L’utilisation des services cloud et des datacenters est devenue, depuis quelques années, la norme pour nombreux parmi nous. Aujourd’hui, les entreprises refusant d’utiliser ces nouvelles technologies doivent souvent payer plus cher pour des services moins efficaces, moins sécurisés et moins disponibles.
Lorsqu’une compagnie décide de migrer son environnement digital hors site (dans un datacenter ou dans le cloud), elle se pose souvent la question de la protection de ses données lorsque la domiciliation de celles-ci se trouve en dehors des frontières helvétiques.
Nous tenterons de répondre à cette question, en précisant que je ne suis pas juriste et qu’actuellement il n’y a que très peu de jurisprudence à ce sujet.
La Suisse
Une des raisons souvent invoquées en faveur du stockage des données en Suisse, est la supposée garantie d’une meilleure protection. Ceci n’est pas entièrement vrai. Certes, en Suisse, la protection des données bénéficie d’une juridiction sérieusement appliquée, d’une stabilité politique et économique, et de l’absence de catastrophes naturelles (tsunami, tremblement de terre, etc.). Aussi, il est rassurant de conserver nos données dans notre propre juridiction, car nous sommes de toute façon soumis aux lois locales et que, à priori, elles nous sont connues.
Toutefois, la protection des données en Suisse n’est pas sans faille : par exemple, en mars 2018, le gouvernement a voté la loi du LRens autorisant entre autres le gouvernement à infiltrer les systèmes et les réseaux informatiques, voir les perturber ( Art. 26 al. 1d), ceci même à l’insu des personnes concernées (Art. 5 al. 4) et à transmettre les informations à des services étrangers (Art. 12 al. 1a).
Les pays membres de l’Union européenne et les États-Unis respectent les droits civils. Dans l’éventualité d’un mandat international, que nos données soient en Suisse, dans l’Union européenne ou aux États-Unis, les probabilités de subir une perquisition sont très similaires. De surcroît, la Suisse est l’un des pays fondateurs d’Interpol, ayant pour but de promouvoir la coopération policière internationale.
Le CLOUD Act
Microsoft va prochainement ouvrir son datacenter en Suisse et offrira ainsi ses services cloud Azure et Office 365 avec une résidence des données en Suisse.
Est-ce que la résidence des données en Suisse suffit-elle pour les protéger, lorsqu’elles sont gérées par une compagnie américaine ? Est-ce que le CLOUD Act permet aux Etats-Unis de se servir librement dans les datacenters à travers le monde ?
Le CLOUD Act est une loi américaine facilitant l’accès aux données stockées chez des fournisseurs de services (datacenter et cloud), qu’elles se situent sur le territoire américain ou à l’étranger. Cette loi n’accorde pas au gouvernement américain une carte blanche pour espionner tout datacenter du monde géré par une compagnie américaine : la réalité n’est pas si simple et il y a des nuances importantes à considérer.
Le CLOUD Act a pour but de simplifier les procédures légales et policières lorsqu’il y a des enquêtes pénales portant sur des données se trouvant à l’étranger. Il n’y a pas si longtemps, il était extrêmement difficile et long pour les forces de l’ordre américaines ou suisses d’obtenir des informations sur l’identité ou l’adresse IP d’un bloggeur lorsque le site web en question ou ses données étaient dans une autre juridiction. A cause de cette difficulté, de nombreux criminels ont disparu ou ont pu masquer leurs traces avant que la police puisse agir efficacement. Le CLOUD Act permet de simplifier et organiser les démarches légales, en proposant des solutions bilatérales. Le CLOUD Act peut ainsi aider autant les forces de l’ordre américaines que suisses.
Le CLOUD Act n’est pas une loi révolutionnaire, mais une évolution logique des lois actuelles. Depuis la convention de Budapest en 2001, les pays signataires ont la compétence d’obtenir les preuves des crimes commis en dehors de leur juridiction. D’autres pays ont déjà effectué des démarches dans le sens du CLOUD Act : depuis longtemps, les tribunaux français autorisent la police à obtenir des données hors de France, dans la mesure où elles sont accessibles via un ordinateur en France; plus récemment, en février 2019, le Royaume-Uni a adopté la loi sur la criminalité (Overseas Production Orders), permettant aux forces de l’ordre britanniques d’obtenir des données électroniques stockées dans une société située en dehors du Royaume-Uni.
Afin d’obtenir un mandat, les autorités américaines doivent démontrer qu’un crime a été commis et justifier réellement de l’importance de l’intervention. L’assistance et l’obtention d’un mandat ne sont donc pas automatiques ; les entités internationales ne peuvent ainsi pas s’adonner à l’espionnage systématique et en masse (tel que le monde entier l’a reproché aux Etats-Unis suite aux révélations de Snowden).
Lorsqu’un datacenter ou service cloud reçoit une demande de perquisition à travers le CLOUD Act, il peut la contester et y faire opposition. Si la perquisition est en conflit avec les lois locales, elle n’est simplement pas applicable. Ainsi, les données protégées par la loi suisse ne pourront pas être perquisitionnées même en appliquant le CLOUD Act.
Ceci est particulièrement important, car il en découle que la sécurité de nos données dans un datacenter dépend directement des compétences du département légal de celui-ci et de sa volonté à combattre la perquisition, ainsi que les lois de protection des données du pays où se trouve ce datacenter.
Quel pays possède des lois protégeant au mieux les données et les secrets professionnels ? Quel pays interdit les perquisitions lorsque les personnes concernées n’ont pas été averties ? Quel datacenter fait systématiquement opposition aux perquisitions ? Quel datacenter a le meilleur département juridique ? C’est à ces questions qu’il faut essayer de répondre pour choisir correctement la résidence de ses données…
Il est aussi clairement indiqué dans le CLOUD Act que les fournisseurs soumis à la législation américaine, telle une société exerçant des activités aux États-Unis (y compris les entités basées à l’étranger avec des filiales américaines), peuvent être soumis à une ordonnance judiciaire pour fournir des données sous leur contrôle, indépendamment du lieu de stockage de leurs données. Cela signifie que toute société ayant un bureau ou une filiale aux États-Unis est soumise au CLOUD Act. Nous pouvons donc répondre à notre première question : le nouveau datacenter de Microsoft est soumis au CLOUD Act.
Dans ce contexte (et à nouveau selon moi), , il me semblerait que Swisscom, une compagnie suisse ayant un bureau en Californie, serait aussi soumis au CLOUD Act; ainsi, les données stockées chez Swisscom en Suisse seraient légalement aussi soumises à cette loi.
En Conclusion
Le CLOUD Act n’a pas modifié la capacité des fournisseurs de services cloud à protéger les données de leurs clients. Les données peuvent être protégées et cryptées afin d’empêcher la lecture du contenu des données cryptées, même en cas de mandat de perquisition.
Par exemple, très récemment, MongoDB (un système de base de donnée très populaire) a mis en place un nouveau service de cryptage d’informations qui permet de n’être que décrypté sur la machine de l’utilisateur, résolvant ainsi les problèmes de résidence du stockage des données.
Pour conclure, il faut souligner que les plus grandes menaces pour nos données ne sont pas les gouvernements (qui souhaiteraient effectuer des perquisitions légales), mais les hackeurs et le crime organisé. Pour eux, ni les lois, ni la juridiction, protègent leur cible ou changent leur façon de procéder.
En cherchant une solution cloud ou un datacenter, examinez les outils, systèmes et services offerts pour protéger vos données contre la perte et le vol par des hackeurs, plutôt que de chercher quel gouvernement pourrait y accéder.
