Cloud de confiance : impacts du Cloud Act pour un ARP

Le début d’année 2024 a été marqué par la polémique concernant l’hébergement des données de l’Assurance Maladie, validé par la CNIL. En effet, un membre des GAFAM -Microsoft- a signé un contrat de trois ans, afin de stocker dans son cloud les données de santé des Français. Les enquêteurs privés (ARP) traitent également des données personnelles et informations confidentielles. Quid des répercussions sur le monde de l’investigation privée ?

Le 22 avril 2024, de Émeline d’AGENCY E

Pour rappel, en octobre 2021, Thalès et Google avaient annoncé la mise en place d’un partenariat stratégique pour développer un cloud souverain (avec le label “Cloud de confiance”, délivré par l’ANSSI). Cette collaboration s’est ainsi concrétisée par la mise en place d’une joint-ventureS3NS”. L’idée de Thalès est de proposer un outil de droit français, afin de se prémunir du Cloud Act américain et de rassurer les Français quant à la protection de leurs données sensibles.

 

Toutefois, cette annonce, ainsi que celle d’Orange et Capgemini en 2022 (pour la création du cloud “Bleu”), ont fait naître de vives critiques. Effectivement, au sein de ces partenariats dits stratégiques, se retrouvent des GAFAM, ce qui ne rassurent pas les utilisateurs soucieux de la protection de leurs informations personnelles.

Enjeu stratégique : la souveraineté numérique

À ce jour, l’enjeu est réel et les pouvoirs publics français doivent le prendre au sérieux. Instaurer une impulsion, pour que la souveraineté numérique française existe belle et bien, doit être la préoccupation des institutions étatiques et des sociétés qui souhaitent assurer un certain niveau de confidentialité. Proposer un cloud 100% européen voire français, permettrait de garantir un respect intégral du Règlement général sur la protection des données.

Nous pouvons toutefois noter que l’État français a mis un premier rempart grâce à la doctrine « Cloud au centre » pour les administrations françaises uniquement (interdiction de l’utilisation de solutions qui ne bénéficient pas de la certification « SecNumCloud »). Microsoft, Amazon et Google, qui détiennent 69% du marché du stockage Cloud, ne bénéficient pas de cette certification et sont donc exclus de facto de l’administration française.

Effectivement, Cloud Act, ou Clarifyng Lawful Overseas Use of Data Act (voté en 2018) permet aux autorités américaines d’accéder aux données stockées par les fournisseurs de services informatiques américains dans le monde entier. Cette législation -créée à la suite du refus de Microsoft de donner accès aux données personnelles- impose aux entités, l’obligation de transférer les informations demandées. Le plus important est que l’entreprise soumise à cette législation n’a pas la possibilité de s’y opposer, voire d’être informée de la consultation. Par conséquent, cet outil juridique facilite l’accès à des données stratégiques et sensibles, leur permettant de faire, d’une certaine manière, de l'espionnage légal.

La finalité serait de créer un “bouclier numérique” pour protéger les données personnelles des millions de français, contre notamment l’ensemble des lois extraterritoriales américaines rassemblées dans le “Cloud Act”. 

In fine, il faudrait tout simplement garantir un service informatique qui ne sera pas utilisé directement ou indirectement par des entreprises relevant de la juridiction américaine.

Cloud Act et relativité du RGPD

Aux États-Unis, c’est le Department of Justice (DoJ qui n’est pas un tribunal) valide toutes les décisions stratégiques des sociétés sous investigation. Le DoJ ainsi que certains acteurs qui travaillent pour eux (ex : avocats, comptables, enquêteurs, etc.) ont la possibilité d’étendre leurs investigations, donc récupérer tous les dossiers sans exception, grâce au Cloud Act. Munis d’un mandat, ils peuvent solliciter les entreprises américaines et leurs filiales dans le monde entier pour obtenir des données stockées sur leurs serveurs.

Par exemple, en tant que détective, je peux avoir une adresse mail hébergée sur un serveur américain (Microsoft). Les autorités américaines peuvent demander à ce dernier de donner l’accès à toute ma boîte mail, donc tous les rapports transmis par mail à mes Clients.

Ainsi, la problématique est l’accès facile à des données sensibles sans l’autorisation du détenteur de ces informations. Quant aux informations cryptées mais stockées par ces fournisseurs américains, à ce jour, nous ne connaissons pas l’étendue de ces prérogatives. C’est pour cette raison qu’une personne, ou une entreprise internationale, qui est au courant de l’actualité du cloud, pourrait avoir de sérieuses préoccupations et se poser des questions avant d’engager des détectives privés pour diverses affaires, telles que la diligence raisonnable, la concurrence déloyale, le vol, la fraude, etc.

Quid du RGPD ?

Sur ce point, il existe des points divergents. Certains affirment que l’utilisation d’un hébergement américain ne permet pas l’application des normes européennes (RGPD) à cause du Cloud Act. D’autres, indiquent que l’article 48 du RGPD « Transferts ou divulgations non autorisé par le droit de l’Union » prévaut sur le droit extraterritorial américain, donc nous protège du Cloud Act.

En réalité, il existe une certaine nuance. Grâce à l’article 48 du RGPD, qui oblige la création d’un accord international, les données des entreprises européennes stockées en Europe, ne seront pas partagées sans un accord tacite du propriétaire. Ainsi, certains GAFAM, comme Amazon sont membres du CISPE (Cloud infrastructure services providers en Europe) avec un data center en France. Cela permet de garantir l’application du RGPD.

Toutefois, le règlement européen indique également que les données peuvent être communiquées à une puissance étrangère, si un accord international existe. C’est le cas entre la France et les États-Unis avec le Data Privacy Framework, accord adopté en juillet 2023, afin de faciliter le transfert de données vers les USA.

Ce nouvel accord controversé est remis en cause que ce soit par des citoyens américains qu’européens. Ils s’entendent sur un point : Le droit des États prévaut sur le droit des citoyens. De ce fait, cette « coquille vide » ne résoudrait en rien le Cloud Act et reste incompatible avec le RGPD.

Autre loi extraterritoriale américaine qui devrait prendre fin en 2026 est la loi FISA (Foreign Intelligence Surveillance Act). Elle impose aux sociétés américaines de communiquer aux agences de renseignement américaines, toutes les données des non citoyens américains à l’étranger. Que ce soient les documents stockés sur le cloud, les échanges de mails et de textos.

Avec une certaine volonté de se protéger de certaines lois américaines, des défis et obstacles ralentissent la création d’un produit 100% français. 

Les questionnements soulevés

De nombreuses problématiques subsistent concernant la création d’un cloud souverain pour la sauvegarde de données personnelles : 

  • Sur le plan juridique,

Les critères de conformité représentent des obstacles notables pour les organisations qui souhaiteraient utiliser un Cloud souverain. Les processus pour mettre en place toutes les normes spécifiques et s’y conformer sont une charge administrative tant sur le plan matériel, temporel, financier et humain,

  • Sur le plan matériel, informatique,

La taille et la capacité des infrastructures des fournisseurs nationaux ne permettraient pas de rivaliser avec les géants américains. 

Par ailleurs, les utilisateurs européens ont l'habitude d'utiliser quotidiennement les produits américains. Ils seront moins à même de découvrir de nouveaux produits, avec de nouvelles fonctionnalités ou nouveaux process.

  • Sur le plan économique.

Il faut, par ailleurs, prendre en compte le coût pour qu’il n’y ait pas de répercussions trop importantes sur l’offre finale d’un service cloud pour les entreprises. L’objectif n’est pas de ralentir la compétitivité des sociétés françaises, au contraire.

In fine, la problématique n’est pas le chiffrage des données, ni la protection des serveurs, etc., mais bel et bien la notion juridique. C'est-à-dire, quelle juridiction prévaut dans le cas où des fichiers comportant des données personnelles doivent être consultés de manière non cryptée.

Cette problématique doit être posée également au sein de la profession de détectives privés, métier ou nous sommes amenés à traiter de manière continuelle des données personnelles pour réaliser nos enquêtes privées.

Répercussions et préoccupations en tant qu’enquêteur : assurer la confidentialité de nos missions

Actuellement, la question du respect au RGPD est un critère très important que nous - détectives privés- devons prendre en compte au quotidien. Que ce soit pour la gestion de notre agence, mais aussi pour mener à bien une investigation.

Toutefois, la notion de cloud de confiance comme arsenal contre le Cloud Act n’est pas une préoccupation majeure au sein du secteur de la sécurité privée et particulièrement dans le monde de l’enquête privée. Beaucoup seraient amenés à confirmer cette rhétorique, car ils ne sont pas concernés directement ou qu’ils n’ont jamais été confrontés à ce problème.

Certes, nos informations ne sont pas classées « secret défense ». Ce ne sont pas des informations dites “à haut risques” que nous devons préserver pour les intérêts de la nation. 

Pour autant l’argument d’un Cloud non accessible aux autorités américaines auprès de nos Clients (entreprises) qui sont sur la scène internationale, peut jouer en notre faveur. D’autant plus, qu’un détective est soumis au Code de déontologie (inscrit dans le Code de la Sécurité intérieure), indiquant que nous devons tout mettre en œuvre pour assurer la sécurité et la confidentialité des données.

Les seuls moyens, aujourd’hui, pour assurer une totale confidentialité des données personnelles recueillies, traitées et stockées par un détective privé sont : le serveur NAS (Network Attached Storage) ou également appelé serveur de fichiers la clé USB cryptée. Nonobstant, ce dernier outil comporte des inconvénients (que l’on ne retrouve pas pour le NAS), car il n’est pas adapté pour : 

  • Travailler en collaboration avec des confrères/consœurs,
  • Accéder facilement aux documents quand on le souhaite (notamment si nous sommes sur le terrain, avec comme seul outil un smartphone)

Bon nombre de professionnels dans la cybersécurité incitent à multiplier les moyens de sauvegardes : 2 supports amovibles (clés, disques durs) et une sauvegarde sur le cloud. 

 

En somme, sans entrer dans la paranoïa, la création d'un Cloud souverain français serait intéressante pour principalement améliorer l'image que doit renvoyer un détective privé (confidentialité et sécurité). Cette solution répondrait plus à un enjeu réputationnel, d’image, qu’un enjeu technique, cyber.

Pour répondre à la problématique des coûts des infrastructures, la création d’un cloud européen (à défaut d’un cloud français) ne serait-elle pas une alternative pour commencer ?

Pour aller plus loin

Ce champ est obligatoire

J'accepte que ces données soient stockées et traitées dans le but d'établir un contact. Je suis conscient que je peux révoquer mon consentement à tout moment.*

Ce champ est obligatoire

* Indique les champs obligatoires
Une erreur s'est produite lors de l'envoi de votre message. Veuillez réessayer.
Merci ! Nous vous recontacterons dès que possible.

Contactez-nous

Téléphone : 09 81 29 85 55 

E-mail : contact@agencye.fr

Adresse : Noisiel (77186)

©Droits d'auteur - AGENCY E - Tous droits réservés. 2024

Nous avons besoin de votre consentement pour charger les traductions

Nous utilisons un service tiers pour traduire le contenu du site web qui peut collecter des données sur votre activité. Veuillez consulter les détails dans la politique de confidentialité et accepter le service pour voir les traductions.