Pour une obligation d’annoncer dans quel cloud se trouvent nos données

Au sujet de la souveraineté numérique

Constat

Bien des entreprises comme des administrations publiques (hôpitaux, universités, etc.), qui jusque dans un passé récent, stockaient les données de leurs clients et usagers (c’est-à-dire, les nôtres) dans leurs propres infrastructures (on premise), les ont transférées, dans des infrastructures de cloud étrangères.

Sommes-nous informés que nos données sont passées dans un cloud étranger ? Généralement pas.

Une exigence de transparence

Le passage en mains étrangères de nos données pourtant confiées à des prestataires suisses, notamment à des acteurs publics suisses, devrait faire l’objet d’une obligation de transparence et d’information. Nous devrions savoir dans quel cloud nos données sont stockées, et par quelles entités nos données sont susceptibles d’être traitées.

Dans bien des cas, lorsque de tels transferts de données sont effectués, les organisations se contentent de mettre leurs clients et usagers devant le fait accompli, par exemple en leur transmettant de nouvelles conditions générales. Cette information a posteriori est louable, mais elle ne saurait remplacer une information juste, si ce n’est un accord à priori. Bien souvent, les conditions générales sont souvent rédigées dans des termes complexes et tellement génériques que le client signe une sorte de chèque en blanc à l’entreprise.

Un exemple suivre

La SUVA (Principal organisme d’assurance-accidents obligatoire en Suisse)[1] a consulté le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) concernant « L’externalisation de données personnelles par la Suva vers un cloud de Microsoft ». Les organisations qui externalisent nos données devraient s’inspirer de cette démarche et de la réponse donnée par le Préposé. Son communiqué publié le 13 juin 2022 informe: «En raison de divergences de vues partielles sur le plan juridique, le PFPDT suggère à la Suva de réexaminer l’externalisation des données personnelles vers un cloud exploité par le groupe américain Microsoft. »[2].

Cet exemple emblématique appelle plusieurs réflexions. D’abord, la nécessité absolue de valider avant toute externalisation de données personnelles vers un cloud étranger la réalité de la protection des données dont elles bénéficieront une fois le transfert effectué. Ensuite, la nécessaire information des intéressés, qu’ils soient clients ou citoyens, par rapport au transfert effectué, au prestataire choisi et aux garanties apportées par rapport à la protection des données transférées.

Avant chaque passage vers des solutions cloud, il est impératif d’en questionner les conséquences sur la protection des données personnelles et sur la manière dont cette dernière sera assurée par le nouveau prestataire. De plus, disposer de serveurs et de centres de données (data centers) en Suisse ne suffit pas. En effet, comme je le précise dans une interview de mars 2022 « La nationalité du prestataire de service et du développeur des logiciels qui traitent les données est encore plus importante que celle de la localisation géographique des serveurs. L’argument tentant de justifier la sécurité par le fait que les serveurs sont en Suisse est souvent d’ordre marketing et publicitaire. Il induit un sentiment de sécurité non fondé. Les lois extraterritoriales comme les lois Foreign Intelligence Surveillance Atc (FISA) (1978), PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) (2001), Cloud Act (2018) américaines, s’appliquent aux fournisseurs de logiciels (Microsoft, Amazon, Oracle, Google, …) qui stockent et traitent les données hébergées en Suisse. Être un partenaire ou intermédiaire suisse ou européen de plateformes américaines ou chinoises ne suffit donc pas à réaliser la cybersouveraineté. »[3].

Par ailleurs le rapport 2022 sur la sécurité des données dans le Cloud de la société Netrix[4] rapportait que 53% des organisations consultées avaient subie des cyberattaques sur leur infrastructures cloud dans l’année écoulée. Cela a conduit pour 49% d’entre elles, à des coûts supplémentaires de sécurité pour résoudre les problèmes.

Proposition concrète : l’obligation d’annoncer

Au regard de la réalité des cyberattaques, des incidents de sécurité et des pertes de maitrise des données et des fuites de données, il est non seulement urgent d’en comprendre l’ampleur et également de connaitre les responsabilités des acteurs impliqués.

A ces fins, il devient nécessaire d’imposer une obligation d’annoncer auprès d’autorités compétentes et des personnes concernées dans quel Cloud leurs données (les nôtres) sont stockées. Comme cela devrait être d’ailleurs fait dans tous les cas de cyberattaques et d’incidents de sécurité conduisant à des pertes de données, cela doit s’appliquer à toutes les organisations concernées et pas seulement à celles liées à des infrastructures critiques.

C’est cela aussi la transparence et le début de la reconquête de la souveraineté numérique.

 

Notes:

[1] https://www.suva.ch/fr-ch/assurance/assurance/l-assurance-accidents-selon-la-laa

[2] https://www.edoeb.admin.ch/edoeb/fr/home/actualites/aktuell_news.html#-591498255

[3]Solange Ghernaouti  https://news.infomaniak.com/cybersecurite-et-souverainete-numerique/

[4] Cloud Data Security Reports 2022 : https://www.netwrix.com/2022_cloud_data_security_report.html

 

Solange Ghernaouti

Docteur en informatique, la professeure Solange Ghernaouti dirige le Swiss Cybersecurity Advisory & Research Group (UNIL) est pionnière de l’interdisciplinarité de la sécurité numérique, experte internationale en cybersécurité et cyberdéfense. Auteure de nombreux livres et publications, elle est membre de l’Académie suisse des sciences techniques, de la Commission suisse de l’Unesco, Chevalier de la Légion d'honneur.

3 réponses à “Pour une obligation d’annoncer dans quel cloud se trouvent nos données

  1. Madame,
    Permettez que je mentionne un point important que vous omettez.
    Il est connu que lorsqu’une entreprise veut changer de fournisseur de Cloud, il est quasi impossible de rapatrier les Data dans le nouveau Cloud et assurer les Data ont bel et bien été effacées.
    Idem si un Cloud est racheté par un autre, ce qui est courant.
    Comment se prémunir de telles situations?
    Nos Data peuvent donc se retrouver dupliquées et éparpillée dans n’importe quel Cloud de la Toile.
    Merci pour votre éclairage.

  2. La proposition est déjà largement prévue par le droit suisse.
    L’art. 12 de la Loi fédérale sur la protection des données du 25 septembre 2020 (nLPD) prévoit que les responsables du traitement et les sous-traitants tiennent chacun un registre de leurs activités de traitement dans lequel figure notamment, le nom de l’État concerné s’il y a une communication de données personnelles à l’étranger (ainsi que les garanties prévues pour encadrer ce transfert).
    Les organes fédéraux ont l’obligation de communiquer ce registre d’activités de traitement au PFPDT.
    Quant à la révision en cours de la Loi sur la sécurité de l’information, elle prévoit aussi d’introduire une obligation d’annonce en cas de cyberattaque (une notion largement définie par la LSI) contre une infrastructure critique.

  3. Bravo Solange, demande très pertinente.
    Si les données sont sensibles, avant de les confier, surtout à un Cloud externe, il faut les chiffrer.
    Oui mais si on doit pratiquer des calculs ou autres traitements dans le Cloud sur ces données chiffrées ?
    Et bien il y a une solution : le chiffrement homomorphe.
    On rapatrie le résultat que l’on déchiffre, et ça donne le même résultat que si le traitement avait été effectué sur les données en clair.
    Et ça marche ?
    Encore des problèmes de lenteur, de taille des clés et des fichiers chiffrés, et du bruit généré, mais ça va marcher de mieux en mieux, et un jour, le chiffrement homomorphe s’imposera.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *