La sécurité du cloud, mission à haut risque pour les directions juridiques
Risque d'espionnage, d'utilisation des données de l'entreprise ou encore de perte de souveraineté numérique, la gestion du cloud de l'entreprise pose de nombreuses questions juridiques auxquelles la direction juridique doit se confronter.
« Le monde du numérique est piloté par les directions juridiques et celles de la conformité et non par les DSI », souligne Maître Alain Bensoussan, avocat fondateur du cabinet Lexing Avocats, entièrement dédié au droit du numérique et des technologies avancées. Une affirmation qui prend tout son sens au regard des nombreuses réglementations qui portent sur le cloud, mais dont les implications demeurent encore mal intégrées par beaucoup d’entreprises, car complexes.
Si le RGPD encadre la protection des données personnelles, Alain Bouillé, délégué général du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) y voit plusieurs bémols. Le règlement n’adresse pas la question de la souveraineté des données, ni la protection des données non personnelles. Or, pour une entreprise, bien des données non personnelles sont stratégiques et nécessitent une protection, en particulier face aux différentes lois américaines. « Une loi d’extraterritorialité comme le Cloud Act, ou encore le Patriot Act, ne sont rien de moins que des permis d’espionner. Dès qu’une entreprise a des données hébergées chez un acteur américain, comme Google, Amazon, Microsoft, ou qu’elle utilise des solutions collaboratives, notamment de messagerie externe, les autorités judiciaires américaines ont moyen de s’en saisir. La puissance du Cloud Act est sous-estimée par beaucoup de sociétés », alerte-t-il.
Maître Alain Bensoussan met en garde de son côté contre l’espionnage d’informations juridiques qui peut avoir lieu sur le cloud.
« Cet espionnage peut servir à démontrer le manque de conformité d’une entreprise, notamment dans la mise en œuvre et l’exploitation du cloud, et à la mettre en difficulté. Cela peut déboucher sur des contentieux ou avoir des conséquences financières élevées, notamment en cas de révision de la valeur de la société après une cession, dans le cadre d’une garantie de passif ».
Technologies
D’un point de vue technique, des solutions émergent pour protéger les données des entreprises européennes, sans pour autant se passer des services des géants outre-Atlantique. En 2021, deux alliances ont été annoncées, l’une regroupant Microsoft, Orange et Cap Gemini, l’autre Google et Thalès. « Elles permettent d’utiliser les technologies américaines, mais dans des data centers assujettis au droit français. Cela ne change pas la question de notre dépendance – et donc vulnérabilité – face aux acteurs américains, mais apporte une sécurité sur les questions de droit d’usage et de protection des données », commente Alain Bouillé.
Pour régler la question de la souveraineté et de la protection des données sensibles, reste la possibilité de sélectionner des acteurs européens, et plus précisément ceux qui disposent de la certification SecNumCloud de l’ANSSI, comme OVH, Oodrive ou Outscale. « Beaucoup de sociétés choisissent une solution hybride. Elles stockent leur données « courantes » chez les Américains, et leurs données sensibles chez un acteur certifié SecNumCloud. Toutefois, il est presque impossible d’empêcher des données sensibles de transiter par les messageries, et donc de se retrouver chez les premiers », explique Alain Bouillé. Au-delà du choix de l’opérateur, la première étape serait donc plutôt celle de la sélection des informations à mettre ou non sur le cloud.
Plan de mise en conformité
« Le cloud n’est pas un simple espace de communication, mais un monde dédié à l’activité virtuelle. De la même manière qu’une entreprise sécurise son environnement physique, elle doit sécuriser toute son activité virtuelle. Elle ne peut le faire qu’en s’appuyant sur un binôme composé de la DJ et de la DSI », insiste Maître Alain Bensoussan. Il recommande ainsi aux entreprises de préparer un plan de mise en conformité du cloud, puis de le déployer. « Notre cabinet assiste les DJ dans cette démarche, avant de leur transférer la maîtrise d’ouvrage. Il est important d’internaliser la mise en conformité de l’espace virtuel de l’entreprise ». Une mission dans laquelle le DPO a également un rôle à jouer.
Laurent Caron, avocat et DPO externe, membre de l’AFCDP, souligne le challenge méthodologique que représente la mise en conformité des projets cloud, car ils nécessitent de prendre en compte des mécanismes contractuels, les réglementations, les bonnes pratiques métiers et les normes professionnelles. « La traçabilité des mesures juridiques, organisationnelles et techniques doit reposer sur des preuves. Cette compliance nécessite donc pour le DPO de disposer d’une boîte à outils », conseille-t-il. Un travail de structuration indispensable dès aujourd’hui, face à l’arrivée de nouvelles réglementations européennes, prévient Maître Alain Bensoussan.
« Les discussions sont actuellement en cours à Bruxelles concernant le projet de règlement sur les systèmes d’intelligence artificielle ainsi que sur le Digital Market Act et le Digital Service Act. Ces textes vont remodeler l’organisation juridique du monde virtuel et renforcer considérablement les obligations des entreprises ».
Par Ingrid Labuzan
© Lefebvre Dalloz