Accueil La sécurité juridique du Cloud

La sécurité juridique du Cloud

Quand une entreprise externalise ses données sur le Cloud, elle doit être vigilante et limiter les risques juridiques dans un univers numérique dominé par les GAFAM, où les normes américaines viennent s’entrechoquer avec les normes européennes.

 

Selon le Baromètre 2019 du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), auquel ont répondu 174 de ses membres, Responsables Sécurité des Systèmes d’Information (RSSI) de grands groupes français, 87% des entreprises ont recours au Cloud, dont 52% dans des Clouds publics, Un mode de stockage qui pose d’après le baromètre des problèmes de non-maîtrise, que ce soit par rapport à l’accès aux données de l’entreprise par les hébergeurs (via les administrateurs ou autres) ou par rapport à la chaîne de sous-traitance pratiquée par le fournisseur.

D’après 60% des RSSI, l’un des enjeux principaux pour l’avenir de la cyber-sécurité est la gouvernance de la cyber-sécurité. La confiance en la capacité des comités exécutifs à prendre en compte les enjeux de la cyber-sécurité est très inégale en fonction des secteurs d’activité.

La sécurité informatique des données est certes plus forte chez un prestataire Cloud que sur le serveur d’une PME. Mais le risque juridique est important, selon le niveau de sensibilité des données. La sécurité juridique, complément à la sécurité informatique, nécessite de s’assurer de la confidentialité des données, et demande d’être rigoureux dans le choix des prestataires.

« Il n’y a pas de solutions magique pour être conforme à la réglementation. »

Stéphane Berthaud,
directeur technique des ventes France
et Afrique de Veeam

Elle nécessite l’implication des comités de direction aux côtés du service juridique, mais aussi d’autres directions : DSI, Délégué à la Protection des Données (Data Protection Officer, DPO)… direction des risques, marketing, métiers qui s’occupent de données clients ou employés, « Il n’y a pas de solution magique pour être conforme à la réglementation, ça doit infuser à tous les niveaux de l’entreprise, y compris les intervenants sur le SI, souligne Stéphane Berthaud, directeur technique des ventes France et Afrique de Veeam, entreprise spécialiste de la sauvegarde dans les environnements virtuels. Difficulté importante, le temps du juridique est plus long que le temps de l’IT et peut représenter un frein à l’innovation : à l’entreprise de gérer l’effet accordéon ! En outre, pour chaque fournisseur de Cloud, le travail de recensement et de vérification de ses certifications, des règles auxquelles il est conforme est ingrat, mais doit être fait. »

Négocier les contrats Cloud

L’avocate Garance Mathias recommande avant tout d’éviter avec les prestataires Cloud les contrats-types et d’adapter le contrat à ses besoins, dans un souci d’harmonisation de la politique contractuelle. Mission impossible pour une PME ? « D’expérience, explique Garance Mathias, il est possible de négocier de tels contrats avec les prestataires de Cloud et leurs revendeurs, même pour des clients dont le poids de négociation peut paraître faible face aux grands offreurs de Cloud. » Il faut s’assurer que les documents fournis par le prestataire sont ceux en vigueur. De plus, ils renvoient à d’autres documents contractuels à aller consulter en ligne.

Maître Mathias recommande d’être particulièrement vigilant sur plusieurs clauses :

  • celles portant sur la protection des données à caractère personnel et des données dites sensibles : si la responsabilité du prestataire en cas de faute, erreur ou omission sera généralement prévue, il faut faire attention aux nombreuses exclusions et limitations de responsabilité.
  • Confidentialité : le prestataire et ses éventuels sous-traitants ne doivent connaître que des informations strictement nécessaires à l’exécution de sa prestation.
  • Service Level Agreement (SLA) déterminant les critères de performance (temps de réponse, vitesse de transfert des données, délais…), disponibilité du service et mesures de sécurité : si possible les négocier avec l’appui des opérationnels et s’assurer des moyens de contrôle comme client et des sanctions en cas de défaillance. Le prestataire doit s’engager à notifier immédiatement tout incident de sécurité, d’intrusion ou tentative d’intrusion.
Olivier Iteanu

Le prestataire doit fournir ses attestations d’assurance, afin notamment de connaître les exclusions de garantie. Le contrat doit répondre aux questions de la localisation et du transfert des données, de la protection des données (chiffrement et accès sécurisé), de la loi applicable, des conditions financières et globalement de la sécurité en termes juridiques, mais aussi organisationnels et techniques. Il est préférable de se tourner vers des prestataires qui ont bonne réputation et se plient au jeu des audits et des certifications. Il est possible de prévoir des modalités d’évolution du périmètre contractuel, selon les projets à venir. Il faut aussi organiser la fin de contrat.

L’avocat Olivier Iteanu conseille de « disposer d’un contrat clair qui comprend une clause de réversibilité pour ne pas être captif, annonce la chaîne de sous-traitance et liste les droits et recours du client. »

Stratégie multicloud

Mieux vaut ne pas mettre tous ses œufs dans le même panier. Les entreprises doivent concevoir une architecture hybride de leur SI adapté, en fonction de la sensibilité des données : Cloud public, privé, serveur interne. Dans l’absolu, mieux vaut externaliser les briques non essentielles de son système d’information dans le Cloud public, mais en réalité, le choix se fait en fonction de sa stratégie et de ses risques. Le Cloud privé peut être privilégié dans le cas de données sensibles ou constitutives de droits de propriété intellectuelle. Le Cloud privé est certes plus sécurisé, mais le risque d’atteinte aux données subsiste, selon qui a accès à l’infrastructure.

François-Xavier Vincent

François-Xavier Vincent, CISO et DPO de Oodrive, privilégie une approche par les risques : « une fois les données identifiées et catégorisées (données sensibles pour les métiers, à caractère personnel sensibles/moins sensibles, tout-venant), quel risque est acceptable pour chaque catégorie ? » Et de conseiller de mettre en place une stratégie multicloud, avec une solution Cloud adaptée à chaque niveau de risque, comme le fait par exemple l’Etat français. Toutefois, attention, la diversification des risques s’accompagne d’une hausse du niveau de complexité ; il faut disposer des ressources capables de jongler entre différentes offres. « Une PME, ou même un grand groupe qui a des systèmes d’informations complexes ne disposent pas forcément d’un niveau suffisant de maîtrise de leurs données », remarque François-Xavier Vincent. « Les entreprises doivent être maîtres de leurs données et donc de la portabilité des données entre leurs prestataires, et pas seulement en fin de contrat, ajoute Jean-Michel Franco, directeur marketing produits de gouvernance des données de Talend, spécialiste américain de l’intégration des données dans le Cloud. Cette maîtrise reste faible alors qu’elle est de plus en plus nécessaire. »

Localisation des données et confidentialité

Les responsables de traitement et les sous-traitants peuvent transférer des données hors de l’Union européenne (UE) et de l’Espace Economique Européen (EEE) à condition d’assurer un niveau de protection des données suffisant et approprié. Ajoutons qu’il ne faut pas hésiter à creuser ce sujet avec les prestataires, et celui des lois applicables. Il peut y avoir des zones de flou tant le Cloud est un phénomène global, avec une foule d’acteurs internationaux. Au sujet des entreprises américaines présentes en Europe, Jean-Michel Franco précise que « concernant la “privacy”, elles doivent avoir une politique globale de niveau supérieur à celles qui n’y sont pas présentes. Nous avons un responsable qui s’occupe de la privacy au niveau global. »

Le “Privacy Shield” UE-USA est en vigueur depuis le 1er août 2016. Ce mécanisme d’auto-certification pour les entreprises établies aux États-Unis, est reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données à caractère personnel transférées par une entité européenne vers des entreprises établies aux États-Unis. Il reste controversé. Le “Clarifying Lawful Overseas Use of Data Act”, ou Cloud Act, est une loi américaine du 23 mars 2018 clarifiant l’usage légal des données hébergées à l’étranger. Elle permet aux autorités fédérales ou locales de contraindre les fournisseurs de services américains, par mandat ou assignation, à fournir les données demandées stockées sur des serveurs aux Etats-Unis ou à l’étranger. Olivier Iteanu analyse : « Les enjeux de sécurité et de confidentialité des données sont inséparables. Or, nous avons laissé la porte ouverte aux acteurs américains du Cloud, en situation quasi-monopolistique. Et le Cloud Act est une sorte de partenariat public-privé qui leur est imposé, dans le cadre de la surveillance électronique généralisée. Il est préférable de se tourner vers des alternatives européennes à coût économique équivalent. De plus, l’appétit de profit des entreprises américaines est sans limite. Des incidents liés à la confidentialité des données en provenance de réseaux sociaux, d’assistants vocaux comme Alexa, remontent régulièrement. Bientôt le retour de bâton ? »

Il s’agit en fait d’être pragmatique et réfléchi. Malgré le Cloud Act, on peut confier des données non confidentielles à des prestataires de Cloud public américain, qui dominent voire verrouillent le marché, y compris en Europe. Mais il faut être particulièrement attentif aux données personnelles, “pétrole du web”, à leur traitement et à leur localisation. La formule « si le service est gratuit, le produit c’est vous », convient dans l’univers du Cloud dominé par les GAFAM (Google, Amazon, Facebook, Apple, Microsoft… tous américains).

L’application extraterritoriale du Cloud Act vient s’entrechoquer avec la protection des données personnelles qu’exige le Règlement Général sur la Protection des Données (RGPD). Ce règlement européen est entré en vigueur le 25 mai 2018. La CNIL a ainsi prononcé le 21 janvier 2019, une sanction de 50 millions d’euros à l’encontre de Google LLC en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

Etre conforme au RGPD

59% des répondants au baromètre du CESIN font remarquer l’impact positif de la mise en conformité RGPD sur la gouvernance des entreprises. S’assurer de la mise en conformité au RGPD, et de le rester au fur et à mesure des évolutions du SI, est primordial. En amont, il faut bien identifier quelles données de l’entreprise sont soumises au RGPD. Si l’entreprise pense en premier lieu aux données clients, en tant qu’employeur elle doit également s’assurer des droits de ses salariés vis-à-vis des données personnelles collectées au sein du SIRH.

Le DPO a un rôle de surveillance et de contrôle en la matière ; Stéphane Berthaud souligne l’importance de bien définir son périmètre de responsabilités : « Le rôle de DPO est central, qu’il soit porté par le RSSI, une personne dédiée ou un prestataire externe : quel pouvoir a-t-il ? Quelle légitimité a-t-il vis-à-vis de la direction ? »

L’entreprise, étant responsable de traitement, doit s’assurer que les prestataires respectent le RGPD. « Les grands donneurs d’ordre sont un moteur pour imposer à leurs prestataires technologiques plus de rigueur, estime Olivier Iteanu. Le travail est en cours. »

« La maîtrise des données reste faible alors qu’elle est de plus en plus nécessaire. »

Jean-Michel Franco,
directeur marketing produits de gouvernance des données de Talend

Gouvernance des données

MM. Franco et Vincent s’accordent à dire que les prestataires doivent “bâtir la confiance”. C’est important, d’autant que la CNIL rappelle que les sous-traitants ont aujourd’hui un statut spécifique consacré dans le RGPD. Ils ont notamment une obligation de conseil auprès des responsables de traitement sur les questions de sécurité.

Le RGPD requiert selon J.-M. Franco une meilleure vision des données de l’entreprise et de sa gouvernance : « les entreprises doivent veiller à ce que les données soient consolidées et stockées de manière transparente, et facilement partageables. Le RGPD a permis aux entreprises de gagner en maturité sur des sujets préexistants, par exemple le droit d’accès aux données. La mise en place d’un DPO et de procédures ad hoc a changé la donne. Mais beaucoup ont appréhendé le projet RGPD sous un angle strictement règlementaire, avec une cartographie à l’instant T des données. Or le SI bouge en permanence. Il y a une demande forte de solutions de cartographie des données, avec des alertes automatiques, pour contrôler l’évolution du SI. En outre, le droit d’accès aux données est un service client, pas juridique : les données personnelles doivent être au cœur d’une relation client efficace, basée sur la confiance, une notion à développer. Alors que la prise de conscience des citoyens et leur vigilance s’accroissent, il y a un risque de perte de chiffre d’affaires. En effet, les mentalités changent. Des associations de consommateurs ont un rôle à jouer pour faire pression afin de faire appliquer le RGPD, ce qui pourrait accroître le nombre d’amendes. Dans ce contexte, le poste de Chief Data Officer, en charge du contrôle et de la diffusion des données, se développe. »

La protection des données dans le monde