter le rôle de l’Europe pour protéger les intérêts des citoyens et entreprises européennes. Elle doit se mettre en capacité d’appliquer des sanctions proportionnées contre les organisations qui ne respectent pas la législation en vigueur et notamment le RGPD.
En principe, Le règlement sur la protection des données des résidents de l’UE expose les entreprises du Net à de lourdes sanctions financières
Le RGPD concerne non seulement les entreprises européennes qui font des traitements de données de français mais aussi les entités extérieures à l’Union – notamment américaines – susceptibles de traiter des données personnelles de ces citoyens.