Consultation relative au Cloud computing Observations et commentaires de l AFDIT et de l ITECHLAW 17 novembre 2011 Consultation ouverte du 17 octobre au 17 novembre 2011 Consultation Cloud Computing 1
Fiche de présentation de la partie prenante à la consultation (toutes les informations sont facultatives) Nom de la société 1. Association Française du Droit de l Informatique et de la Télécommunication (AFDIT), Commission «données personnelles» André Meillassoux - Président de l AFDIT Claire Bernier Responsable de la Commission 2. International Technology Law Association (ITechLaw), Data Protection Law committee Alexander Blumrosen Président de l ITechLaw Claire Bernier co-président du Committee, co-représentant de l ITechLaw en France André Meillassoux - co-représentant de l ITechLaw en France Me André Meillassoux Cabinet ATM Avocats, 10 boulevard Suchet 75016 Paris ameillassoux@atmavocats.com Me Alexander Blumrosen Cabinet Bernard-Hertz-Béjot, 8 rue Murillo 75008 Paris ablumrosen@bhbfrance.com Me Claire Bernier Cabinet ALTANA, 45 rue de Tocqueville 75017 Paris cbernier@altanalaw.com Secteur d activité : Juridique spécialisation dans les nouvelles technologies Pays dans lequel se trouve l établissement principal : Pour le Cloud computing, vous êtes : Un prestataire Un Client L AFDIT et l ITechLaw sont des associations reconnues tant au niveau national qu au niveau international, regroupant les acteurs majeurs du droit des technologies qui s intéressent aux problématiques juridiques uniques qui en découlent. Consultation Cloud Computing 2
1. L'AFDIT (Association Française du Droit de l Informatique et de la Télécommunication) Fondée en 1985 par des personnalités du monde du droit des nouvelles technologies, l'afdit est l'une des associations au service de la communauté du droit des technologies parmi les plus largement établies en France. L'AFDIT est fondatrice de l'international Federation of Computer Law Associations (IFCLA). Ces associations couvrent un large éventail d'expertises dans le domaine du droit des technologies et regroupent en leurs seins avocats, juristes d'entreprise, universitaires, magistrats, ingénieurs et experts. L'AFDIT est un forum unique en France pour l'échange d'idées et l'examen en profondeur des technologies de l'information et de la télécommunication, et pour débattre des questions de droit que ces matières soulèvent. 2. L ITechLaw (International Technology Law Association - anciennement dénommée Computer Law Association) Créée dès 1971 aux États-Unis, l ITechLaw est une O.N.G. accréditée auprès de plusieurs organisations internationales dont la CNUDCI, l OMPI et la Conférence de La Haye de Droit International Privé, aux travaux desquelles elle contribue activement. Présente sur tous les continents et couvrant plus de 60 pays, ses membres et ses responsables possèdent l ensemble des expertises propres au droit des technologies de l'information et de la télécommunication. L ITechLaw est un lieu d'échange d'idées et d études en profondeur des problématiques juridiques liées aux technologies de l'information et de la télécommunication. Ces échanges ont lieu dans différents contextes permettant, d une part, une participation mondiale lors de conférences internationales et une contribution plus régionale voire nationale lors de comités réduits et, d autre part, une information et une sensibilisation des professionnels aux implications juridiques des technologies de l'information et de la télécommunication. Merci de renvoyer ce document par voie électronique à consultationcloud@cnil.fr ou par courrier papier à Commission Nationale Informatique et Libertés CNIL Service des affaires européennes et internationales 8 Rue Vivienne 75002 PARIS. Consultation Cloud Computing 3
Terminologie / abréviations : Dans le cadre de cette consultation, la société offrant des services de Cloud computing sera dénommée «prestataire», les entreprises et administrations clientes de prestataires de Cloud seront appelées «client». I. Définition du Cloud computing A. Le Constat de la CNIL Le terme Cloud computing étant à la fois récent et recouvrant de nombreuses notions, il n y a pas encore de consensus pour en donner une définition précise. B. Solution proposée Une approchée fondée sur les éléments caractéristiques du Cloud computing nous semble ici plus appropriée. La CNIL propose donc de retenir le faisceau d indices suivant afin de caractériser l existence d une prestation de Cloud computing : simplicité d un service à la demande : un utilisateur peut de manière unilatérale, immédiatement et généralement sans intervention humaine, avoir à disposition les ressources informatiques dont il a besoin (temps de calcul de serveurs, capacité de stockage, etc.). extrême flexibilité : les ressources mises à disposition ont une capacité d adaptation forte et rapide à une demande d évolution, généralement de manière transparente pour l utilisateur. accès «léger» : l accès aux ressources ne nécessite pas d équipement ou de logiciel propriétaire. Il se fait au travers d applications facilement disponibles (parfois libres 1 ), généralement depuis un simple navigateur Internet. virtualisation des ressources : les ressources informatiques du prestataire sont configurées pour être utilisées par une multitude de machines et sont souvent réparties dans différents centres d hébergements (éventuellement dans différents endroits de la planète). paiement «à l usage» : le paiement de la prestation de Cloud computing peut s effectuer proportionnellement à l usage. 1 Une application / logiciel libre est une application/logiciel dont la licence donne à chacun (et sans contrepartie) le droit d'utiliser, d'étudier, de modifier, de dupliquer, et de diffuser le dit logiciel. Il existe également des systèmes d exploitation libres comme LINUX. 4
C. Question posée Ce faisceau d indices permet-il selon vous de caractériser une prestation de Cloud computing? Selon vous, faut-il compléter ce faisceau d indices? Afin de faciliter la lecture et la compréhension de nos remarques et suggestions, nous nous sommes permis de reprendre les éléments constituant le faisceau d'indices proposés par la CNIL et d'intégrer celles-ci en modifications apparentes dans le corps même des définitions proposées. simplicité d un service fourniture simplifiée pour le client d'une SOLUTION informatique à la demande immédiate dans un cadre technique prédéterminé par le prestataire : un utilisateur peut de manière unilatérale, immédiatement et généralement sans intervention humaine, avoir à disposition les ressources informatiques dont il a besoin (que ce soit logicielles ou d infrastructure tel que temps de calcul de serveurs, capacité de stockage, etc.) dans la limite du cadre technique proposé par le prestataire. extrême flexibilité solution informatique sur-mesure et personnalisée dans la limite du cadre technique prédéterminé par le prestataire : les ressources mises à disposition la solution informatique proposée au client a ont une capacité d adaptation forte et rapide aux besoins présents du client dans la limite des ressources mises à disposition par le prestataire. élasticité permanente de la solution informatique : la solution informatique proposée au client a une capacité évolutive importante (extension ou réduction) selon les besoins du client dans la limite des moyens techniques et des ressources dédiées à cette fin par le prestataire dans le cadre de la solution informatique fournieà une demande d évolution, généralement de manière transparente pour l utilisateur. accès «léger»à distance et facile à une solution informatique externalisée : l accès aux ressources ne nécessite pas d équipement ou de logiciel propriétaire. Il se fait au travers d applications facilement disponibles (parfois libres), généralement depuis un simple navigateurà travers le réseau Internet. dématérialisation et mutualisation virtualisation des ressources : les ressources informatiques du prestataire sont configurées conçues pour être utilisées par une multitude de machines terminaux et sont souvent réparties dans différents centres d hébergements (éventuellement généralement dans différents endroits de la planète). paiement «à l usage» rationalisation des coûts grâce à une faculté deune facturation en fonction de la consommation réelle du client ou par forfait : le paiement montant de la prestation de Cloud computing peut s effectuer être calculé proportionnellement à l exploitation qui en est faite par le clientl usage. 5
accès unique à un espace dédié mais non individualisé de stockage de données : les données d un même client sont réparties/dispersées dans différentes unités de stockage et chaque unité de stockage contient des données de différents clients. organisation des données déterminée par le client avec une mise en adéquation technique opaque par le prestataire : l arborescence pour le classement des données est établie par le client mais les moyens techniques mis en œuvre pour l enregistrement, la localisation, la récupération et la sécurisation des données demeurent inconnus de celui-ci. absence d identification de chaque propriétaire des données : l identification des clients propriétaires des données n est pas possible au niveau des unités de stockage. II. La qualification des parties : vers une présomption de soustraitance? A. Le principe Aux termes de l article 3 de la loi de 1978, le responsable de traitement est défini comme la personne physique ou morale qui détermine les finalités et les moyens du traitement de données à caractère personnel. Le sous-traitant quant à lui, traite les données à caractère personnel pour le compte du responsable de traitement et selon ses instructions. B. Solution proposée 1. Le client Le client sera toujours responsable de traitement. En effet, en collectant des données et en décidant d en externaliser le traitement auprès d un prestataire, il est responsable de traitement en ce qu il détermine les finalités et les moyens de traitement des données. 2. Le prestataire En principe, le prestataire agit pour le compte et sur les instructions du client responsable de traitement. Dès lors, il semble possible d établir une présomption de sous-traitance dans la relation qu entretiennent le client et le prestataire. Une telle présomption sera particulièrement effective lorsque le client aura recours à un Cloud privé 2 qui implique une grande maîtrise de la réalisation de la prestation du Cloud. 2 Dans le Cloud privé, les ressources informatiques (infrastructure, applications, etc.) sont mises à disposition d une seule et même organisation client. Ces ressources peuvent être détenues, gérées et administrées par 6
En revanche, lorsqu un client a recours à un Cloud public 3, les rôles respectifs du client et du prestataire peuvent s avérer difficiles à déterminer, et dépendront également du type de services souscrit par le client. La Commission propose que la présomption de sous-traitance puisse tomber en application d un faisceau d indices qui doit permettre de déterminer la marge de manœuvre dont dispose le prestataire pour réaliser la prestation de services. Critère Niveau d instruction Degré de contrôle de l exécution de la prestation. Expertise du prestataire Degré de transparence du responsable de traitement au niveau de la prestation de services. Signification Evaluer dans quelle mesure le prestataire est tenu par les instructions du client et par les finalités poursuivies. Evaluer le niveau de contraintes que le client peut imposer au prestataire. Ce critère ne devrait pas influer sur la détermination de la qualité de responsable de traitement ou de soustraitant au sens de la loi Informatique et libertés. Evaluer le niveau d expertise du prestataire afin de savoir dans quelle mesure il maîtrise le traitement des données. Ce critère ne devrait pas influer sur la détermination de la qualité de responsable de traitement ou de sous-traitant au sens de la loi Informatique et libertés. Savoir dans quelle mesure l identité du prestataire est connue des personnes concernées. En effet, si l identité du prestataire est connue par les personnes concernées qui utilisent les services du client, le prestataire pourra être présumé comme agissant également comme responsable de traitement. Ce critère ne devrait pas influer sur la détermination de la qualité de responsable de traitement ou de sous- l organisation elle-même le client lui-même ou par un tiers. Dans tous les cas, l organisation le client a généralement une maîtrise sur l infrastructure associée et la localisation des données. Lorsque l infrastructure est partagée entre plusieurs organisations clients supportant une communauté précise et ayant des préoccupations communes, on parle alors de «Clouds communautaires». 3 Dans le Cloud public, les ressources informatiques sont exploitées par des tiers et font coexister les tâches soumises par un grand nombre de clients sur les mêmes serveurs, systèmes de stockage et autres composants de l'infrastructure. L'utilisateur final n'a généralement aucun moyen de savoir quels autres usagers sont présents sur le serveur, le réseau ou le disque sur lequel ses tâches sont exécutées. Il existe également des Clouds hybrides, une partie publique, une partie privée. 7
traitant au sens de la loi Informatique et libertés. L application de ce faisceau d indices permettra notamment de prendre en compte la nature particulièrement standardisée des offres de Cloud computing dont il résulte généralement une très grande maîtrise de la prestation par le prestataire. La CNIL soumet donc à consultation l analyse suivante : - le client est nécessairement responsable de traitement -le prestataire est présumé sous-traitant à moins que le faisceau d indices ne fasse tomber cette présomption démontrant alors que le prestataire agit comme responsable de traitement. Dans le cadre de la réflexion menée sur la révision de la directive, il serait intéressant de réfléchir à la création d un statut légal pour le sous-traitant afin de faire peser sur ce dernier un certain nombre d obligations spécifiques. C. Question posée L analyse présentée ci-dessus reflète-t-elle selon vous la spécificité du Cloud computing? Pourquoi? Observation préliminaire : Il est à noter que la notion de «sous-traitance» telle qu exprimée dans la loi Informatique et libertés correspond à la notion juridique de «prestataire» à qui il est confié l exécution d une prestation. Cette notion de «sous-traitance» ne correspond pas à la notion juridique générale notamment commerciale de «sous-traitance» telle que définie par les textes législatifs en France, notamment la Loi n 75-1334 du 31 décembre 1975 modifiée relative à la sous-traitance. La qualification de «sous-traitant» du prestataire au sens de la loi Informatique et libertés exonère ledit prestataire de toute responsabilité relevant des obligations incombant au Responsable de traitement. En conséquence, les termes «sous-traitance» ou «sous-traitant» dans nos commentaires, pour l intégralité de ce document, devront être compris au seul sens de la loi Informatique et libertés. 8
La question est de savoir si la spécificité du Cloud computing, qui réside notamment dans l obligation de recourir aux moyens imposés par le sous-traitant, doit impliquer la création d un régime spécifique aux sous-traitants entrainant la non-application des dispositions actuelles de la loi Informatique et libertés? : Non. Les différentes dispositions existantes en droit français, tant au regard des dispositions spécifiques de la loi Informatique et libertés qu au regard du droit pénal et du droit civil (contractuel et délictuel), permettent de couvrir les différentes situations envisageables dans le cadre des prestations de Cloud computing. Aux termes de l article 35 de la loi Informatique et libertés : «Les données à caractère personnel ne peuvent faire l'objet d'une opération de traitement de la part d'un sous-traitant, d'une personne agissant sous l'autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi. Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l'article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.» Il ressort de l article 35 susvisé que le client est responsable de traitement et que le prestataire bénéficie d une présomption de sous-traitance au sens de la loi Informatique et libertés, exonératoire de responsabilité dès lors qu il agit sur instruction du client, peu importe que le prestataire impose ou non les moyens au client. Dans la mise en œuvre d un Cloud (public ou privé), le client définit la finalité du traitement et le prestataire impose les moyens. La présomption ci-dessus rappelée de sous-traitant devrait donc être retenue. Celle-ci est d autant plus nécessaire en matière de Cloud public que de telles prestations sont généralement fournies par le prestataire dans le cadre d un contrat d adhésion. Aux termes de l article 34, alinéa 1 de la loi Informatique et libertés, «le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.» 9
En raison de la dématérialisation des données et des flux transfrontaliers que le Cloud computing engendre, le sous-traitant peut être amené à réaliser un nombre plus vaste de prestations entrainant des risques notamment sécuritaires plus importants que lors de la mise en œuvre d une solution informatique plus traditionnelle. La diversification et l importance quantitative des prestations fournies par le sous-traitant ne sauraient entrainer pour le soustraitant une modification de sa qualité de sous-traitant au profit d une qualité de responsable de traitement. Que le sous-traitant propose directement ou indirectement les finalités de traitement et des moyens mis en œuvre non connus du client, il n en demeure pas moins que ces finalités et ces moyens sont acceptés par le client et mis en œuvre sur instruction et pour le compte du client. En revanche, compte-tenu de l absence de connaissance et/ou de contrôle des moyens techniques mis en œuvre par le sous-traitant dans le cadre de la réalisation de ses prestations, il devrait être étudié un renforcement des obligations mises à la charge dudit sous-traitant entrainant un élargissement de sa responsabilité au titre de sa qualité de sous-traitant. Les obligations a minima du sous-traitant pourraient être prévues dans le cadre d une norme (cf. ci-après 6). Il ne semble donc pas justifié au regard de la spécificité du Cloud à ce jour d établir un faisceau d indices qui ferait tomber la présomption de sous-traitance. Que pensez-vous d un régime juridique spécifique pour les prestataires? Compte-tenu : - du nombre de prestataires aux expertises techniques nécessairement distinctes impliqués dans la fourniture de solution de Cloud, - des évolutions inévitables dans les expertises requises dans la fourniture de solution de Cloud, - des législations d ores et déjà existantes en France pouvant s appliquer à ce type de prestations. En effet, le prestataire fournissant la solution de Cloud est lié par l ensemble des obligations incombant à un fournisseur de solution informatique dont notamment (i) une obligation d information, (ii) une obligation de conseil et de mise en garde, (iii) une obligation de sécurisation et confidentialité des données, à ce stade du développement des prestations de Cloud, la création d un régime juridique spécifique aux solutions de Cloud ne semble pas nécessaire, voire judicieux. Il ne paraît pas justifié d établir un régime spécifique notamment de présomption de responsabilité (en qualité de responsable de traitement) du sous-traitant de Cloud. 10
III. Le droit applicable Le Cloud computing étant basé sur l utilisation de multiples serveurs situés en divers points de la planète, les difficultés quant à la détermination du droit applicable sont évidentes. En effet, la flexibilité et la fluidité des transferts de données rendent potentiellement applicables autant de lois que de pays dans lesquels se trouvent des serveurs traitant les données. Il est pourtant particulièrement important d identifier la loi applicable, afin notamment de déterminer quelles obligations pèsent sur le responsable de traitement. A. Le principe Aux termes de l article 5 de la loi du 6 janvier 1978 modifiée, la loi s applique si le responsable de traitement : a son établissement sur le territoire français a recours à des moyens de traitement situés sur le territoire français (sans être établi sur le territoire d un autre Etat membre) B. Pistes de réflexion Alors que la CNIL est favorable à une extension de la notion de moyens de traitement, elle souhaite tout de même tempérer les conséquences excessives d une interprétation particulièrement large des moyens de traitement et une éventuelle application systématique de la loi française. Question posée : Selon vous quels critères pourraient permettre de déterminer la loi applicable aux acteurs du Cloud? La détermination de la loi applicable constitue une interrogation récurrente chez les acteurs du Cloud. En France, les violations des dispositions de la loi Informatique et libertés constituent des délits pénaux punis d emprisonnement. La loi pénale française est d Ordre Public dont les spécificités seront rappelées ci-dessous. A toutes fins utiles et compte-tenu de la question précédente relative à un éventuel statut légal du sous-traitant de Cloud computing, nous avons également évoqué la question de la loi applicable d un point de vue de droit civil. 11
1. Sur le plan pénal En matière d application de la loi pénale dans l espace, il convient de rappeler les principaux textes pouvant être pertinents dans le contexte de la fourniture d une solution de Cloud : L article 113-2 du Code pénal énonce «l infraction est réputée commise sur le territoire de la République dès lors que l un de ses faits constitutifs a eu lieu sur ce territoire». L article 113-6 du Code pénal énonce : [la loi pénale française- Ndlr] est applicable aux délits commis par des Français hors du territoire de la République si les faits sont punis par la législation du pays où ils ont été commis. L article 113-7 du Code pénal énonce : «la loi pénale française est applicable à tout crime ainsi qu à tout délit puni d emprisonnement commis par un français ou par un étranger hors du territoire de la République lorsque la victime est de nationalité française au moment de l infraction». La loi pénale française est donc applicable tant à l égard des responsables de traitement que des sous-traitants dès lors que : - un des éléments constitutifs de l infraction est commis sur le territoire français (Cf. article 113-2 du Code pénal) - la victime est française au moment de l infraction (Cf. article 113-7 du Code pénal) - l infraction est commise hors du territoire français mais par un Français et que les faits sont punis par la législation du pays où ils ont été commis (Cf. article 113-6 du Code pénal). En matière de Cloud, compte-tenu de l importance des acteurs impliqués dans la fourniture de la solution de Cloud et des services liés ainsi que des flux transfrontaliers inhérents à la fourniture de la solution de Cloud, la loi pénale française pourrait être applicable dans de nombreuses situations. 2. Sur le plan civil La fourniture d une solution entrant dans le cadre d un contrat entre le client et le soustraitant, les parties au contrat peuvent prévoir une clause d élection de la loi du for avec une clause attributive de compétence (cette dernière ne suffisant pas à elle seule à autoriser la juridiction désignée à appliquer la loi de son pays). 12
En l absence de telles dispositions dans le contrat, la juridiction française saisie du litige fera application des dispositions de droit international privé en se fondant notamment sur l article 4 du Règlement Rome 1 : «1. Dans la mesure où la loi applicable au contrat n a pas été choisie conformément aux dispositions de l article 3, le contrat est régi par la loi du pays avec lequel il présente les liens les plus étroits. Toutefois, si une partie du contrat est séparable du reste du contrat et présente un lien plus étroit avec un autre pays, il pourra être fait application, à titre exceptionnel, à cette partie du contrat de la loi de cet autre pays.» Dans un contrat de fourniture d une solution de Cloud, la difficulté résidera dans la détermination des critères caractérisant les liens les plus étroits entre le contrat et les pays où seront exécutés une partie du contrat. Il est généralement présumé que le contrat présente les liens les plus étroits avec le pays où la partie qui doit fournir la «prestation caractéristique» a, au moment de la conclusion du contrat, sa résidence habituelle. La «prestation caractéristique» correspond, par exemple, à la livraison de marchandises dans le contrat de vente ou la prestation de services dans un contrat de fourniture de services. La plupart des prestataires de Cloud étant localisés à l étranger, une loi autre que la loi française serait donc la loi applicable. Certains prestataires proposent de considérer, à défaut d accord international, la «prestation caractéristique» d un Cloud comme le lieu de localisation géographique des serveurs et appliquer, dès lors, la loi du pays dans lequel les serveurs se situent. Ces solutions ne paraissent pas satisfaisantes en matière de Cloud : - les clients sont généralement liés par des contrats d adhésion dans lesquels il ne leur est pas possible de modifier les clauses attributives de loi applicable et de juridiction compétente imposées par le prestataire, - les clients seraient amenés à exposer des frais importants pour faire respecter leurs droits en raison de la grande incertitude juridique qui pèse sur la détermination de la loi applicable résultant, tant de la localisation indéterminée des données que dans le fait que la résidence habituelle des prestataires est généralement à l étranger, et ce, alors que la technologie même du Cloud les rend dépendants techniquement de leur prestataire et donc «vulnérables». En matière délictuelle, la question reste également entière puisqu en cas de conflits de loi, le Règlement Rome II prévoit qu est applicable «la loi du pays où le dommage survient; ou à défaut la loi du pays où la personne responsable et la personne lésée ont toutes les deux leur résidence habituelle au moment de la survenance du dommage ; ou à défaut la loi du pays avec lequel la situation présente des liens manifestement plus étroits que les pays précités». En conséquence, compte tenu de la multiplicité des acteurs du Cloud et de l enjeu stratégique et vital que constitue le Cloud pour un client qui externalise tout ou partie de son système informatique, ces questions en matière contractuelle et en matière délictuelle restent aujourd hui difficiles et nécessitent de plus amples analyses comme a pu le relever le G29 dans son avis WP 179 rendu le 16 décembre 2010. 13
II. Encadrement des transferts A. Le principe Aux termes de l article 68 de la loi de 1978, les données à caractère personnel ne peuvent faire l objet d un transfert que si l Etat dans lequel se situe le destinataire de données assure un niveau de protection adéquat. L article 69 de ladite loi prévoit expressément les outils permettant d encadrer ce type de transferts : clauses contractuelles types, règles internes d entreprises (ou BCR), Safe Harbor ou exceptions. Le recours à ces outils implique de connaître le ou les pays dans lesquels les données vont être communiquées, élément essentiel pour procéder aux déclarations/autorisations auprès de la CNIL et pour informer les personnes concernées des transferts vers ces pays. Or, le Cloud computing est le plus souvent fondé sur une absence de localisation stable des données. Le Client est donc rarement en mesure de savoir en temps réel où se trouve les données et où elles sont transférées et stockées. Dans ce contexte, les instruments juridiques permettent d encadrer les transferts de données vers des pays tiers n assurant pas un niveau de protection adéquat démontrent leurs limites. Il existe par ailleurs des exceptions au principe d interdiction de transferts B. Solutions proposées (i) Sur un plan juridique La multiplication des lieux potentiels de stockage des données rend difficile la mise en œuvre des instruments juridiques garantissant un niveau de protection adéquat. La CNIL propose d une part, d appeler les prestataires de services à intégrer les clauses contractuelles types dans leurs contrats de prestations de services, d autre part, de réfléchir à la faisabilité de BCR sous-traitants. Ces «BCR sous-traitants» permettraient à un client du prestataire de confier ses données personnelles à ce sous-traitant en étant assuré que les données transférées au sein du groupe du prestataire bénéficie d un niveau de protection adéquat. (ii) Sur un plan technique L encadrement des transferts pourrait également dépendre des solutions techniques utilisées. Certains prestataires évoquent par exemple le recours à des «métadonnées» 4 pour définir ou 4 Méthode permettant de lier des informations précises aux données et notamment permettrait de déterminer le périmètre géographique sur lequel les données pourront être transférées. 14
décrire une autre donnée quel que soit son support (papier ou électronique), ou encore les solutions de chiffrement homomorphe 5. Le recours au chiffrement pourrait également apparaître comme une solution satisfaisante pour garantir l envoi de données vers certains pays uniquement. Dans un tel cas, le client pourrait alors endosser véritablement son rôle de responsable de traitement en déterminant précisément avant même la réalisation de la prestation, les pays destinataires de données. En pratique : Le prestataire de Cloud, qu il soit responsable de traitement ou sous traitant, devra obtenir une approbation de ses BCR par les autorités européennes de protection des données, selon la procédure actuelle. Le client effectuera sa demande d autorisation de transferts auprès des autorités de protection sur la base des BCR du prestataire approuvés. C. Questions posées 1. Lequel des instruments existants vous semble le mieux adapté au Cloud computing? L absence de localisation préalablement et géographiquement déterminée des données caractérise le Cloud computing. Le client est donc rarement en mesure de savoir en temps réel -ou à tout moment- où se trouvent et où ont été localisées les données et où elles sont transférées et stockées. De plus, le client ne peut véritablement influer sur le choix des pays destinataires de données que dans le cadre d un Cloud privé ; à ce stade du développement des solutions de Cloud et compte-tenu de la volonté de rationalisation des coûts, le client ne peut choisir précisément les pays destinataires de données que de façon très limitée dans un Cloud public. En ce qui concerne la mise en place de BCR «sous-traitants», de tels instruments ne semblent être envisageables qu en cas de «groupe» de sous-traitants (entités liées entre elles d un point de vue capitalistique) ou éventuellement d un ensemble de sous-traitants agissant de concert aux fins de fourniture d un Cloud spécifique, ces sous-traitants («groupe» ou indépendants agissant de concert) ayant pour finalité la fourniture de prestations complémentaires dans le cadre de la création d un unique Cloud. 5 Moyen de chiffrement permettant au prestataire d agréger des messages bien qu ils soient chiffrés et sans qu il en est connaissance. 15
En revanche, le recours aux BCR devrait être exclu en cas de «chaîne» de sous-traitants indépendants fournissant des prestations dans le cadre d un Cloud mais n agissant pas de concert. Dans cette hypothèse, des clauses contractuelles «imposées» pourraient s appliquer aux contrats liant les sous-traitants aux autres sous-traitants et aux responsables de traitement. En ce qui concerne les formalités à remplir par le client auprès des autorités de protection des données personnelles : en l'absence de connaissance précise par le client des pays destinataires des données, imposer au client d'obtenir des autorisations de transfert auprès des autorités de protection sur la base de BCR «sous-traitants» alourdirait gravement le processus de recours à une solution de Cloud. Il conviendrait d'examiner la possibilité de souscrire à une norme (telle qu'évoquée par la CNIL ci-après) afin d'éviter qu'un client ait à effectuer de telles démarches. En ce qui concerne le chiffrement, le recours à celui-ci apparaît comme une solution satisfaisante, d'une part, parce qu'il participerait à la confidentialité des données et, d'autre part, parce qu'il participerait à la sécurisation des données lors de leur envoi vers certains pays. 2. Comment avez-vous encadré les transferts réalisés dans le cadre de la prestation des Cloud que vous proposez ou auquel vous avez souscrit? N/A 3. Les BCR sous-traitants vous semblent-ils être une solution intéressante? Quel mécanisme envisageriez-vous pour ces BCR? Cf. commentaire ci-dessus. Si un modèle type de BCR «sous-traitant» devait être élaboré (sur le même principe que les clauses contractuelles modèles européennes), celui-ci devrait à tout le moins comprendre/décrire : - le détail de la fourniture stricte de la solution de Cloud proposée - le détail des services additionnels proposés - des clauses de garantie relative à la sécurité et à la confidentialité des données - le descriptif juridique et technique du niveau d engagement quant à l exécution des prestations 16
- le détail des localisations actuelles et, le cas échéant celles envisageables, pour la fourniture du Cloud ainsi qu un engagement quant à de leur niveau de sécurisation logique et physique - une obligation de cryptage/chiffrement 4. Avez-vous déjà réfléchi à des solutions techniques qui permettraient de mieux identifier et contrôler les flux de données dans le cadre des prestations de Cloud? N/A VI. Sécurité des données Les problèmes de sécurité et de confidentialité des données externalisées vers le Cloud, couverts par l article 34 de la loi «informatique et libertés», sont en général un des premiers sujets de préoccupation des utilisateurs 6. Dans le cas d un organisme ayant recours à une offre de Cloud computing, la gestion de la sécurité de ces données se trouve largement déléguée au prestataire, pour lequel il est souvent difficile d obtenir des garanties sur le niveau de sécurité réel. En application de l article 35 de la loi, le sous-traitant doit «présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées dans l article 34» 7, le responsable de traitement ayant quant à lui «une obligation de veiller au respect de ces mesures [de sécurité et de confidentialité]» 7. De plus, le même article prévoit que «Le contrat liant le sous-traitant au responsable de traitement comporte l indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable de traitement.» Il est donc nécessaire que ces exigences en termes de sécurité se trouvent matérialisées dans un contrat. Il est notamment essentiel que les responsabilités et rôles des parties soient clairement définis au préalable, afin de traiter efficacement les cas d incident pouvant aboutir à une perte ou une divulgation de données. 6 Dans une étude effectuée par IDC Enterprise Panel (Etats-Unis), à la question «Rate challenges/issues ascribed to the Cloud /on-demand model» la sécurité apparait en tête avec 74,6% (source : présentation du NIST sur le Cloud Computing et la sécurité, disponible à l URL : http://csrc.nist.gov/groups/sns/cloudcomputing/cloud-computing-v26.ppt ). 7 Article 35 de la loi «informatique et libertés». 17
Question posée Quel commentaire pouvez-vous formuler sur les relations contractuelles entre client et prestataire concernant les mesures de sécurité et le respect des articles 34 et 35 de loi informatique et libertés? A tout le moins, le sous-traitant doit : - respecter les règles de l art, les normes ISO, AFNOR (pour l archivage, par exemple) et autres, - mettre en œuvre les conditions d authentification stricte des clients - mettre en œuvre les procédures de sauvegarde des données (serveurs distants) - utiliser des systèmes de connexions sécurisées - mettre en place le chiffrement des données En cas de suspicion raisonnable et motivée d un client quant à un manquement d un soustraitant à ses obligations de sécurité dans le cadre d un transfert notamment, ledit client devrait avoir la possibilité de solliciter d une autorité administrative indépendante la réalisation d un audit de contrôle de sécurité. Pour éviter une multiplicité d audits nuisibles à la sécurité des centres de données (datacenter), il appartiendrait à cette autorité administrative indépendante (la CNIL pour la France) de déterminer la pertinence d une telle demande sur la base des éléments présentés par le client demandeur à l audit. Les modalités d un tel audit restent à définir. De même, cette autorité administrative indépendante (la CNIL pour la France) devrait avoir la possibilité ex officio de vérifier les mesures de sécurité physique et logique des soustraitants du Cloud assistée par tout expert agréé spécialement pour les contrôles de Cloud. 18
5. Des risques spécifiques au Cloud Il est recommandé d effectuer une analyse de risques 8 préalablement à la rédaction de toute politique de sécurité, en particulier pour les systèmes d information de taille importante. Cette recommandation a déjà été formulée par l ENISA 9 dans son rapport paru en novembre 2009 et intitulé «Cloud computing: benefits, risks and recommendations for information security» 10 et par l ANSSI dans son rapport plus général sur «L externalisation des systèmes d information Maîtriser les risques» publié le 19 mars 2010 11. Cette analyse de risques doit notamment prendre en compte la nature de l organisme qui utilise le Cloud et le type de données traitées dans le Cloud. La CNIL considère donc qu adopter une démarche d analyse de risques pour évaluer l impact du passage au Cloud devrait être adopté par les responsables de traitement qui souhaitent utiliser le Cloud computing pour certains de leurs traitements de données personnelles. Question posée : Quels commentaires pouvez-vous formuler sur la recommandation de mener une analyse de risques avant le passage au Cloud? En pratique, imposer une obligation légale d analyse des risques aux responsables de traitement pour évaluer l impact du passage au Cloud risque de faire supporter auxdits responsables de traitement un coût important qui serait contraire au but premier du Cloud de rationalisation des coûts (cf. nos remarques au 6.c). Une telle obligation ne semble pas non plus judicieuse sur le plan juridique. 8 La méthode d analyse de risque la plus utilisé en France est celle développée par l Agence Nationale de la Sécurité des Systèmes d Information (ANSSI, anciennement DCSSI), dénommée EBIOS (voir à l url : http://www.ssi.gouv.fr/site_article45.html). 9 European Network and Information Security Agency 10 Ce rapport identifie notamment 35 risques spécifiques au Cloud computing. L ENISA a précisé l analyse à réaliser dans le cas de l utilisation du Cloud par les services publics dans un second rapport, publié en janvier 2011 et intitulé «Security & Resilience in the Governmental Clouds». Dans ce rapport, l ENISA fournit un guide d analyse à destination des services publics et recommande, globalement, l utilisation de Clouds privés, dont le rapport bénéfice/risques en matière de sécurité semble positif 11 Notamment les risques liés à la localisation et à l hébergement mutualisé. 19
En effet, en cas d'incident, le sous-traitant pourrait opposer cette analyse des risques et mettre en cause la société tiers l ayant réalisée, aux fins de s exonérer de ses obligations de conseil et de mise en garde qui sont renforcées en matière de prestations informatiques et ainsi tenter de s exempter de sa responsabilité. Si cette obligation est mise à la charge du sous-traitant dans le cadre de son obligation de conseil ou de mise en garde, il existerait alors une possibilité de minimisation par le prestataire des risques réels encourus qui ne serait révélée qu en cas de litige et serait difficilement contestable hors le cadre d un contentieux et sauf à engager des coûts très importants (expertise etc.). 6. Constats et propositions en matière de sécurité a) Les points de sécurité à renforcer Lors de l utilisation du Cloud computing, la CNIL recommande d examiner particulièrement certains aspects de la sécurité : - la protection externe du réseau (pare-feu, serveur proxy avec analyse de contenu, détection d intrusion, etc.) - la protection du terminal (PC portable, assistant personnel, téléphone portable) : antivirus, système d exploitation et des logiciels mis à jour régulièrement, firewall 12. - le chiffrement des liaisons 13 de manière à garantir la confidentialité des échanges - la traçabilité : conserver un historique des connexions et des opérations effectuées 14 sur les données (en effet, dans de nombreuses offres, y compris de grandes sociétés, les évènements de type «administration» qui permettent par exemple la création/suppression de compte ou les accès aux données ne sont pas enregistrés). Pour les prestataires proposant des offres à destination d organismes publics ou de sociétés, on peut rajouter : - la gestion des habilitations par exemple le compte d une personne ayant quitté l organisme doit être immédiatement désactivé car le fait qu elle n a plus accès aux locaux ne l empêche pas d accéder aux systèmes d information. - l authentification : de même, l authentification doit être renforcée. Le recours à une authentification forte s avèrera nécessaire dès lors que les données accédées sont sensibles et/ou volumineuses. 12 Ou «pare-feu» servant à filtrer les connexions entrantes et sortantes. Ici, il se présentera sous forme d un logiciel, ou à défaut de la fonctionnalité fournie par le système d exploitation du terminal. 13 Par exemple en ayant recours à https (HyperText Transfer Protocol Secure) pour sécuriser la navigation. 14 Sil s agit d une offre de type IaaS, il sera important d activer les journaux au niveau du système d exploitation (sécurité, système, application), et au niveau des équipements contribuant à la sécurité du réseau (firewall, IDS). S il y a en plus des prestations de type SaaS, il faudra journaliser les évènements (création de compte, exports, accès en écriture/lecture) au niveau de la base de données et/ou de l applicatif associé. De plus, l accès aux journaux devrait être protégé en écriture et limité au minimum de personnes. Bien que généralement gérés par la société offrant le service de Cloud computing, ils devraient être accessibles (éventuellement sur demande) au client. 20
Questions posées: Quels commentaires pouvez-vous formuler sur cette analyse? Selon vous, sur quelles mesures de sécurité la CNIL devrait-elle attirer l attention des responsables de traitement? Le Cloud est une solution informatique spécifiquement exposée à des risques sécuritaires puisque la mutualisation des ressources et l externalisation de celles-ci multiplient la diversité des risques physiques et logiques et augmentent l étendue des dommages en cas de «contagion». Les mesures de sécurité ci-dessus préconisées relèvent des obligations habituelles en matière de fourniture de solutions informatiques et devraient être intégrées de façon systématique dans le cadre des obligations de conseil et sauvegarde des prestataires fournisseurs de solutions de Cloud. Les prestataires fournissant de telles prestations de Cloud ne devraient pas pouvoir prétendre à l exonération d aucune des obligations auxquelles sont soumis les prestataires de solutions informatiques et devraient souscrire des engagements significatifs tant de sécurité physique et logique que logistique. b) L accès des administrateurs et le chiffrement Lorsqu aucun chiffrement n est mis en œuvre au niveau du stockage des données, ce qui est très souvent le cas, les administrateurs informatiques 15 du prestataire ont un accès total aux données de leurs clients 16. Une manière de se protéger partiellement de ces risques est de s assurer que les administrateurs du prestataire ont une clause de confidentialité dans leur contrat de travail ou ont signé un engagement en ce sens. Une traçabilité des actions d administration dans des journaux qui ne leur sont pas accessibles est par ailleurs recommandée. Cependant, pour le client responsable de traitement, le chiffrement des données stockées dans le Cloud constitue le seul moyen d empêcher que les administrateurs informatiques du prestataire 17 aient accès aux données qui lui sont confiées. 15 Réseau/ système d exploitation, base de données et application ; 16 Ce qui peut représenter une quantité très importante de données quand on pense aux dizaines de milliers de clients d ADP ou aux millions de clients de Google pour reprendre les exemples précédents. 17 Et donc la société de «Cloud computing» elle-même. 21
Question posée Quels commentaires pouvez-vous formuler sur le chiffrement dans le Cloud? Nous partageons la synthèse de la CNIL sur ce point. Si effectivement, il existe des moyens contractuels comme les clauses de confidentialité pour garantir juridiquement la protection des données personnelles, le client n est pas à l abri de l indélicatesse d un prestataire ou de ses préposés ou d une atteinte d un tiers au système. Le chiffrage des données offre une garantie technique supplémentaire qui n est pas difficile à mettre en œuvre. Le chiffrage des données devrait être une obligation afin de garantir un niveau minimal de protection élevée. c) La destruction des données et la réversibilité Lorsque la prestation offerte par le prestataire s achève (fermeture d un compte, rupture de contrat, etc.) il est important pour le client de s assurer que les données qu il a confiées au prestataire ne sont plus accessibles à ce dernier. En fonction de la sensibilité de ces données, les mesures suivantes peuvent être exigées : - effacement classique des données - effacement «sécurisé» 18 des données - restitution des supports de stockage (disques durs, bandes de sauvegarde) ou destruction physique dans le cas de matériels dédiés au client (cas des Clouds privés par exemple) ; dans ce cas, il est important que ceci soit prévu dans des clauses contractuelles dès le départ 19. Par ailleurs, la question de la réversibilité des données doit être prise en compte par le client avant la souscription à un service de Cloud computing. Le client peut souhaiter conserver les données qu il a confiées au prestataire et dans ce cas, le prestataire devrait prévoir une restitution dans un format standardisé qui permette au client de réutiliser ces données avec un autre prestataire ou un logiciel classique. 18 Les données effacées à l aide de la fonction de suppression du système d exploitation peuvent être facilement récupérables, même une fois la corbeille vidée ou après formatage du spport. Il existe en effet de nombreux logiciels, dont certains sont gratuits (Recuva par exemple), permettant de récupérer des données après effacement ou formatage. C est la raison pour laquelle il existe des logiciels d effacement sécurisé qui fonctionne par réécriture de bits aléatoires sur les données. 19 Le rachat des supports a posteriori est parfois possible mais est en général facturé très cher. 22
Question posée : Quels commentaires pouvez-vous formuler sur la restitution des données et la réversibilité? La question est de savoir si l on souhaite faire supporter -par une disposition juridique spécifique au Cloud- le coût de restitution et de réversibilité au client ou au sous-traitant et leur imposer des contraintes techniques, voire juridiques. Dans une optique de sécurisation des données, des obligations à tout le moins d information du client devraient peser sur le prestataire parmi lesquelles pourraient notamment figurer : - l identification précise du format dans lequel seront restituées les données figurant sur les supports de stockage fournis au client. - le délai maximal de restitution des données afin d éviter toute rétention indue des données en cas de conflit entre le client et le sous-traitant - l engagement de destruction de toute copie de sauvegarde des données, une fois celles-ci restituées. Ce point devrait être évoqué au niveau à tout le moins européen dans un souci d harmonisation. L ensemble des problématiques citées ci-dessus pourrait être partiellement traité par un renforcement de la transparence des prestataires de Cloud sur leurs politiques de sécurité. Des mesures de certification des centres de données, tenant compte de la question de la protection des données personnelles pourraient renforcer la confiance des clients et des Autorités de protection des données, sans induire de risques supplémentaires 20. Toutefois, il n existe pas de normes de sécurité adaptées au Cloud, qui prennent pleinement en compte la problématique de la protection des données personnelles. La CNIL recommande que des normes de sécurité incluant la question de la protection des données personnelles dans le Cloud soient définies par le secteur et promues pour renforcer la transparence vis-à-vis des clients. 20 A l inverse, si chaque client aurait la capacité de faire un audit sur le centre de données, ces audits permanents induisent de nouveaux risques sur la sécurité du centre. 23
Questions posées : - Approuvez-vous l analyse de la CNIL sur l absence de normes ou de certifications sur la protection des données personnelles dans le Cloud? - Quelles propositions de normalisation ou de certification pouvez-vous formuler à ce sujet? s Nous partageons l'avis de la CNIL sur la nécessité de mettre en place des normes et des certifications sur la protection des données personnelles dans le Cloud. Les clients sont particulièrement sensibles aux problématiques liées au contrôle et à la sécurité dans le Cloud (les risques étant plus élevés dans un Cloud public que dans un Cloud privé). Les prestataires conscients, qu il s agit d un frein au développement du Cloud, tentent de rassurer les clients en mettant en place des «bonnes pratiques», ce qui est positif. Toutefois «ces bonnes pratiques», mises en œuvre par des personnes commerciales privées, ne tendent pas pour l instant vers une harmonisation. Afin d être en parfaite adéquation avec l esprit et les textes de la loi Informatique et libertés et ainsi garantir le respect des données personnelles notamment celles dites «sensibles», il semble nécessaire que ces niveaux de contrôle et de sécurité soient assurés par la mise en place d une norme. Une norme paraît préférable à un processus de certification qui entraînerait des coûts contraires à l économie même du Cloud et freinerait son développement. Une norme pourrait suffire à encadrer les obligations des sous-traitants en prenant en considération les risques principaux aujourd'hui identifiés (notamment dans le rapport rendu par l ENISA). Il serait efficace d envisager d emblée une norme européenne, plutôt que des normes nationales, afin d harmoniser dès à présent les processus et contrôles en matière de données personnelles. Cela pourrait être une mission de l Agence Européenne chargée de la sécurité des réseaux et de l information (ENISA), familière des questions sur les risques de sécurité liés au Cloud ou encore du G29. 24