Article rédigé le 23 mars 2012

PRISM, un nouveau regard sur le droit de la SSI ?

Depuis quelques semaines, il n’est pas une conférence ou une table-ronde à laquelle nous assistons où la problématique de l’application du Patriot Act au Cloud computing n’est pas évoquée. Rappelons les faits à l’origine de cette prise de conscience et du buzz médiatique croissant autour de cette question : le FBI, utilisant les dispositions du Patriot Act (en pure théorie limité à la lutte contre le terrorisme), a pu accéder sans difficulté en fin d’année 2011 aux serveurs de messagerie de la société MegaUpload.

Cette société, qui avait a priori bien pris soin de s’établir hors de portée des juridictions US, utilisait pour sa messagerie un prestataire dont les serveurs étaient, eux, aux USA. En dépit des engagements contractuels les plus stricts afférents à la confidentialité des données dont il assurait la conservation, ce prestataire était non seulement tenu, de par le Patriot Act, de fournir les données sur demande, mais au surplus, il ne devait sous aucun prétexte informer son client de cet état de fait (gag order), quel que soit là aussi le contenu des contrats conclus. Les suites de l’exploitation de ces données par le FBI sont connues.

Certes, tout le monde n’a pas l’activité controversée de MégaUpload, mais arrêtons de feindre de se rendre compte aujourd’hui de ce que les juristes rappellent de manière constante depuis plusieurs années :

• Oui, des données que l’on a externalisées dans des pays étrangers se trouvent de facto - et quoi qu’il soit prévu dans les contrats - à la merci de l’application de ces droits étrangers (sans même parler des risques d’intelligence économique) ;
  
• Oui, la réplication des données à travers le globe est peut-être une bénédiction technique, mais elle soulève de fortes problématiques juridiques , la législation de chaque pays où les données sont hébergées (ou reconstituables) pouvant s’appliquer dans toute sa rigueur.
  

De la même manière que pour le Patriot Act, soyons conscients des risques concernant l’utilisation croissante de services dans des Clouds opaques dont on ne sait rien, et surtout pas où vont les données : les données à caractère personnel concernant les clients ou les salariés ne doivent pas, sans autorisation expresse de la CNIL, être hébergées ailleurs que dans l’Union Européenne et quelques rares pays triés sur le volet. Et la CNIL ne peut donner son autorisation si les principaux acteurs du marché n’indiquent pas clairement leurs lieux de stockage, ni la sécurité entourant les données. De ce fait, généraliser l’utilisation de logiciels envoyant ces données dans des Clouds internationaux, sans autorisation de la CNIL (impossible à obtenir de facto), ne fait qu’accroître le risque de sanctions de la CNIL et/ou du juge pénal…

Là encore, faudra-t-il attendre la prochaine grande affaire médiatique pour que l’on prétende « découvrir » le problème ?

La réforme européenne des règles de protection des données à caractère personnel, prévoyant une application aussi bien aux prestataires (Google, Apple, Amazon, etc.) qu’aux entreprises responsables de traitement, est ainsi une chance de tendre vers un droit international dans le domaine, plus à même d’apporter la transparence nécessaire aux investissements économiques. Vous trouverez dans les pages suivantes un aperçu des principaux apports du projet de réforme.

Car le Cloud ne doit pas être jeté avec l’eau de la pluie réglementaire, bien au contraire. Pour ne pas craindre l’orage et opérer les choix technologiques en toute connaissance de cause, il faut simplement que l’évaluation des risques juridiques soit un driver tout aussi important que la seule problématique du coût.

Article publié le 23 mars 2012 par François Coupez .