Cette année, Microsoft a investi des centaines de millions de dollars en R&D (recherche et développement de nouvelles applications) afin d’améliorer les centres de données qui fondent son cloud computing. Les spécialistes prédisent alors qu’il deviendra rapidement l’acteur le plus prééminent et rentable en la matière.
Bien que l’émergence du cloud computing, ou « de l’informatique dans les nuages », présente des aspects pratiques indéniables, celui-ci suscite cependant de multiples questions, relatives tant aux avantages qu’aux risques qu’il emporte.
L’usage de cet outil novateur, qui « pourrait bien révolutionner l’informatique des entreprises », présente d’importants risques juridiques en matière de protection des données qu’il traite. Une problématique qui ne doit pas être prise à la légère, au regard de la croissance de cet outil et des dépenses mondiales en services de cloud computing susceptibles d’augmenter de 23% en 2023 selon un rapport de Canalys.
Définition du cloud computing, ou de “l’informatique dans les nuages”
Le cloud computing, autrement dit l’« informatique dans les nuages », ne connaît pas de définition uniformisée. On le définit comme un procédé qui consiste à stocker de manière externalisée, dans le monde entier et liées par un réseau tel internet, des données dans un « nuage informatique ».
Selon la CNIL, le cloud se caractérise par deux éléments :
- l’externalisation ;
- ainsi que la simplicité et la rapidité d’accès aux ressources.
Il s’agit alors de « la forme la plus évoluée d’externalisation, dans laquelle le client ou l’utilisateur dispose d’un service en ligne dont l’administration et la gestion opérationnelle sont effectués par un sous-traitant ».
Quant à la définition apportée par le National Institute of Standards and Technology (NIST), il s’agirait de « l’accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables ».
Sur le plan de la propriété intellectuelle, le Conseil supérieur de la Propriété Littéraire et Artistique a rendu un avis consultatif le 23 octobre 2012 relatif au cloud computing, qu’il définit comme étant « caractérisé par le stockage à distance de données dans le but d’en permettre la consultation et/ou la reproduction sur une pluralité d’appareils, connectés à internet, au profit des utilisateurs de cette technologie ».
En outre, ce sont des services informatiques fournis à distance par l’intermédiaire d’un réseau et auxquels on accède par internet.
Cet outil présente ainsi de nombreux avantages pour les utilisateurs, rimant avec connexion permanente à des applications, au stockage de données et à diverses ressources informatiques. Mais il a également de nombreux avantages pour les entreprises, leur permettant de bénéficier d’un service à moindre coût, sans investissement en termes d’infrastructures et de dépenses en capitaux. Le cloud computing suscite toutefois une importante méfiance en matière de protection des données.
Le cloud computing, un nuage de problématiques juridiques et de risques en matière de protection des données
Au cœur des services de cloud computing se trouvent les données. Le cloud présente ainsi diverses difficultés en matière de protection des données à caractère personnel.
Comme dans tous projets informatiques, la sécurité s’analyse en termes de disponibilité, d’intégrité, de confidentialité des données, ainsi que de gestion des preuves informatiques.
Différents risques peuvent être générés par le cloud computing :
- Risque en matière de sécurité : bien que le niveau de sécurité des fournisseurs de service cloud soit élevé, ces derniers font cependant l’objet d’attaques récurrentes. D’autant que la concentration de toutes les données au même endroit est davantage propice aux hacking. De plus, le fait que les données transitent sur le réseau internet contribue à accroître les risques sécuritaires en matière de protection de données.
- Un autre risque constitue, essentiellement pour les entreprises, la perte de contrôle (ou de souveraineté sur les données) : en effet, de nombreux pays ont mis en place des législations ou des pratiques, comme le Cloud Act américain, en vue de leur permettre d’accéder aux données hébergées sur les services cloud.
- Risque de perte de données dans le cadre de procédures de sauvegardes ou de stockage
- Risque de fuite des données et de perte de confidentialité, un risque accru au regard du nombre de serveurs existants et de la délocalisation de ces derniers.
- Difficultés en matière de transfert de données hors de l’Union Européenne, subordonné par la loi à des formalités d’autorisation
Toutes ces difficultés potentielles doivent alors être appréhendées afin de les prévenir. En témoigne par exemple la politique de « cloud prioritaire » du gouvernement américain dès 2010 ou encore le « Cloud Act » adopté par le congrès américain en 2018. Ce dernier permet aux agences de renseignement américaines d’obtenir les informations stockées dans les serveurs des fournisseurs de services de cloud computing. Dans ce prolongement, les instances européennes ont débuté un travail sur un « cloud Act européen » destiné à établir un cadre juridique et à instaurer une souveraineté de l’UE sur son propre cloud.
Le rôle du RGPD en matière de protection des données personnelles traitées par le cloud, un champ d’application cependant limité aux personnes physiques
Le RGPD (Règlement général pour la protection des données personnelles) tend à régir certaines problématiques du cloud, en matière de protection des données personnelles. Toutefois, son champ d’application demeure limité, en ce qu’il se limite aux problématiques touchant les personnes physiques, excluant les entreprises.
Le RGPD vise donc à protéger les données personnelles des personnes physiques, en imposant le respect de divers principes :
- Principe de transparence : les personnes physiques doivent être informées par les fournisseurs de cloud de l’usage qui va être fait de leurs données personnelles. Ce principe est corrélé à un principe de consentement, dans l’hypothèse des cookies par exemple.
- Principe de limitation des traitements : le traitement des données personnelles par les fournisseurs de service cloud doit se limiter à l’usage qui a fait l’objet de l’information.
- Principe de sécurité : les fournisseurs doivent sécuriser au maximum les traitements de données, de sorte à empêcher toute fuite de données. En cas de fuite des données, présentant un risque, existe une obligation d’information de la CNIL et des personnes concernées. Tel serait notamment le cas d’un vol de données bancaires.
- Principe de portabilité : l’entreprise doit, à la demande de la personne physique, rendre ses données personnelles afin de lui permettre de les transférer sur un autre service. L’objectif est ainsi de permettre de passer d’un service à un autre librement et simplement.
S’agissant de la protection des données personnelles des entreprises, celles-ci sont en réalité protégées « indirectement » par le RGPD. En effet, en imposant la mise en place de mesures sécuritaires, le RGPD entend offrir des garanties suffisantes de sécurité à toute entreprise qui aurait recours à un fournisseur de cloud. En outre, le RGPD vient imposer aux entreprises d’intégrer différentes clauses dans leur contrat avec les fournisseurs de cloud, afin de se prémunir contre tout risque.
Les contrats cloud contiennent également des protections supplémentaires destinées à sécuriser la relation, relatives à la disponibilité des données qui se trouvent dans le cloud d’un tiers (clauses de disponibilité), des protections en terme d’audit avec l’obligation du fournisseur de se faire auditer par un tiers en vue de vérifier que la sécurité est suffisante et que ses engagements sont respectés, ou encore des clauses visant à protéger la réversibilité/portabilité. L’encadrement juridique et contractuel apparait ainsi primordial pour prévenir les risques liés à ce service.
Une question subsiste toutefois : la protection prévue par le RGPD est-elle suffisante ?
Comme dit précédemment, la protection des données du cloud par le RGPD se cantonne aux personnes physiques. Ce premier élément suscite alors une insuffisance de protection, excluant de son champ d’application toutes les entreprises, exposées aux mêmes risques.
Il conviendra toutefois, pour l’apprécier, d’attendre que les autorités de protection des données personnelles prennent des mesures et appliquent lesdites règles afin de déterminer si le RGPD est suffisant en la matière. Il convient toutefois de constater qu’en pratique les autorités de protection des données personnelles tendent à s’inscrire de plus en plus dans une « voie de répression ». En témoignent le prononcé de diverses sanctions par la CNIL auprès de fournisseurs cloud, comme Google ou encore Amazon. En 2019 par exemple, la CNIL a infligé 7 amendes pour un montant total de 51 370 000 euros pour manquement aux règles du RGPD en matière de protection des données.
La responsabilité des acteurs du cloud computing, une responsabilité partagée
La responsabilité retenue, en cas de dommage matériel ou moral du fait d’une violation des règles, est une responsabilité partagée. Les fournisseurs sont chargés d’assurer la sécurité des infrastructures et des services, tandis que les entreprises ou personnes utilisatrices sont tenues de protéger leurs actifs hébergés dans le Cloud.
L’article 82 du RGPD, relatif droit à réparation et responsabilité, dispose :
- Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d‘obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
- Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.
- Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.
- Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.
- Lorsqu’un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparer totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2.
- Les actions judiciaires engagées pour exercer le droit à obtenir réparation sont intentées devant les juridictions compétentes en vertu du droit de l’État membre visé à l’article 79, paragraphe 2.
Il en résulte que, sur le fondement d’un modèle de sécurité partagée, aucune des parties ne pourra supporter à elle seule l’entière responsabilité de la sécurité des données. En effet, tous, tant les utilisateurs que les fournisseurs de services cloud, ont pour mission commune de veiller à la sécurité de l’usage du cloud. À l’ère de l’économie numérique, ce partage des responsabilités apparaît comme un facteur de confiance renforcée, de réduction des risques sécuritaires, et de succès opérationnels pour les entreprises.
Toutefois, il convient de souligner la tendance du droit français à retenir comme responsabilité première en matière de données personnelles, pour manquement aux obligations de sécurité et de confidentialité, celle du responsable du traitement, et non du sous-traitant. En effet, le droit français considère en principe ce prestataire tiers (le tiers qui héberge le système du cloud computing) comme un sous-traitant des données agissant conformément aux instructions d’un responsable des données.
La question du partage / répartition des responsabilités entre le prestataire de services de cloud et son client apparaît alors importante. Si celle-ci est en partie, mais de façon encore laconique, régie par l’article 82 du RGPD, il convient de s’interroger sur l’évolution future de cette responsabilité, Gartner énonçant que “d’ici 2025, pas moins de 99% des incidents de sécurité liés au cloud seront imputables au client”.