Glass/Schefer : Expertise “L’utilisation conforme aux droits fondamentaux de M365 par les organes publics en Suisse”.

FR DE EN

David Vasella

sur le site

22.12.2023

Branches

Fournisseurs de cloud et d’informatique

Autorité

Lois

Loi sur la CLOUD

Thèmes

Microsoft, organes publics

Vente à emporter (AI)

Une expertise recommande en principe de renoncer à stocker des données personnelles sensibles dans les clouds Microsoft en raison de la perte de contrôle et de l’accès des autorités américaines.
Cryptage (efficace contre l’accès du fournisseur) ou hébergement local/alternatif dans des centres de données non américains proposés comme mesures atténuantes.
Critique : l’interprétation de la SCA américaine par les auteurs est contestée ; l’évaluation des risques (probabilité et conséquences des accès) reste centrale.

Dr. Philip Glass et le professeur Dr. Markus Schefer ont été mandatés par egovpartner (une organisation de collaboration entre les communes, les villes et le canton de Zurich) a rédigé une expertise sur le utilisation de Microsoft 365 conforme aux droits fondamentaux par les organes publics en Suisse (à l’exemple du canton de Zurich). L’expertise a été dans Jusletter IT du 20 décembre 2023 et est disponible aux Editions Weblaw, Berne 2023. Il pose la question

comment les communes du canton de Zurich peuvent utiliser les services de cloud computing (en particulier M365) en conformité avec la Constitution et la protection des données.

L’expertise avait été mise à la disposition des communes du canton de Zurich avant sa publication et pouvait être transmise à des tiers depuis début octobre 2023. Les auteurs ont reçu des réactions sur la base de cette expertise ; ils y répondent dans un addendum à l’expertise.

L’expertise peut également être téléchargé sur le site de David Rosenthal. David Rosenthal a déjà publié à ce sujet le 10 novembre 2023 Notes sur l’expertise rédigéesvoir ci-dessous.

Résultats de l’expertise

Les principales conclusions des évaluateurs sont les suivantes :

L’art. 13, al. 2, Cst. protège contre l’utilisation abusive des données en tant que garantie minimale d’un traitement légal des données et confère un intérêt juridiquement protégé à un traitement correct des données dans le respect de l’État de droit. En outre, l’art. 13, al. 2, Cst. comprend le ” droit à la protection des données “.Protection de l’autodétermination en matière d’information”, qui garantit l’exercice des droits fondamentaux.
Différents “Couples d’intervention“Les restrictions doivent être justifiées individuellement et doivent être raisonnables dans leur ensemble. L’autodétermination en matière d’information est particulièrement affectée lorsque le traitement des données peut conduire à une autolimitation dans l’exercice des droits fondamentaux (chilling effect).
Le site Intensité d’un moment d’ingérence résulte de l’interaction entre la perte de contrôle et l’efficacité des voies de recours contre celle-ci, et de la proximité de la personnalité du traitement des données. Il convient d’examiner au cas par cas dans quelle mesure il est possible de remédier à une perte de contrôle par des mesures de sécurité et à la proximité de la personnalité par l’anonymisation.
Un stockage de données personnelles dans le cloud est une Stockage “à titre préventif” à l’attention des autorités américaines, qui peuvent accéder via le CLOUD Act ou le Stored Communications Act (SCA). Un tel accès constituerait une violation des principes du droit suisse, un traitement non transparent et une violation de la limitation des finalités. En raison du nombre de personnes concernées et de la perte de contrôle, il faut en principe partir du principe qu’il s’agit d’une atteinte grave.
Le site “Méthode Rosenthal” ne semble “pas encore suffisamment mûre” pour une utilisation dans le domaine du droit public, mais elle peut fournir des indications sur l’ordre de grandeur de la probabilité d’une violation. De plus, aucune alternative avec une argumentation structurée de manière similaire n’est visible ; les autorités de protection des données donnent également “peu d’indications sur la manière dont [les risques liés à l’utilisation du cloud] pourraient être évalués de manière conforme au droit”.
Qu’un faible risque d’accès semble “plausible dans les circonstances actuelles”, mais cela pourrait changer avec l’utilisation croissante du M365.
Les interventions gagnent en intensité lorsqu’on Dépendance aux produits Office sont prises en compte. En cas de développement de ces produits, l’administration publique n’a pas d’alternative.
Les bases juridiques zurichoises permettent le traitement de données personnelles particulières, mais elles ne suffisent pas pour les moments d’intervention spécifiques de l’externalisation vers le cloud d’une entreprise américaine.
Comme les autorités cantonales, les experts recommandent de stocker au moins les données personnelles sensibles dans le cloud. crypterLa Commission européenne a estimé que l’utilisation de M365 pourrait être conforme à la Constitution si le cryptage était également efficace contre l’accès du fournisseur.

J’en déduis

Compte tenu des interventions décrites et de leur intensité, ainsi que de la base juridique insuffisante pour la prise en charge des risques correspondants par les organes publics dans le canton de Zurich, il faut à l’heure actuelle de recommander de renoncer à certaines formes de traitement de données personnelles particulières (= atteintes graves à l’autodétermination en matière d’information) au moyen du M365. Cela concerne toutes les formes de traitement qui impliquent le stockage de données dans le nuage de Microsoft. Dans ce cas, la possibilité de faire exploiter de telles applications dans ses propres centres de calcul et de n’effectuer que les mises à jour via le service de cloud computing constitue, dans un avenir prévisible, un remède moins sévère. Alternativement, on peut envisager une externalisation classique dans les centres de calcul d’un tiers qui n’est pas soumis au droit américain. Cette évaluation reste à vérifier en permanence à la lumière des développements juridiques et techniques futurs.

Notes critiques

Arguments vs. terminologie

L’expertise donne lieu à des critiques sur les points suivants. Il convient tout d’abord de distinguer les arguments de fond des explications terminologiques, ce qui n’est pas facile. Mais de nature terminologique, il y a tout d’abord les explications concernant droit à l’autodétermination en matière d’information. Ce droit, en tant que droit intrinsèque à peine justifié:

Les auteurs partent de l’arrêt sur le recensement de la Cour constitutionnelle allemande, qui a vu un tel droit. En Suisse, le Tribunal fédéral a utilisé à plusieurs reprises la notion de droit à l’autodétermination en matière d’information. Les auteurs retracent cette évolution, ainsi que les références du législateur à cette notion.
Ils admettent toutefois que le contenu de ce droit ne peut être révélé que par l’interprétation de l’article 13 Cst. et du droit légal pertinent. Il s’ensuit que l’autodétermination en matière d’information n’est au fond qu’une notion qui n’a pas de force normative ; elle n’est donc qu’une parenthèse conceptuelle pour le droit constitutionnel et le droit légal à interpréter selon les règles habituelles.
On peut donc se demander si l’expression “autodétermination en matière d’information” est vraiment pertinente – une question douteuse, mais sans doute sémantique ; elle n’est cependant pas très utile comme source d’interprétation. Les auteurs ne tirent d’ailleurs guère de conclusions concrètes de cette notion.

De même, les références aux différents types d’activités sont de nature terminologique. Les “moments d’intervention” d’un traitement de données. Les auteurs soutiennent que les différents “moments d’ingérence” d’un traitement de données (par ex. le type de données, le but du traitement, le type et l’étendue du traitement, les autres circonstances du traitement, etc. C’est vrai, mais cela ne veut pas dire grand-chose : que l’on applique les conditions de l’article 36 Cst. à des moments d’intervention isolés ou à un traitement dans son ensemble, cela ne joue aucun rôle ; dans un cas comme dans l’autre, c’est la gravité de l’intervention qui est déterminante, et celle-ci peut bien entendu résulter d’aspects isolés, comme par exemple la conservation des données ou leur interaction, ou les deux.

Point de contenu : perte de contrôle

Lors de l’examen proprement dit des moments d’intervention identifiés dans le contexte d’une externalisation du cloud, et donc du cœur de la question, les auteurs concluent que l’externalisation entraîne un perte de contrôle juridique et de fait est liée. C’est cette perte de contrôle qui les amène à conclure que les bases légales existantes ne sont pas suffisantes.

Ils commencent ici par constater que les expertises existantes sur le sujet argumentent sur la faible probabilité d’un accès des autorités, et ce même à juste titre, mais qu’ils ne tiennent pas compte du fait que déjà le stockage dans le cloud est un élément d’intervention propre qui doit être examiné séparément.

C’est certainement vrai d’un point de vue conceptuel, mais ce n’est pas nouveau – si le stockage peut représenter un danger, il doit bien entendu être examiné selon les critères de l’article 36 Cst, qu’on le qualifie ou non d’ ”élément d’ingérence”. Glass et Schefer partent du principe qu’il existe un risque lié au simple stockage dans un cloud américain, risque accru La Commission européenne a rejeté la demande d’accès à la base de données CLOUD, essentiellement parce que le US CLOUD Act ou le Stored Communications Act qu’il a adapté permettait un accès en contournant l’entraide judiciaire, en violation des principes de transparence et de finalité et en violation de la Convention sur la cybercriminalité.

Ce L’interprétation du CLOUD Act ne s’applique pas:

La thèse selon laquelle un stockage dans le cloud d’un fournisseur américain est une Conservation des données à l’intention des autorités américaines repose sur l’idée que l’accès en vertu du SCA est contraire à l’article 32 de la Convention sur la cybercriminalité (CCC). L’art. 32 CCC prévoit que les autorités d’un Etat contractant ne peuvent accéder à des données sur le territoire d’une autre partie contractante, pour l’essentiel, qu’avec le consentement de la personne qui a le droit de disposer de ces données (p. ex. un ISP local ; à ce propos ATF 141 IV 108). Toutefois, l’article 18 de la CCC prévoit que l’accès aux données à l’étranger est autorisé à celui qui possède ou contrôle ces données. Il peut s’agir de Microsoft USA, mais cela dépend aussi de l’organisation concrète des services. Cela correspond plus ou moins à la SCA (§ 2713), qui ne contrevient donc pas, dans cette mesure, aux règles fondamentales reconnues en Suisse.
Il n’est pas exact qu’un fournisseur d’accès, en cas d’ordre de remise Ne pas informer les clients ne doit pas être autorisé. Cela dépend de la base juridique de l’ordre de remise – dans le cas d’une sous-poena ou d’une ordonnance du tribunal, l’information n’est du moins pas exclue par principe (SCA § 2703(b)(1)).
Il est également inexact de dire qu’un fournisseur américain ne peut s’opposer à l’accès des autorités américaines sur la base du SCA que si un Accord exécutif a été conclu. En l’absence d’un tel accord, il ne peut pas invoquer le fait qu’une remise violerait le droit d’un autre État, mais il peut toujours objecter qu’une “analyse de comitologie” s’oppose à la remise (§ 2703(h)(2)(B)(ii) et (3)).
Les possibilités d’accès des autorités en vertu du SCA sont les suivantes en aucun cas “illimitécomme l’écrivent les auteurs. Ils présupposent au contraire qu’un warrant, une subpoena ou une décision de justice aient été émis. Cela ne préjuge en rien des conditions de ces instruments, mais ils ne sont pas disponibles sans conditions et de manière “illimitée”.

Les auteurs abordent certains de ces points dans l’addendum. Mais comme ils s’en tiennent aux conclusions de l’expertise, la critique reste pertinente.

Ce qui reste

L’argumentation de Glass et Schefer est fondamentalement cohérente dans la mesure où ils mettent en évidence le fait que les atteintes plus graves aux droits fondamentaux nécessitent une base légale explicite, c’est-à-dire qu’une base légale indirecte par l’attribution de tâches n’est plus suffisante dans ce cas. Il n’y a rien à redire à cela. Mais sur le fond, ils argumentent fortement – et non exclusivement – avec une interprétation du Stored Communications Act qui ne peut pas être partagée. En conséquence, leurs conclusions doivent également être rejetées.

En tout cas, la référence à une certaine perte de contrôle et à une dépendance vis-à-vis des fournisseurs est correcte. L’expertise ne précise pas si ces aspects appellent en soi une base légale particulière, car elle ne part justement pas du principe que seuls ces aspects sont déterminants.

Il reste donc que les risques d’un accès des autorités doivent être examinés et que, avant tout, les Probabilité d’accès – et, bien entendu, le poids de ses conséquences – sont déterminants. Sur ce point, les auteurs ne considèrent pas la méthode Rosenthal comme inappropriée, même s’ils reconnaissent certaines lacunes (que l’on ne peut toutefois pas qualifier de lacunes ; elles sont plutôt inhérentes à la méthode, qui ne prétend pas répondre à toutes les questions). En conclusion, on peut donc constater que l’expertise ne devrait pas avoir d’influence sur l’évaluation des externalisations par les organes publics.

Notes de David Rosenthal

Comme noté, David Rosenthal a également rédigé des remarques détaillées sur l’expertise, qui disponible ici sont des remarques. Dans la mesure où elles correspondent au contenu des remarques ci-dessus, elles ne sont pas reprises ici. Il retient cependant les points supplémentaires suivants :

Le droit suisse connaît des ordres de remise comparables au SCA. Il est donc également faux de dire que le SCA est difficilement compatible avec les principes du droit suisse.
Le cryptage “de bout en bout” recommandé dans l’expertise pour les données sensibles n’est ni approprié ni nécessaire, du moins pour le M365 ; un accès par les autorités peut aussi être contré par des mesures moins radicales.
Il n’est pas important de savoir s’il existe un niveau de protection des données adéquat aux États-Unis (ce qui devrait être le cas dans un avenir proche avec le Privacy Framework, même du point de vue suisse). Le client communique des données à Microsoft en Irlande. Les accès à partir des États-Unis sont tout au plus exceptionnels et ne concernent alors pas nécessairement des données personnelles.
On ne peut pas dire qu’un stockage local de données personnelles soit plus sûr qu’un stockage dans le cloud. Il faut plutôt tenir compte du fait que dans le cas de M365, la “perte minimale de contrôle” dans le domaine des accès des autorités est compensée par un “gain de contrôle” nettement plus élevé en matière de protection contre les pirates et autres dangers”.
L’expertise confirme que la méthode Rosenthal est en principe appropriée. La probabilité d’occurrence d’un accès des autorités étrangères reste déterminante. La méthode peut la représenter de manière plausible.

Glass/Schefer : Exper­ti­se “L’uti­li­sa­ti­on con­for­me aux droits fon­da­men­taux de M365 par les orga­nes publics en Suisse”.

Résul­tats de l’expertise

Notes cri­ti­ques

Argu­ments vs. terminologie

Point de con­te­nu : per­te de contrôle