Nuages de données et souveraineté : enjeux du Cloud Computing moderne

Université Grenoble

Mémoire en vue de l’obtention du Master Carrières Juridiques et Numériques Internationales

La gouvernance des données face à l’hébergement de données personnelles en Cloud Computing à l’heure de la surveillance numérique

présenté par
Anna PLOIX

Réalisé sous la direction de
F.Viangalli

Année académique
2022-2023

Sommaire :

Introduction
§1. Données et souveraineté
§2. Données et Cloud Computing
§3. L’hégémonie américaine du Cloud Computing
§4. La souveraineté numérique
§5. Problématique et méthodologie
Partie introductive : L’état de la menace
§1. Les lois de police étrangères
A. Le Patriot Act
B. Le Cloud Act
§2. Les révélations de Snowden
Partie 1. Les enjeux de la protection des données dans l’hébergement en Cloud Computing17
Chapitre 1. L’encadrement juridique des transferts de données personnelles à l’étranger
Section 1. Les évolutions législatives et jurisprudentielles sur les transferts des données personnelles à l’étranger
A. Les accords transatlantiques de protection des données personnelles
§1. Le Safe Harbor Agreement
§2. Le Privacy Shields
§3. Le Data Privacy Framework
B. Le raisonnement jurisprudentiel de la CJUE
Section 2. Le transfert de données à l’étranger par le Règlement Général sur la protection des données (RGPD)
A. Les transferts fondés sur l’existence de « garanties appropriées »
B. L’adoption de règles d’entreprises contraignantes
C. Le cas particulier de l’article
Chapitre 2. les risques découlant du transfert de données personnelles à l’étranger
Section 1. Les risques juridiques des atteintes à la confidentialité des données : la responsabilité du responsable de traitement
La responsabilité des fournisseurs Cloud sur le territoire de l’UE en cas de communication de données dans le cadre d’activités de surveillance29
La responsabilité des hébergeurs Cloud étrangers en cas de communication de données dans le cadre d’activités de surveillance : La difficile mise en oeuvre extraterritoriale du RGPD32
Section 2. Les risques stratégiques des atteintes à la confidentialité des données : atteinte à la souveraineté et atteinte à l’intégrité.34
A. Typologies de risques relatifs au Cloud Computing
§1. Risques organisationnels et politiques
§2. Risques techniques
B. Applications concrètes de failles sécuritaires dans des services Cloud
Partie 2. La capacité de réalisation d’une souveraineté numérique européenne
Chapitre 1. Acteurs publics : Souveraineté numérique et contrôle des données
Section 1. Les défis pour les autorités publiques : respect des lois et réglementations locales et coopération avec les autorités étrangères
Section 2. Les mesures techniques et organisationnelles de protection des données adoptées par les autorités publiques41
Chapitre 2. Acteurs privés : Les stratégies d’entreprise face à l’hébergement de données personnelles à l’étranger
Section 1. Les enjeux réglementaires pour les entreprises
Section 2. Les mesures techniques et organisationnelles de sécurisation de l’hébergement Cloud
Conclusion
ANNEXES
BIBLIOGRAPHIE

Liste des abréviations :
ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information
BCR : Binding Corporate Rules
CEPD : Comité Européen de la Protection des Données
CJUE : Cour de Justice de l’Union Européenne
Cloud Act : Clarifying Lawful Overseas Use of Data Act
CLPO : Civil Li berties Protection Officer of the Office of the Director of National Intelligence
CNIL : Commission Nationale de l’Informatique et des Libertés
CREDOC : Centre de recherche pour l’étude et l’observation des conditions de vie
DDos : Déni de service distribué
DGA : Data Governance Act
DGSI : Direction Générale de la Sécurité Intérieure
DMA : Digital Market Act
DPA : Data Protection Authorities
DPPA : Data Privacy and Protection Agreement
DPRC : Data Protection Review Court
DSI : Direction des Systèmes d’Information
ENISA : European Network and Information Security Agency
FISA : Foreign Intelligence Surveillance Act
GAFAM : Google, Amazon, Facebook, Apple, Microsoft.
Iaas : Infrastructure As A Service
NSA : National Security Agency
Paas : Plateforme As A Service
RGPD : Règlement Général sur la Protection des Données
Saas : Software As A Service
SCC : Standard Contractual Clauses ou
CCT : Clauses Contractuelles Types
SIA : Signals Intelligence Activities
UE : Union Européenne
VIGINUM : Service technique et opérationnel de l’État chargé de la vigilance et de protection contre les ingérences numériques étrangères.

Introduction

§1. Données et souveraineté

Aujourd’hui l’essentiel de nos activités humaines sont régies par les technologies de l’information, pour reprendre la métaphore de G. Germain et P. Massart : « Données, applications et réseaux suffisent à décrire l’espace stratégique numérique et à le modéliser pour en comprendre les enjeux de souveraineté. Ils sont ce que les hommes, les véhicules et les routes sont à la stratégie terrestre » 1 .

Les données représentent la matière première de l’espace numérique, elles sont générées par les activités humaines, industrielles et commerciales et leur captation est aujourd’hui au cœur des enjeux de puissance et de souveraineté. Ainsi, les GAFAM 2 concentrent l’essentiel de leurs efforts pour capter, capitaliser et analyser un nombre colossal de données, tandis que les entreprises européennes peinent à se faire une place sur le marché de la donnée.

Plus parlant encore, « début 2022, douze plateformes numériques possèdent plus d’un milliard d’utilisateurs et quatre d’entre elles dépassent les deux milliards d’utilisateurs. Neuf sont américaines et trois chinoises. Aucune plateforme européenne ne parvient à se hisser dans ce classement mondial » 3 .

Au-delà du monopole économique des entreprises américaines sur le marché mondial du numérique, leur pouvoir vient parfois empiéter sur les pouvoirs régaliens des Etats et met en péril certains pans de leur souveraineté. En 2008 par exemple, lorsque le groupe 29 a préconisé à Google une durée de conservation des données personnelles de 6 mois, Google a alors entamé une négociation tel un Etat régalien, avec la Commission Européenne aboutissant à un compromis pour une durée de 12 mois 4 .

¹ GERMAIN (G.), MASSART (P.), « Souveraineté numérique », Etudes, 2017/10, pp. 45-58.

² Les cinqs firmes américaines qui dominent le marché du numérique : Google, Amazon, Facebook, Apple et Microsoft

³ ISAAC (H.), « Quelle souveraineté numérique européenne », Revue française de gestion, 2022/4, n°305, pp. 63-77.

⁴ Avis 1/2008 du Groupe de travail « Article 29 » sur les aspects de la protection des données liés aux moteurs de recherche, 4 avril 2008.

Cette hégémonie est d’autant plus inquiétante lorsque ces entreprises entretiennent des liens ambivalents avec des Etats, d’abord parce qu’elles sont favorisées dans un contexte de concurrence, mais surtout lorsqu’elles appartiennent à des systèmes de surveillance étatique. Par exemple, des affaires comme celles de E. Snowden ont dévoilées que les autorités américaines avait eu accès à des données initialement collectées dans un contexte commercial dans le cadre d’un programme de surveillance de la population à grande échelle 5 .

§2. Données et Cloud Computing

Les entreprises et les gouvernements sont confrontés à un dilemme complexe lorsqu’il s’agit de traiter des volumes importants de données : d’une part, l’hébergement de données à l’étranger offre des avantages certains, tels que des coûts d’hébergement plus faibles, une accessibilité accrue aux marchés mondiaux et une disponibilité de ressources technologiques avancée. D’un autre côté, l’hébergement de données à l’étranger présente des risques importants, telle qu’une imprévisibilité de la gouvernance des données face aux éventuelles ingérences des autorités, une incertitude juridique posée par les décisions de la Cour de Justice de l’Union Européenne (CJUE) invalidant successivement les accords transatlantiques de transmission de données, mais aussi une dépendance forte aux décisions des grandes entreprises de la tech.

Pour bien comprendre les développements traités dans ce mémoire, il convient de présenter les termes clés qui seront utilisés.

Tout d’abord le terme de « données » signifie dans le domaine informatique toute représentation conventionnelle d’une information permettant d’en faire le traitement automatique 6.

Au sein de cette notion générique de « données » on retrouve des catégories plus spécifiques et régies par des règles spécifiques. Ainsi l’expression « données personnelles » peut être définie par l’article 4 du Règlement Général sur la Protection des Données (ci-après « RGPD ») :

« Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » .

⁵ GREENWALD (G.), MACASKILL (E.), « NSA Prism program taps in to user data of Apple, Google and others », The Guardian, 2017.

⁶ Dictionnaire Le Robert, définition de « donnée » au sens informatique.

Les Métadonnées quant à elles sont des données servant à définir ou décrire une autre donnée. Elles sont parfois rattachées à des données personnelles et permettent d’étayer le profil constitué sur un individu donné.

Le cœur de ce travail de recherche portera sur la question de l’hébergement de ces données grâce au Cloud Computing. Le Cloud Computing est défini par la CNIL comme « l’utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs répartis dans le monde entier et liés par un réseau. Avec le Cloud Computing les applications et les données ne se trouvent plus sur un ordinateur déterminé mais dans un nuage (cloud) composé de nombreux serveurs distants interconnectés ». Les supports physiques et les réseaux qui contiennent les données sont alors mis en œuvre par des applications qui sont elles-mêmes stockées sur des serveurs. A la différence d’un hébergement local (On-Premise) lorsque l’on accède à une application web de Cloud Computing comme Amazon, Gmail ou Facebook, on ne connaît pas son emplacement physique, ni le chemin qu’a emprunté la requête pour parvenir jusqu’à l’application.

Le Cloud Computing (ci-après Cloud) offre deux grandes familles de services (Annexe 1) :

• La fourniture d’applications en location : Saas (Software As A Service) qui sont des logiciels hébergés par leurs concepteurs.
• Des services techniques de plateforme d’exécution en location : PaaS et IaaS (Plateform As A service et Infrastructure As A Service) qui sont des environnements d’exécution mis à la disposition des entreprises qui souhaitent faire héberger leurs développements spécifiques.

Cette modalité de stockage est particulièrement intéressante puisqu’elle permet de mettre à disposition des entreprises, des particuliers et des services publics, des volumes de stockage considérables peu importe la localisation initiale du responsable de traitement 7 .

§3. L’hégémonie américaine du Cloud Computing

Les « hyperscalers » ou les fournisseurs leaders du cloud se sont aujourd’hui accaparés la majorité des parts du marché 8 des services de Cloud. Comme on peut le voir sur l’annexe 2, en 2020 AWS (Amazon), Azure (Microsoft) et Google Cloud (Google) possédaient 60% des infrastructures Cloud mondiales.

Les États-Unis sont aujourd’hui la seule puissance mondiale à disposer d’une capacité hégémonique dans le domaine du Cloud Computing. Ils ont à leur disposition des moyens de collecte massifs de données, tant par des grands acteurs du numérique tels que les GAFAM mais aussi par des agences nationales telles que la National Security Agency (NSA). Les logiciels clés dans l’informatique (par exemple, les systèmes d’exploitation, les logiciels de bureautique, ou les moteurs de recherche) sont également essentiellement américains 9 . S’ajoutant à cela, les États-Unis font preuve d’une avance technologique incontestée en matière de traitement des données, grâce à des entreprises innovantes telles que Palantir et des leaders dans le domaine des services numériques tels que Microsoft et IBM.

Cette hégémonie numérique américaine lui confère un avantage considérable sur ses concurrents, tant sur le plan militaire qu’économique. Elle lui permet de capter des données sur ses citoyens et ses alliés et de contrôler les flux financiers mondiaux. Cette situation suscite de nombreuses inquiétudes, tant au sein de la population américaine que de la communauté internationale.

§4. La souveraineté numérique

La souveraineté numérique désigne la capacité pour un État de contrôler les informations qui transitent sur son territoire. La souveraineté numérique vise à pallier le risque d’espionnage industriel, de cyberattaques, de fuites de données et de violations de la confidentialité. Elle contribue également à réduire les problématiques liées à la conformité réglementaire, les législations en matière de protection des données pouvant varier considérablement d’un pays à l’autre.

7 Tel que défini à l’article 4 du RGPD : « La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

⁸ SYNERGY RESEARCH GROUP, « On-Premise Data Center Capacity Being Increasingly Dwarfed by Hyperscalers and Colocation Companies », 2023.

⁹ Annexe 3

Pour renforcer cette souveraineté numérique, de nombreux gouvernements ont adopté des lois et des réglementations pour protéger les données personnelles en exigeant qu’elles soient stockées localement ou en imposant des restrictions sur leur transfert à l’étranger. Ces réglementations peuvent être un obstacle pour les entreprises qui cherchent à opérer à l’échelle mondiale tout en respectant les lois locales.

En réaction aux inquiétudes sécuritaires du Cloud, la notion de Cloud souverain a émergé pour définir une infrastructure Cloud qui préserve les intérêts économiques et stratégiques d’un État (acteurs authentifiés et certifiés, infrastructure sécurisée, maîtrise du ressort juridique).

Le Cloud souverain repose sur deux éléments principaux :

1. Un périmètre géographique délimité, tant pour les échanges que pour le stockage des données. Ce périmètre correspond le plus souvent au ressort juridictionnel d’un Etat ou d’une communauté d’Etats (dans le cas de l’Union Européenne par exemple).
2. Une autorité légale régulant la structure du Cloud Souverain et certifiant le respect de son cahier des charges par ses opérateurs. Les opérateurs réseaux nationaux garantissent notamment un routage sur leur propre réseau. Les critères discriminants sont ici liés à la confiance, la régulation juridique et le routage physique de l’offre de Cloud.

Le Cloud souverain ne s’oppose donc pas aux principes fondateurs du Cloud mais il introduit une régulation stricte dans sa gouvernance. Si le Cloud Souverain ne peut garantir l’absence de piratage ou d’usage illicite, il peut considérablement diminuer les risques encourus par les sociétés et proposer une gestion des contrats dans un cadre juridique national ce qui simplifie la résolution des éventuels litiges 10 .

¹⁰ BOURLIATAUX-LAJOINIE (S.), DAVID (M.), « Analyse de la stratégie de légitimation d’un Cloud Souverain par l’Etat – le cas français », AIM Montréal, 2018.

Les acteurs du Cloud souverains ne se limitent pas aux fournisseurs de services Cloud, cela inclut également les prestataires de sécurisation, les organismes de certification, la presse spécialisée et le grand public, les associations d’entreprise et l’Etat. En France trois types d’acteurs représentent l’Etat dans ce domaine : l’Agence Nationale de la sécurité des systèmes d’information (ANSSI), la Direction Générale de la Sécurité Intérieure (DGSI) et les institutions législatives et réglementaires.

§5. Problématique et méthodologie

L’intérêt principal de ce mémoire résulte de la divergence dans la conception sociologique/philosophique de la protection des données personnelles entre les Etats-Unis et l’Union Européenne. En Europe, la volonté de protéger les données personnelles existait bien avant l’adoption du RGPD, le premières législations relatives aux données à caractère personnel remontent à 1970 11 (Land de Hesse, Allemagne), 1973 12 (Suède) et 1978 13 (France). A contrario, à la même période de l’autre côté de l’Atlantique, Richard Posner dans « An economic theory of privacy » (1978) dépeint la notion de « privacy » ou de confidentialité comme nocive pour le marché en ce qu’elle prive d’informations les agents dans leurs prises de décisions.

La structure américaine repose sur cette logique commerciale, et impose moins de restrictions pour les entreprises souhaitant collecter et traiter des données personnelles. Le premier point important à souligner est qu’il n’existe pas aux Etats-Unis de loi cadre au niveau fédéral en matière de protection des données personnelles. Les données personnelles sont protégées par le biais de lois sur des types spécifiques de données tels que les données de santé 14 , les données bancaires 15 ou les données relatives à des personnes mineures 16 . Ainsi la vaste majorité des données collectées sur le sol américain n’est encore aujourd’hui pas encadrée de façon standardisée. Le second point, est que la protection des données aux Etats-Unis est envisagée à la manière d’un droit des affaires, par opposition au choix européen de considérer la protection des données comme un droit des personnes pour lequel c’est le préjudice moral qui ouvre droit à réparation et non le préjudice financier.

¹¹ The Hesse Data Protection Act (1970)

¹² The Data Act ou Datalagen du 11 mai 1973

¹³ Loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978

¹⁴ Health Insurance Portability and Accountability Act (1996)

¹⁵ Fair Credit Reporting Act (1970)

¹⁶ Family Educational Rights and Privacy Act (1974), Children’s Online Privacy Protection Rule (2013)

Cette différence philosophique et législative amène à s’intéresser aux enjeux autour des transferts de données internationaux et notamment à l’effectivité de la protection accordée aux données lors de l’utilisation de systèmes de Cloud.

Ce mémoire analysera à la lumière des risques, les enjeux autour de l’encadrement juridique de l’hébergement de données personnelles à l’étranger. A l’issue de cette analyse, la question de la capacité européenne à gouverner ses données par la mise en place d’un Cloud Souverain sera développée.

Plus particulièrement, ce travail de recherche tend à confronter les contradictions auxquelles les entreprises doivent faire face lorsqu’il s’agit de stocker des données personnelles et de s’intéresser aux solutions qu’elles pourraient mettre en place rapidement afin de sécuriser le stockage de leurs données.