Pour une obligation d’annoncer dans quel cloud se trouvent nos données

Au sujet de la souveraineté numérique

Constat

Bien des entreprises comme des administrations publiques (hôpitaux, universités, etc.), qui jusque dans un passé récent, stockaient les données de leurs clients et usagers (c’est-à-dire, les nôtres) dans leurs propres infrastructures (on premise), les ont transférées, dans des infrastructures de cloud étrangères.

Sommes-nous informés que nos données sont passées dans un cloud étranger ? Généralement pas.

Une exigence de transparence

Le passage en mains étrangères de nos données pourtant confiées à des prestataires suisses, notamment à des acteurs publics suisses, devrait faire l’objet d’une obligation de transparence et d’information. Nous devrions savoir dans quel cloud nos données sont stockées, et par quelles entités nos données sont susceptibles d’être traitées.

Dans bien des cas, lorsque de tels transferts de données sont effectués, les organisations se contentent de mettre leurs clients et usagers devant le fait accompli, par exemple en leur transmettant de nouvelles conditions générales. Cette information a posteriori est louable, mais elle ne saurait remplacer une information juste, si ce n’est un accord à priori. Bien souvent, les conditions générales sont souvent rédigées dans des termes complexes et tellement génériques que le client signe une sorte de chèque en blanc à l’entreprise.

Un exemple suivre

La SUVA (Principal organisme d’assurance-accidents obligatoire en Suisse)[1] a consulté le Préposé Fédéral à la Protection des Données et à la Transparence (PFPDT) concernant « L’externalisation de données personnelles par la Suva vers un cloud de Microsoft ». Les organisations qui externalisent nos données devraient s’inspirer de cette démarche et de la réponse donnée par le Préposé. Son communiqué publié le 13 juin 2022 informe: «En raison de divergences de vues partielles sur le plan juridique, le PFPDT suggère à la Suva de réexaminer l’externalisation des données personnelles vers un cloud exploité par le groupe américain Microsoft. »[2].

Cet exemple emblématique appelle plusieurs réflexions. D’abord, la nécessité absolue de valider avant toute externalisation de données personnelles vers un cloud étranger la réalité de la protection des données dont elles bénéficieront une fois le transfert effectué. Ensuite, la nécessaire information des intéressés, qu’ils soient clients ou citoyens, par rapport au transfert effectué, au prestataire choisi et aux garanties apportées par rapport à la protection des données transférées.

Avant chaque passage vers des solutions cloud, il est impératif d’en questionner les conséquences sur la protection des données personnelles et sur la manière dont cette dernière sera assurée par le nouveau prestataire. De plus, disposer de serveurs et de centres de données (data centers) en Suisse ne suffit pas. En effet, comme je le précise dans une interview de mars 2022 « La nationalité du prestataire de service et du développeur des logiciels qui traitent les données est encore plus importante que celle de la localisation géographique des serveurs. L’argument tentant de justifier la sécurité par le fait que les serveurs sont en Suisse est souvent d’ordre marketing et publicitaire. Il induit un sentiment de sécurité non fondé. Les lois extraterritoriales comme les lois Foreign Intelligence Surveillance Atc (FISA) (1978), PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) (2001), Cloud Act (2018) américaines, s’appliquent aux fournisseurs de logiciels (Microsoft, Amazon, Oracle, Google, …) qui stockent et traitent les données hébergées en Suisse. Être un partenaire ou intermédiaire suisse ou européen de plateformes américaines ou chinoises ne suffit donc pas à réaliser la cybersouveraineté. »[3].

Par ailleurs le rapport 2022 sur la sécurité des données dans le Cloud de la société Netrix[4] rapportait que 53% des organisations consultées avaient subie des cyberattaques sur leur infrastructures cloud dans l’année écoulée. Cela a conduit pour 49% d’entre elles, à des coûts supplémentaires de sécurité pour résoudre les problèmes.

Proposition concrète : l’obligation d’annoncer

Au regard de la réalité des cyberattaques, des incidents de sécurité et des pertes de maitrise des données et des fuites de données, il est non seulement urgent d’en comprendre l’ampleur et également de connaitre les responsabilités des acteurs impliqués.

A ces fins, il devient nécessaire d’imposer une obligation d’annoncer auprès d’autorités compétentes et des personnes concernées dans quel Cloud leurs données (les nôtres) sont stockées. Comme cela devrait être d’ailleurs fait dans tous les cas de cyberattaques et d’incidents de sécurité conduisant à des pertes de données, cela doit s’appliquer à toutes les organisations concernées et pas seulement à celles liées à des infrastructures critiques.

C’est cela aussi la transparence et le début de la reconquête de la souveraineté numérique.

 

Notes:

[1] https://www.suva.ch/fr-ch/assurance/assurance/l-assurance-accidents-selon-la-laa

[2] https://www.edoeb.admin.ch/edoeb/fr/home/actualites/aktuell_news.html#-591498255

[3]Solange Ghernaouti  https://news.infomaniak.com/cybersecurite-et-souverainete-numerique/

[4] Cloud Data Security Reports 2022 : https://www.netwrix.com/2022_cloud_data_security_report.html

 

SwissCovid ou GAFAMCovid ?

Dans la mesure ou SwissCovid :

  • N’est pas Open Source.
  • Le code source est chez Microsoft (GitHub).
  • Le protocole est contrôlé par Apple et Google.
  • Certains serveurs SwissCovid sont chez Amazon.

Pourquoi le dispositif SwissCovid ne s’appellerait-il pas GAFAMCovid ?

Des usages abusifs et détournés sont possibles comme l’est d’ailleurs l’identification des personnes dont l’identité est supposée être anonyme.

SwissCovid pose des problèmes de souveraineté, de transparence, de sécurité et de protection des données et d’intimité numérique (privacy).

Les risques associés, tant pour le pays, que pour les organisations et les individus, ne sont pas maitrisés.

L’information communiquée au public est jusqu’à présent incomplète voire inappropriée, pour qu’un consentement libre et éclairé puisse s’exprimer.

 

 

La Grande Dématérialisation

Fable de l’ère numérique

 

Marc contempla le petit coffre en bois.

Après le décès de ses parents, il avait dû se résoudre à mettre en vente leur maison. La demeure qui avait abrité son enfance et dans laquelle reposait une partie de son passé, de son histoire.

Il avait longtemps repoussé l’idée de cette vente. Mais c’était fait.

Il devait maintenant vider cette maison, ou plutôt décider de garder avec lui quelques souvenirs, des meubles peut-être, un tableau sans doute, ou des livres anciens.

Ce monde qui avait bercé son enfance lui semblait si loin, si vieux, si archaïque.

Ce coffre par exemple, que contenait-il ?

Les bijoux en céramique de sa mère ?

En l’ouvrant, il n’en crut pas ses yeux.

Ce coffre ne contenait aucune de ces choses auxquelles il pensait.

Rien de ce qu’il espérait.

Le coffre ne contenait que des pièces et des billets de banque, sans aucune valeur aujourd’hui.

Il dut faire un effort pour se souvenir depuis combien de temps il n’en avait pas vu : 20, 30 ans peut-être ?

Il était stupéfait.

Stupéfait d’en trouver encore, de véritables antiquités vénérées par certains comme des œuvres d’art du passé.

Stupéfait de penser que ses parents les avaient soustraits à la destruction massive dont l’argent avait fait l’objet lors du passage à la Grande Dématérialisation.

A l’époque, il était formellement interdit d’avoir de l’argent d’avant.

L’Organisation, était formelle.

Quiconque serait trouvé en possession d’argent serait banni.

Quiconque l’aurait su, sans le dénoncer, serait puni.

Il se souvint du point de départ de la Grande Dématérialisation.

Ce moment où tout a basculé vers le numérique, vers l’immatériel, vers l’impalpable.

En fait, le moment où le monde de ses parents a basculé.

Pour eux et ses grands-parents, la transition fut brutale, une véritable rupture.

Trop jeune, il ne voyait pas trop ce que cela pouvait changer, ne plus avoir d’argent, ni pièces de monnaie, ni billets de banque. D’ailleurs de l’argent, il n’en avait jamais vraiment eu.

Pour ses trois ans, on lui avait offert une tirelire-portemonnaie électronique un « Barbassous ». Un objet dont la forme changeait, à chaque fois que des données s’enregistraient ou s’échangeaient avec d’autres Barbassous ou même avec d’autres équipements électroniques domestiques.

A chaque bonne action son compte virtuel se remplissait.

Les Barbas et leurs émoticônes rigolos se développaient.

A chaque mauvaise action, ou plutôt à chaque action différente de celles imposées par les injonctions électroniques du Barbassous, le nombre de Barbas diminuait, le drame !

Le Barbassous, avec ses yeux écrans, sa bouche haut-parleur et ses oreilles capteurs, prodiguait toute sorte de conseils.

Il disait comment faire les choses.

Il expliquait comment parler.

Il lui disait aussi des mots gentils, ce qui lui était particulièrement agréable.

Il adorait son Barbassous qui changeait de couleur en fonction de ses émotions. Le sien était de couleur jaune quand il était satisfait. Sa couleur préférée.

Son Barbassous trônait sur sa table de chevet et le rassurait. Il savait alors qu’il était heureux.

Le Barbassous jouait avec lui, ce qui lui permettait de gagner des Barbas.

Maintenant qu’il y pense, le Barbassous annonçait déjà la Grande Dématérialisation, la fin des pièces et des billets de banque.

Enfant il ne pouvait le savoir, mais les adultes de l’époque ? Non plus sans doute, peut-être étaient-ils trop confiants dans les discours promotionnels d’adoption de nouvelles pratiques et trop déterminés à croire être protégés par le progrès technique.

Les pièces et les billets avaient d’abord été critiqués.

Ils étaient encombrants. On pouvait se les faire voler. Ils coûtaient cher à fabriquer et s’abîmaient rapidement, ce qui n’était pas très écologique.

Progressivement ils étaient devenus ringards. Un truc du passé.

Et puis, il y eut la question de l’hygiène.

Pièces et billets pouvaient être un support de la propagation de virus et de bactéries.

Les toucher risquait de mettre en danger la santé.

Marc se souvenait que c’est au début du XXIe siècle, après les premières pandémies que l’argent matérialisé était devenu suspect, au point de se raréfier.

Alors après le fameux virus, les pièces et les billets furent interdits.

Rapidement, ils devinrent inutiles comme d’ailleurs les magasins dans lesquels on se rendait jadis. Ils avaient disparus car tout pouvait être réalisé en ligne. C’était pratique, à partir d’un téléphone mobile, enfin à partir de n’importe quel équipement électronique ou service produit par L’Organisation, il était possible d’acheter.

Avec la reconnaissance faciale (ou d’autres empreintes biologiques, vocales ou digitales), les achats s’étaient simplifiés. Il était devenu possible d’effectuer des transactions depuis les applications conversationnelles, les messageries, les échanges de photos, les jeux vidéo… Il était possible d’acheter facilement et à tout moment, parfois sans même s’en rendre compte. Tout était fluide, intégré, transparent, ludique même. Un service « sans couture ». Au début mes parents trouvaient cela formidable.

Seulement lorsqu’ils se rendirent compte que l’argent n’avait plus de sens, que les transactions étaient une sorte de troc de données, ils furent effondrés.

Pourquoi sa mère avait-elle gardé cet argent ? Pourquoi avait-elle laissé cette caissette, ce témoin ? Cela représentait un risque considérable. C’est donc que cela avait de la valeur, la matérialité, pouvoir toucher, voir, sentir ou entendre le son que peuvent émettre pièces et billets lorsqu’ils sont manipulés.

Le pire était sans doute pour eux, qu’il n’y avait plus de banques. Plus personne en avait  besoin. Je me souviens qu’ils évoquaient avec une certaine nostalgie le temps où ils pouvaient aller à des guichets dans des agences bancaires pour demander toutes sortes de services à des personnes. J’avoue que lorsqu’enfant je les écoutais, je n’arrivais même pas à me représenter ce dont ils parlaient, maintenant non plus d’ailleurs.

Progressivement, les guichets furent remplacés par des automates qui devinrent de plus en plus sophistiqués, mais auxquels on devait encore accéder physiquement. A cette époque, il fallait se déplacer pour interagir avec eux, parfois faire la queue. Il était alors encore possible de s’adresser à des humains pour des conseils, mais là aussi, ces personnes furent remplacées par des conseillers virtuels, toujours serviables, aimables et capables aussi bien de prodiguer les meilleurs conseils que d’exécuter toutes les transactions voulues.

D’intermédiaire financier, la banque était devenue un acteur non indispensable à L’Organisation.

L’Organisation avait créé sa propre monnaie virtuelle le LibertOr. Ce fut considéré comme une évolution majeure, une nouvelle liberté de commercer pour tous, partout dans le monde, avec n’importe qui. C’était si pratique. Les applications « se parlaient » et aucun contact physique n’était plus nécessaire. C’est L’Organisation qui permettait de réaliser les transactions commerciales et financières à distance de manière dématérialisée n’importe quand, n’importe où.

La généralisation « du sans contact » et « du à distance », pour tous les services liés à l’humain, accéléra la transmutation du monde d’avant, au seul monde que je connais par la Grande Dématérialisation orchestrée par L’Organisation.

Pour elle ce fut aisé. L’Organisation maitrisait les capacités informatiques et télécoms nécessaires et indispensables pour mettre en relation les entités. De plus, elle s’était employée à capter toutes les données des humains pour mieux les connaitre, les servir et les asservir. Ainsi, avec sa connaissance des individus, de leurs besoins, avec ses algorithmes qui orientent leurs besoins « sur ce qu’il y a de mieux pour eux » et qui permettent de leur faire croire qu’ils choisissent librement ce qu’elle leurs propose, avec un prix sur mesure, payable en LibertOr.

Le pouvoir et la puissance de l’Organisation lui permirent de transformer les métiers de la banque. L’automatisation des banques était en marche depuis longtemps. Tout le savoir-faire bancaire fut migré dans des algorithmes et médié par des plateformes d’échanges virtuels. Les banques et leurs personnels, comme les traders par exemple, étaient devenus inutiles.

Cela avait commencé, en fait quand j’y pense, par mon Barbassous. Un simple jouet pour enfants. Connecté certes, mais à priori si inoffensif. Les Barbassous pour les enfants. La dématérialisation des banques pour leurs parents. Le passage à l’argent immatériel pour tous. Ensuite seulement, le remplacement des banques et la disparition progressive de la monnaie physique, la disparition des devises nationales, la surveillance des paiements, le prélèvement de taxes sur toutes les transactions par L’Organisation.

L’Organisation avait transformé l’argent d’avant en électrons.

C’est à ce moment-là que les billets et les pièces furent interdits aux individus, comme d’ailleurs l’or et les métaux précieux indispensables à la fabrication des composants électroniques de l’Organisation.

En prélevant des taxes sur chaque transaction, sur tous les échanges, sur tous les flux informationnels, L’Organisation devint aussi riche que puissante, aussi globale qu’obscure.

Avec L’Organisation, nous, les humains, sommes devenus transparents et plus nous sommes transparents, moins elle l’est.

Aujourd’hui, tout est géré par L’Organisation. Elle contrôle tout, les films que les personnes visionnent, les textes qu’elles lisent, la musique qu’elles écoutent, les personnes qu’elles rencontrent… L’Organisation sait tout de nous et guide nos moindres comportements.

Elle connait déjà ma découverte et je sais que je vais devoir payer le prix de l’audace que mes parents ont eue d’avoir gardé ce souvenir du passé.

Est-ce un cadeau empoisonné de ma mère où sa manière de me faire prendre conscience de la valeur perdue du secret ?

Transparent et sans secret, qui suis-je ?