Dans quelle mesure le Cloud Act, qui autorise la justice US à saisir n’importe quelle donnée y compris hors du territoire national, est compatible avec l’article 48 du RGPD, qui proscrit les transferts ou divulgations de données hors de l’UE ?
De manière pragmatique, bien avant le Cloud Act, il y avait déjà des cas où cet accès à la donnée était opéré de manière légale aux USA mais illégale d’un point de vu d’un état membre de l’UE, par exemple pour des raisons de sécurité nationale. Rien ne change sur ce point.
Le Cloud Act force principalement l’ouverture de l’accès à la donnée de manière transfrontalière dans le cadre d’enquête judiciaire où ce besoin est « crédible » et « justifiable ».
Ceci serait tout à fait compatible avec l’article 48 qui n’interdit pas l’échange de donnée s’il y a un cadre légal (transfrontalier). J’y vois un bénéficie immédiat dans la lutte contre le cyber-harcèlement. Certaines plateformes, par exemple de micro-blogging, devront désormais collaborer avec les forces de l’ordre d’un pays de l’UE pour lutter contre ce fléau. Il y a également des cas où l’application peut être néfaste.
Par le passé (i.e. : ère pré-Snowden), les services juridiques des grands fournisseurs de services Cloud (CSP) américains ont mené quelques combats pour défendre leur obligation de protection de la donnée (i.e. : statu quo) cependant ils cèdent de fait à la loi américaine lorsque tous les recours sont épuisés. Le Cloud Act change ce paradigme pour ôter cette responsabilité (de défense) des CSP et faciliter l’accès à la donnée aux institutions américaines, et des pays qui ont rejoint l’accord.
Le danger est donc autour des négociations d’accords qui se dérouleront entre l’UE et les US et surtout il est nécessaire de déjouer les pièges/abus qui pourraient se cacher dans les milliers de pages du document.
Je finirai en disant qu’il est déjà possible de se protéger de tels abus grâce à des technologies ou des services de sécurité. Cela doit s’intégrer davantage dans la conception des applications modernes et aux cahiers de charges des projets Cloud des entreprises.
L’article 48 du RGPD n’interdit pas en soi les transferts de données hors de l’Union Européenne, mais les encadre très strictement. En effet, la décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant de tels transferts n’est pas suffisante et doit être fondée sur un accord international.
Il en résulte que les États-Unis devront négocier avec les pays de l’Union Européenne des accords bilatéraux.
Aux termes du Cloud Act, les négociations d’accord bilatéraux sont conditionnées. Ainsi, toute requête devrait avoir lieu dans le cadre d’une enquête criminelle, viser une personne spécifique et être fondée sur des éléments crédibles. Théoriquement, les données récoltées dans le cadre d’une enquête ne pourraient donc pas être utilisées pour restreindre la liberté d’expression.
De plus, le Cloud Act donne aux CSP américains un délai de 14 jours pour se manifester dans l’hypothèse d’un conflit juridique avec le pays concerné. Dans ce délai, un tribunal devra être saisi, afin d’analyser ledit conflit.
Au regard de ces différents éléments, il ne me semble donc pas qu’il y ait une réelle « incompatibilité » entre le Cloud Act et l’article 48 du RGPD.
Il n’en demeure pas moins que l’application du Cloud Act est susceptible de susciter des dérives au regard du RGPD, en ce sens qu’il fait peser des risques sur les clients européens des CSP américains.
Dans ce contexte, quelles sont les marges de manœuvres qui s’offrent aux clients européens qui hébergent leurs données dans le datacenter d’un Cloud provider US mais qui veulent rester conformes au RGPD ?
À mon sens, la cartographie de la donnée et sa classification est primordiale pour définir quelle donnée doit être stockée où et comment la protéger.
Ensuite il faut saisir des opportunités métiers pour intégrer la sécurisation de la donnée au cœur des projet par exemple :
- Mise en place d’une gestion des données de référence (GDR) en vue d’un projet Big Data ou de Deep Learning.
- Modularisation d’une application à travers du Multi-Cloud : par exemple une application distribuée entre des SaaS (CRM, API Gateway) et du Cloud Hybride (ERP, Référentiel de données on-premise)
- Open Banking, IoT, IA, autres.
Avec des enjeux métiers clairement identifiés, il est possible d’associer des services et des mesures de sécurité à mettre en place (ex : tokenisation, sonde d’analyse comportementale, etc.) en fonction du type et de la localisation de la donnée.
Finalement, les clouds « souverains » sont des pistes crédibles pour l’hébergement de la donnée quand bien même un changement de législation pourrait mettre à mal cette protection, d’où ma préférence pour une approche plus modulaire par application.
Effectivement, le stockage et la localisation des données sont des sujets primordiaux pour les clients européens.
Afin de disposer de garanties suffisantes en matière de sécurité et de confidentialité des données, et au regard du RGPD, la piste des clouds souverains offre une alternative intéressante à ces clients (a minima pour les applications critiques de l’entreprise).
Tribune rédigée par : Johan Soula & Hanaé Desbordes, respectivement cyber security lead & juriste chez InterCloud