Chapitre 2. Acteurs privés : Les stratégies d’entreprise face à l’hébergement de données personnelles à l’étranger
Les acteurs privés ayant fait le choix ou étant contraints d’avoir recours à des services de Cloud doivent faire face à des contraintes du point de vue réglementaire ( section 1 ) mais également d’un point de vue technique (section 2 ) pour pallier aux risques inhérents à ce type de services.
Section 1. Les enjeux réglementaires pour les entreprises
Pour les entreprises utilisatrices de services Cloud les avantages sont nombreux : plus d’autonomie, meilleur temps de déploiement, bénéfice des innovations issues du web ou encore de nouvelles possibilités de collaborations inédites. Le Cloud a permis aux entreprises de posséder de moins en moins de biens matériels (locaux, flottes de véhicules, matériels informatiques, etc.) et de capitaliser uniquement sur leurs données et leurs connaissances métiers. Les avantages proposés par l’hébergement Cloud poussent également les entreprises à externaliser leurs applications non stratégiques pour recentrer leur Direction des Systèmes d’Informations (DSI) sur leur cœur de métier 83 .
Dès que les craintes relatives à la confidentialité sont dépassées, il s’agit pour les entreprises de concilier leurs objectifs avec les lois et réglementations locales relatives à la sécurité des données. A ce titre, l’entrée en application du RGPD en 2018 a fait l’objet d’un électrochoc pour les entreprises 84 . Celles-ci ont dû faire face à des plaintes auprès des autorités de contrôles européennes, des demandes d’accès aux données et la crainte de sanctions pécuniaires importantes. La CNIL a par exemple constaté que dans les 7 mois suivant l’entrée en application du RGPD, le nombre de plaintes déposées a augmenté de 32% 85 . Ainsi les entreprises ont dû non seulement se mettre en conformité avec cette nouvelle réglementation mais également faire preuve de précaution et de transparence pour rassurer leur clientèle vis-à-vis des transferts de données personnelles.
Par effet de cascade, l’adoption du RGPD a aussi eu des impacts sur les entreprises en dehors de l’Union Européenne, non seulement à cause de l’effet extraterritorial du règlement mais aussi parce que les réglementations étrangères ont dû se renouveler ou se créer pour proposer un niveau de protection adéquat du point de vue du RGPD. La Suisse à titre d’exemple, a en 2020 révisé la loi fédérale sur la protection des données en s’inspirant largement des dispositions du RGPD.
83 PLOUIN (G.) HUG (M.), Cloud computing : sécurité, gouvernance du SI hybride et panorama du marché (4e édition), Dunod. 2016, 288 p.
84 UNTERSINGER (M.), « Protection des données : pour la présidente de la CNIL, « il y a une prise de conscience mondiale », Le Monde, 15 avril 2019.
85 Id. 85
Au-delà de la contrainte juridique, la crise de confiance du Cloud a poussé les entreprises à remettre en question leurs choix et leurs pratiques en matière d’hébergement Cloud. Ainsi la mise en conformité avec le RGPD implique nécessairement de mettre en œuvre des mesures techniques et organisationnelles pour sécuriser l’hébergement Cloud.
Section 2. Les mesures techniques et organisationnelles de sécurisation de l’hébergement Cloud
De la même manière que les pouvoirs publics, les acteurs privés européens ont développé des stratégies de chiffrement des données leur permettant de continuer d’utiliser des solutions Cloud étrangères tout en préservant la confidentialité et la sécurité des données. Des méthodes telles que le BYOK 86 (Bring Your Own Key) ou HYOK (Hold Your Own Key) sont utilisées à défaut de bénéficier de solutions de cryptologie suffisamment sécurisées comme le chiffrement homomorphe.
Cependant, le chiffrement de données ne reste pas accessible à tous les acteurs privés car le coût en temps et en mémoire imposé par le chiffrement des bases de données, requiert le maintien d’une certaine structure autour des données. Le chiffrement doit également faire l’objet d’une réflexion quant à sa pertinence selon la sensibilité des données ou la fréquence des traitements que celles-ci doivent subir.
Une autre solution consiste à utiliser des solutions d’étanchéité logiques ou de gestion des accès logiques. Sans rentrer dans le détail technique de cette méthode, celle-ci permet de fournir à différents utilisateurs l’accès à des ressources déterminées et permet ainsi de limiter les risques d’atteintes à la sécurité des données. Par exemple, la gestion des accès permet de restreindre l’accès aux données uniquement aux personnes en ayant besoin pour leurs activités. Cette méthode permet de réduire les erreurs d’origine humaine et de faciliter la traçabilité des interactions avec le système.
Au-delà des mesures purement techniques la sécurisation des services Cloud ne peut être mise en oeuvre que par l’adoption d’une gouvernance d’entreprise claire en matière de protection des données, composée de fonctions déterminées chargées de surveiller la mise en oeuvre des mesures de sécurité des données et de politiques claires permettant de définir les critères et lignes directrices que s’impose l’entreprise en matière de localisation et de stockage des données par exemple.
86 La méthode BYOK Bring your own key (BYOK) est un concept initialement lancé par Entrust et Microsoft pour permettre aux utilisateurs du Cloud public de garder le contrôle des clés cryptographiques utilisées.
Ces mesures organisationnelles viennent également renforcer les pratiques dites d’ « hygiène informatique » en sensibilisant le personnel à ces problématiques de transferts de données.
Conclusion
A l’ère où les data centers représentent les bibliothèques d’autrefois, le contrôle des services reposant sur la technologie du Cloud est aujourd’hui un élément central des relations de pouvoir internationales. Chaque entreprise, chaque individu, chaque pouvoir public, utilise des services Cloud directement ou indirectement pour traiter des données personnelles. Et la volatilité de nos données doit nous alerter sur la nécessité de prendre des mesures concrètes pour garder le contrôle de nos données d’un point de vue territorial.
A ce titre, le concept de Cloud souverain représente une opportunité pour chaque État de reprendre le contrôle sur les données qu’il considère comme étant les plus sensibles. Pour les entreprises, le stockage sur des systèmes de Cloud hébergés localement permet d’atténuer les risques juridiques, techniques et organisationnels pesant sur leurs activités de traitement de données.
D’un point de vue plus individuel, les transferts incessants de nos données personnelles comme des biens commerciaux ou stratégiques doivent nous amener à repenser la valeur que nous leur accordons. Plus que jamais la maîtrise de ce qui relève de la vie privée s’avère être un enjeu de taille pour préserver notre identité et notre personnalité.
BIBLIOGRAPHIE
– OUVRAGES
BLANDIN-OBERNESSER (A.) , dir., Droit et souveraineté numérique en Europe , Bruylant, 2016, 216 p.
FOLSOM (R.), Principles of International Litigation and Arbitration , 2d ed., West Academic, Concise Hornbook, 2019, pp. 447-490.
PLOUIN (G.) HUG (M.) , Cloud computing : sécurité, gouvernance du SI hybride et panorama du marché (4e édition), Dunod. 2016, 288 p.
– ARTICLES SCIENTIFIQUES
AZZI (A.), « The challenges faced by the extraterritorial scope of the General Data Protection Regulation », Journal of Intellectual Property, Information Technology and e-Commerce Law , Vol. 9, No. 2, 2018, p. 66.
BERNELIN (M.), EYNARD (J.), « Numérique », Cahiers Droits, Sciences & Technologies, 2021, n°13, pp. 173-216.
BENHAMOU (B.), « La gouvernance de l’internet après Snowden », Politique Étrangère , 2014/4, pp. 15-27.
BÔMONT (C.), CATTARUZZA (A.), « Le cloud computing : de l’objet technique à l’enjeu géopolitique. Le cas de la France », Hérodote , 2020/2-3, n°177-178, pp. 149-163.
CHRISTAKIS (T.), « La communication aux autorités américaines de données sur la base du Cloud Act est-elle en conflit avec le règlement général sur la protection des données ? », Revue critique du droit international privé , 2019/3, n°3, pp. 695-707.
GERMAIN (G.), MASSART (P.), « Souveraineté numérique », Etudes , 2017/10, pp. 45-58. DOUTRIAUX (C.), « Données personnelles et cybersurveillance », Revue de Défense Nationale, n°775, 2014, pp. 23-32.
ISAAC (H.), « Quelle souveraineté numérique européenne », Revue française de gestion , 2022/4, n°305, pp. 63-77.
LAFOUASSE (F.), « L’espionnage en droit international », Annuaire Français de Droit International, 2001/47, pp. 63-136.
PEREZ LAGOS (C.), « Rendre visible les conséquences de la surveillance numérique », Communication , Vol 37/2, 2020
POSNER (R.A.), « The Economic of Privacy », The American Economic Review, Vol 71, n°2, pp. 405-409.
SAURON (J.L.), « L’affaire Schrems », La Gazette du Palais, n°302, p. 7.
SERRAT (D.), « Vers une reconquête de la souveraineté numérique ? », L’ENA hors des murs , 2019/4, n°496, pp. 24-25.
ZUBAIR (A.), SADIQ (M.), BINBESHR (F.) , « Controlled access to cloud resources for mitigating Economic Denial of Sustainability (EDoS) attacks », Computer Networks , Vol 97, pp. 31-47, 2016.
– ARTICLES DE PRESSE
CISPE, « Démonstration du premier catalogue de services cloud fédérés Gaia-X », 17 novembre 2022.
CROCHET-DAMAIS (A.), « OVH Cloud entend s’ériger en leader du cloud souverain en Europe », Journal du net, 2022
DADDAR (S.), « Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities: Paving the way toward adequacy », Data Protection Report , 2022.
FISCHER (P.), « Schrems II ou la quadrature du cercle », Swissprivacy , 2020.
FISCHER (P.), PITTET (S.), « US CLOUD Act – Un aperçu », Swissprivacy , 2021 FOLLOROU (J.), « Les services secrets britanniques ont accès aux données des clients français d’Orange », Le Monde , 20 mars 2014.
GAVOIS (S.), « Chiffrement homomorphe : une idée vieille de 50 ans, qui prend « vie » depuis 10 ans », Next Inpact , 15 février 2023.
GONDOLO (J.), « Le RGPD vu des deux côtés de l’Atlantique : des divergences philosophiques inconciliables ? » The Conversation , 2018.
GREENWALD (G.), MACASKILL (E.) , « NSA Prism program taps in to user data of Apple, Google and others », The Guardian , 2017.
G’SELL (F.), « Quel avenir pour les transferts transatlantiques de données après la sanction de meta par l’autorité de protection des données irlandaise ? », SciencesPo Chaire Digital, Gouvernance et Souveraineté, 2023.
GULIANI (N. S.), The Cloud Act is a dangerous piece of legislation, ACLU. American Civil Liberties Union , 2023.
HADDAD (S.), CASANOVA (A.), DUBOIS (N.), « Arrêt “Schrems 2”, La Cour de Justice de l’Union Européenne invalide le système du “Privacy Shield” », Village de la Justice, 2020. KREBS (B.), « Amazon: Hey Spammers, Get Off My Cloud! », The Washington Post , 1er juillet 2008.
NOYB , « La Commission européenne soumet les transferts de données entre l’UE et les Etats-Unis à un troisième examen par la CJUE », Noyb , 2023.
PEYROU (S.), « Bis repetita…Les États membres ne peuvent pas imposer une obligation générale de conservation de données aux fournisseurs de services de communications électroniques », Groupement d e recherche RUEDELSJ , 2016.
PIQUARD (A.), « Europe – Etats-Unis : l’accord transatlantique controversé de transfert des données validé par Bruxelles », Le Monde , 2023.
RUIZ (D.), « A new backdoor around the Fourth Amendement: The CLOUD Act », Electronic Frontier Foundation, 2018.
UNTERSINGER (M.), « Protection des données : pour la présidente de la CNIL, « il y a une prise de conscience mondiale », Le Monde , 15 avril 2019.
SUN (X.) , Decoding China’s “Common Prosperity” Drive. The London School of Economics and Political Science , 2022.
– DOCUMENTS OFFICIELS
Clarifying Lawful Overseas Use of Data Act , mai 2018.
Communiqué de presse de la Première Ministre, « Actualisation de la doctrine d’utilisation de l’informatique en nuage par l’Etat » n° 6404/SG, 31 mai 2023,
California Consumer Privacy Act of 2018, § 1789.199.10
CEPD, Foire aux questions sur l’arrêt rendu par la Cour de justice de l’Union européenne dans l’affaire C-311/18 – Data Protection Commissioner contre Facebook Ireland Ltd et Maximillian Schrems, 23 juillet 2020.
CEPD, Recommandations 01/2020 « on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data », 10 novembre 2020, 38 p.
CEPD, Recommandations 03/2022 « on Dark patterns in social media platform interfaces: How to recognize and avoid them », 21 mars 2022, 64 p. CEDH , Janowiec et autres c. Russie, nos 55508/07 et 29520/09, §§ 213-214, 21 octobre 2013.
CJUE, Jugem ent du 8 avril 2014, Digital Rights Ireland Ltd, C-293/12 et C-594/12, ECLI:EU:C:2014:238
CJUE, Jugement du 6 octobre 2015, Schrems I, C-362/14, ECLI:EU:C:2015:650. CJUE, Jugement du 16 juillet 2020 Schrems II , C-311/18, ECLI:EU:C:2020:559 CNIL, Délibération SAN-2022-023 du 19 décembre 2022.
European Union External Action, « Questions and Answers about the East StratCom Task Force », 27 octobre 2022.
Executive Order « Enhancing safeguards for United States signals intelligence activities », E.O. 14086 of Oct 7, 2022.
Foreign Intelligence Surveillance Act (FISA) section 702, 50 U.S.C. §§ 1821-1829. 2001. Gouvernement français, communiqué de presse du 2 novembre 2021, « Cédric O annonce une stratégie d’innovation mobilisant près 1,8 Mds€ de financements publics et privés pour soutenir la filière Cloud », n°1617.
Groupe de travail « Article 29 » sur la protection des données, Opinion 01/2016 on the EU –
U.S. Privacy Shield draft adequacy decision, 16/EN WP 238, 2016.
Groupe de travail « Article 29 » sur la protection des données, Avis 01/2008 sur les aspects de la protection des données liés aux moteurs de recherche, 2008.
ENISA, « Cloud computing : benefits, risks and recommendations for information security », 2009, 6 p.
United States v. Microsoft Corporation , 253 F.3d 34 (D.C. Cir. 2001).
United States Judicial Redress Act of 2015, 5 U.S.C. §552a
USA FREEDOM Act of 2015, H.R.2048, 2 juin 2015.
– CONFÉRENCES, COLLOQUES ET RAPPORTS
BAYART (B.), « Cloud souverain – Géopolitique de la data » USI , 2022.
BIGOT (R.), CROUTTE (P.), « La diffusion des technologies de l’information et de la communication dans la société français », Centre de recherche pour l’étude et l’observation des conditions de vie, 2012.
BOURLIATAUX-LAJOINIE (S.), DAVID (M.), « Analyse de la stratégie de légitimation d’un Cloud Souverain par l’Etat – le cas français », AIM Montréal, 2018.
DELETTRE (C.), BOUDAOUD (K.), RIVEILL (M.), « Cloud Computing, Sécurité et Dissimulation de Données », 7ème Conférence sur la Sécurité des Architectures Réseaux et Systèmes d’Information , 2012.
HUMAN RIGHTS WATCH, « Groups Urge Congress to Oppose US-UK Cloud Act Agreement », 2019
SYNERGY RESEARCH GROUP, « On-Premise Data Center Capacity Being Increasingly Dwarfed by Hyperscalers and Colocation Companies », 2023.
WEISS (M. A.), ARCHICK (K. ) U.S.-EU Data Privacy: From Safe Harbor to Privacy Shield. Congressionnal Research Service , 2016, 7–5700 .
Centre de recherche, Information, Droit et Société, Milieu Consulting SRL, ( dir . EDPB)
« Study on the enforcement of GDPR obligations against entities established outside the EEA but falling under Article 3(2) GDPR » Final Report, 2021.
– THÈSES
JACOB (S.), dir . CANTEAUT (A.), Protection cryptographique des bases de données : conception et cryptanalyse. Université Pierre et Marie Curie, 2012.
HARIVEL (J.), dir . GILLES (W.), Libertés publiques, libertés individuelles. Risques et enjeux de la société numérique. Université Panthéon-Sorbonne – Paris I, 2018.
