Le Cloud computing : qu’en est-il de la protection des données ?
Dit aussi « informatique en nuage », le Cloud Computing fait référence selon la CNIL « à l’utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs répartis dans le monde entier et liés par un réseau ». En recourant au cloud, les données ne sont dès lors pas stockées sur un ordinateur bien déterminé mais se trouvent dans un nuage comportant des serveurs connectés entre eux.
Le recours au cloud est avantageux en ce qu’il permet la centralisation des données tout en les rendant mieux accessibles. Son utilisation est toutefois source de risques pour les droits et libertés des personnes. La CNIL a ainsi décidé de prioriser ce sujet pour l’année 2022 tout en invitant les entreprises à porter une attention particulière à ces problématiques.
Des difficultés diverses
Le Cloud Computing suscite des questions diversifiées liées notamment à la conformité des solutions proposées. La plupart des technologies sur le marché sont étrangères et leur utilisation implique un hébergement des données hors UE. Les pays accueillant les données ne présentent dès lors pas toujours un niveau de protection adéquat et les flux des données ne sont pas nécessairement réalisés en recourant à des mesures de sécurité adaptées. Aussi, les garanties mises en place ne sont pas toujours suffisantes et ne permettent pas de légitimer le transfert en question.
D’autres difficultés concernent les offres qui sont le plus souvent standardisées et les clauses des contrats imposées aux clients sans possibilité de négociation. Un manque de transparence quant à la sécurité des données existe aussi dans certains cas. Par ailleurs, la relation de sous-traitance concernée n’est pas toujours encadrée de manière conforme et le responsable de traitement n’a pas (ou a très peu) de marge de manœuvre sur les règles régissant cette relation.
Dans cette perspective, une action a été lancée en février 2022 par 22 autorités européennes de protection des données sur l’utilisation par le secteur public de services utilisant le cloud[1] afin de s’assurer que ces solutions respectent bien le RGPD, y compris le processus et les garanties mises en œuvre lors de l’acquisition de services cloud, les conditions liés aux transferts internationaux, etc.
La CNIL a également alerté sur les risques dus à la configuration par défaut des espaces de stockage[2]. Ne reflétant pas toujours les besoins de sécurité de chaque entreprise, des fuites de données peuvent avoir lieu et engendrer des risques élevés pour les personnes concernées.
[1] Lancement d’une application coordonnée de l’utilisation du cloud par le secteur public, EDPB
[2] Les défauts de configuration des espaces de stockage dans le cloud public, CNIL
Des risques concrets
Ces risques ont été identifiés par la CNIL dans le cadre du Health Data Hub. Créé par arrêté du 29 novembre 2019, le HDH vise à faciliter le partage des données provenant de différentes sources afin de notamment promouvoir la recherche. Alors qu’initialement, il était prévu de recourir aux services de Microsoft pour le stockage des données, la CNIL a souhaité que l’hébergement soit confié à des entités relevant des juridictions de l’UE[1] au vu de la sensibilité des données qui seront enregistrées sur la plateforme. Le risque de transfert des données vers les Etats-Unis a aussi été relevé par le Conseil d’Etat en raison de la soumission de Microsoft au droit étatsunien[2]. La demande d’autorisation délivrée pour le HDH a ainsi été retirée.
De même, il est désormais interdit aux ministères et administrations de recourir au cloud Microsoft 365 pour l’hébergement de leurs données. Afin de garantir la sécurité des données et d’éviter toute divulgation des données des européens par des structures américaines, il est imposé de choisir uniquement à des clouds sécurisés, telle qu’une solution cloud interne de l’Etat ou toute offre ayant reçu le label de l’ANSSI « SecNumCloud ».
La CNIL a d’ailleurs récemment pris position sur les outils collaboratifs états-uniens en matière de recherche[3]. Elle considère que les données traitées concernent un nombre important d’utilisateurs, et qu’un risque d’accès par les autorités américaines aux données stockées existe. Cet accès est considéré comme constituant une divulgation non autorisée au titre de l’article 48 du RGPD.
Cet accès aux données ne semble toutefois pas possible dans certains cas. Ainsi, le Conseil d’Etat a considéré que les données personnelles qui transitent par Doctolib dans le contexte de la vaccination contre le Covid-19 bénéficient d’une protection adaptée bien qu’AWS ait été choisi pour les héberger[4]. En effet, les deux sociétés ont conclu un avenant permettant de lutter contre la mainmise des autorités américaines sur les informations des patients français. Doctolib a aussi mis en place une procédure de chiffrement, ce qui empêche la lecture des données par un tiers, donc par AWS.
[1] La Plateforme des données de santé (Health Data Hub), CNIL
[2]Health Data Hub et protection de données personnelles, Conseil d’Etat
[3]Position de la CNIL sur les outils états-uniens pour l’enseignement supérieur et la recherche, CNIL
[4] Le juge des référés ne suspend pas le partenariat Ministère de la Santé/Doctolib, Conseil d’Etat
Des points d’attention
La CNIL suggère[1] que l’entreprise qui souhaite recourir à un service de Cloud Computing mette en place un certain nombre d’actions afin d’assurer une utilisation conforme de cette technologie. Il est recommandé, lors du choix du service, de conduire une analyse de risques en prenant en compte les garanties offertes (encadrement des transferts, sécurité des données…) et de comparer les contrats proposés par différents prestataires.
Il aussi recommandé :
- D’identifier clairement les données et les traitements qui passeront dans le cloud.
- De définir ses propres exigences de sécurité technique et juridique et d’évaluer si l’offre répond à l’ensemble des exigences formulées.
- D’identifier le type de Cloud pertinent pour les traitements en question.
- De choisir un prestataire présentant des garanties suffisantes et donc d’évaluer le niveau de protection assuré par chaque prestataire.
- De revoir la Politique de Sécurité Interne.
- De surveiller les évolutions dans le temps et donc d’évaluer de manière périodique le service du cloud en tenant compte de l’évolution dans le temps de la législation, du contexte, des risques ou encore des solutions proposées sur le marché.
Dans cette perspective, la CNIL a approuvé en juin 2021 le premier code de conduite européen dédié aux fournisseurs de services d’infrastructure Cloud[2]. L’objectif consiste à aider les adhérents à démontrer à leurs clients qu’ils respectent bien les exigences de l’article 28 du RGPD et de faciliter la mise en conformité tout en proposant des bonnes pratiques.
[1]Recommandations pour souscrire à des services de Cloud Computing, CNIL
[2] La CNIL approuve le premier code de conduite européen dédié aux IaaS, CNIL
