- Privatim identifie l’accès par des autorités étrangères comme un risque central de protection des données spécifique au cloud et recommande des mesures de localisation, de contrat et de cryptage.
- L’auteur critique les catégorisations schématiques (p. ex. “données sensibles”) et demande des analyses de risques au cas par cas ainsi que des décisions acceptables en matière de risques, qui ne soient pas assorties d’une tolérance zéro.
Nouvelle fiche d’information
privatim, l’influente conférence des commissaires suisses à la protection des données, a publié le 14 février 2022 une nouvelle version de sa fiche d’information “Risques et mesures spécifiques au cloud”. L’ancienne version, désormais remplacée, datait de décembre 2019 (à ce sujet ici):
L’objectif de cette fiche d’information est d’identifier les risques spécifiques liés à la protection des données dans le cadre de l’informatique en nuage et de services similaires, et de montrer comment les organes publics peuvent assumer leurs responsabilités dans ce contexte. Il ne se réfère donc ni aux risques généraux liés au traitement des mandats, ni aux préoccupations ne relevant pas de la protection des données et des secrets.
Principes de base sur les risques liés au cloud
privatim part du principe que les risques spécifiques au cloud sont déterminés par cinq facteurs :
- Rédaction du contrat
- Lieux de traitement des données, y compris l’accès des autorités étrangères
- Confidentialité/protection du secret, cryptage et gestion des clés
- Données sur les utilisateurs des services en nuage
- Relations de sous-traitance
En d’autres termes, privatim considère comme possibles L’accès par des autorités étrangères comme principal risque (de protection des données) spécifique au cloud computing – à juste titre ; tous les autres facteurs de risque ne sont pas spécifiques au cloud, mais se posent également dans le cadre d’autres traitements de commandes.
En complément, privatim voit cependant d’autres risques qui peuvent être augmentés par l’utilisation d’un nuage ou qui doivent être pris en considération :
- Obligations de déclaration
- Droit et possibilité de contrôle
- Mesures de sécurité de l’information
- Obligations en cas de résiliation du contrat Dépendances vis-à-vis du fournisseur de prestations (disponibilité, frais de migration en cas de changement)
Remarques sur les principaux facteurs
Rédaction du contrat
Recommandations privatim
- par écrit
- Couvrir la proportionnalité et la finalité
- Obligation d’assistance en cas de revendications relatives à la protection des données
- Droits de contrôle sur le respect du contrat
- Exécution devant des tribunaux facilement accessibles dans un ordre juridique familier ; donc en principe le droit suisse et le for en Suisse.
- Exception : les données sont protégées efficacement par cryptage contre l’accès par le fournisseur et des tiers ou le for et le droit applicable sont ceux d’un État offrant un niveau de protection adéquat. Cette exception ne s’applique pas si les données concernées sont particulièrement sensibles ou si elles contiennent des profils de la personnalité ou des secrets.
Notes
Les recommandations de privatim ne sont en principe que cela – des recommandations. En tant que telles, elles ne peuvent guère être fausses, elles sont simplement plus ou moins convaincantes.
Il n’est toutefois pas convaincant de considérer que la catégorisation des données concernées comme sensibles ou comme profil de la personnalité est un facteur décisif en soi. L’accès des autorités à de telles données n’est ni globalement plus probable, ni nécessairement plus dommageable (contrairement à l’accès par un pirate privé, qui risque d’entraîner une publication sur le Darknet ; dans ce cas, une considération abstraite se justifie, ceci par différenciation avec l’accès des autorités).
Les lois sur la protection des données lient certes certaines conséquences juridiques au statut de données sensibles (ou de données personnelles particulières dans les actes législatifs cantonaux les plus récents), mais cela spécifiquement en ce qui concerne certains points (p. ex. le niveau de norme requis pour la base légale) et non en ce qui concerne la communication à l’étranger. La catégorie des données personnelles particulières peut donc tout au plus avoir un effet indicatif lors de la communication à l’étranger.
Il en va de même pour les secretsIl n’est pas décisif de savoir si un secret existe, car le statut d’un secret en tant que tel ne dit rien sur le risque d’accès. Il n’y a par exemple aucune raison de supposer que les autorités étrangères se soucient particulièrement des secrets en général. Au contraire : si l’on regarde par exemple la FISA et les bases juridiques analogues d’autres Etats, on constate que l’accent n’est pas mis sur les secrets, mais plutôt sur les données de communication.
Il est donc pour chaque type de secret, une analyse de risque propre et ouverte aux résultats vu la proposition de la Commission
- la nature du secret et, en particulier, les intérêts protégés par le secret,
- la probabilité d’un accès par des autorités étrangères et
- les conséquences négatives en cas d’accès de ce type.
Ce n’est que sur cette base qu’il est possible de catégoriser de manière pertinente les stocks d’informations en fonction des risques.
En ce qui concerne le secret de fonction général, il faut tenir compte du fait qu’il a un double objectif de protection, en ce sens qu’il protège d’une part les intérêts authentiques de l’État et d’autre part la confiance du citoyen dans son interaction avec l’État. La confiance du citoyen n’est pas non plus toujours en jeu, et même lorsqu’elle l’est, elle n’exige pas un risque zéro.
En ce qui concerne le droit applicable et le for, ce n’est pas non plus la catégorie de protection spéciale qui détermine si le droit suisse ou une compétence en Suisse doivent être convenus. Certes, il est judicieux d’en convenir (dans la mesure où un jugement est exécutoire dans l’État du prestataire). Mais pour une petite commune, ce point pourrait être plus important qu’un organe public disposant des moyens et du savoir-faire pour agir en justice à l’étranger.
Lieux de traitement des données, y compris l’accès des autorités étrangères
Recommandations privatim
- Déclaration des sites par le fournisseur
- Le site suisse est à privilégier (notamment en raison des possibilités de contrôle, mais aussi pour d’autres considérations de sécurité)
- il faut tenir compte d’éventuelles obligations de remise en vertu du CLOUD Act
- Un traitement à l’étranger – y compris les accès depuis l’étranger – n’est autorisé que si le niveau de protection est équivalent. Cela peut être remplacé par des clauses contractuelles standard, à condition qu’aucun accès ne soit possible dans l’État cible sur la base d’une base juridique insuffisante du point de vue des droits fondamentaux :
Les traitements de données effectués sur des sites à l’étranger ne sont autorisés que dans les États qui disposent d’un niveau de protection des données équivalent ou dans lesquels une protection des données appropriée peut être obtenue par contrat, notamment par le biais de clauses contractuelles standard reconnues. Ce dernier cas n’est alors pas le cas, lorsque l’accès des autorités est possible dans l’État concerné, qui ne satisfont pas aux garanties constitutionnelles des droits fondamentaux (principe de légalité, de proportionnalité, droits des personnes concernées, accès à des tribunaux indépendants). Dans ce cas, des mesures supplémentaires (notamment un cryptage efficace) doivent être prises pour que la transmission de données personnelles à l’étranger soit autorisée.
Notes
privatim se base sur les principes généraux de la transmission à l’étranger. Il semblerait toutefois que privatim utilise une base juridique insuffisante pour les accès (en Schrems-IIlangue : une “législation problématique” comme la FISA aux États-Unis) exige un risque zéro. Ce n’est pas correct – la législation sur la protection des données n’exige pas un risque zéro. Cela vaut non seulement pour le droit privé, mais aussi pour le droit public de la protection des données, car les droits fondamentaux des personnes concernées doivent être protégés, mais pas de manière absolue. Les organes publics peuvent et doivent également se poser la question de savoir comment organiser efficacement l’administration et utiliser leurs ressources de manière économique. D’une manière générale, le droit général de la sécurité des données n’exige pas un risque zéro, même pour les organes publics, et cela n’est pas différent pour la communication à l’étranger que pour les mesures de sécurité des données en général.
Si un pays autorise l’accès des autorités par deux lois, par exemple, dont l’une satisfait aux exigences des droits fondamentaux (par exemple le CLOUD Act dans le cas des États-Unis) et l’autre non (par exemple la FISA dans le cas des États-Unis), cela n’empêche la divulgation dans le pays concerné que si l’on peut s’attendre à ce que la loi déficiente soit utilisée pour les données pertinentes.
Du point de vue de la protection des données, il convient donc d’évaluer la probabilité d’un accès des autorités lors du traitement de l’emplacement des données. (voir à ce sujet les Lignes directrices de l’EDSA sur les mesures Schrems II et les les clauses contractuelles types actuellesLe PFPDT est d’avis que la clause 14 exige explicitement une approche fondée sur les probabilités. a reconnu). Cela s’applique non seulement lorsqu’un accès via le CLOUD Act est envisagé, mais aussi lorsque les données sont stockées dans un pays ne disposant pas d’un niveau de protection adéquat ou lorsqu’un tel accès est possible. Il va de soi que le risque d’accès est plus élevé lorsque les données sont stockées sur place et qu’il n’y a pas qu’un accès possible – ce sont tous des facteurs pertinents dans le cadre de l’examen de la probabilité. Par ailleurs, cela ne dit pas quel risque est encore acceptable – c’est l’institution concernée qui en décide.
Dans ce contexte, il est intéressant de noter une remarque à laquelle privatim ne consacre – sciemment ? – n’accorde qu’une note de bas de page :
Pour autant que Accès des autorités sans information de l’organe public responsable est la seule façon de Probabilité d’occurrence non évaluable (parce qu’elles ne sont pas vérifiables), de sorte que l’accent est mis sur l’ampleur des dommages, où la qualité des données est surtout déterminante (données personnelles sensibles).
Même si une information est interdite au fournisseur (par un “gag order”), on peut se demander quelle est la probabilité que ce soit le cas. Le fait que l’accès se fasse en secret peutEnfin, l’accès aux données n’est pas l’expression d’un système juridique problématique, mais va de soi dans certains cas. Cela ne signifie pas que de tels accès ne sont pas soumis à des règles claires, ni qu’ils sont fréquents, ni qu’un accès clandestin est plus dommageable pour la personne concernée qu’un accès ouvert, ni qu’il n’existe pas du tout de chiffres concernant de tels accès. Il est donc faux de dire que dans le cas d’un éventuel gag order, la probabilité d’occurrence ne pourrait ou ne devrait pas être prise en compte. Elle peut tout au plus être évaluée avec moins de certitude, de sorte que le risque correspondant peut être estimé un peu plus élevé en raison du manque de précision. Les fournisseurs d’accès ont toutefois souvent l’obligation de prendre des mesures juridiques contre les accès des autorités, même si le client ne peut pas donner d’instructions correspondantes parce qu’il n’en sait rien. Et là encore : le fait qu’une donnée soit particulièrement digne de protection n’est pas déterminant dans le présent contexte.
Le Droit de la protection du secret n’exige par ailleurs pas un risque zéro d’accès des autorités, du moins pas en règle générale, comme nous l’avons déjà indiqué plus haut.
Confidentialité/protection du secret, cryptage et gestion des clés
Recommandations privatim
- Les données doivent être cryptées, au moins en transit
- les données doivent être protégées de manière adéquate lors de leur traitement ultérieur
- les données personnelles sensibles sont soumises à des exigences accrues : elles doivent être cryptées par l’organe public et les clés ne doivent être disponibles que pour l’organe public
- un décryptage chez le fournisseur suppose que l’institution publique démontre qu’il n’y a pas de “risques inacceptables pour les droits fondamentaux des personnes concernées”. Le fournisseur ne peut toutefois conserver les clés que s’il s’engage à ne les utiliser qu’avec l’accord exprès de l’institution, et les accès doivent être consignés.
- Les secrets ne peuvent être rendus accessibles au soumissionnaire que dans la mesure où les dispositions relatives au secret permettent de faire appel à des auxiliaires et, le cas échéant, en respectant les conditions correspondantes.
- la violation injustifiée des règles de confidentialité doit être considérée “comme une limite juridique à l’externalisation et pas seulement comme un risque”.
Notes
La distinction entre données personnelles normales et données personnelles sensibles n’est pas non plus le critère approprié ici. Cela joue dans deux directions : Il se peut que les mesures esquissées par privatim soient également nécessaires pour des données personnelles non sensibles, et inversement, elles ne le sont pas toujours pour des données personnelles sensibles. Ce qui est déterminant, ce sont des réflexions sur les risques qui tiennent compte de l’ensemble des circonstances et non la classification abstraite de données. En outre, comme pour toutes les mesures de sécurité, l’organe public peut – doit – intégrer des considérations de praticabilité.
Pour les Secrets il est vrai que le secret en question doit être interprété. La remarque de privatim, selon laquelle la violation doit être comprise comme une limite et pas seulement comme un risque, n’est toutefois pas claire. Il est possible que privatim veuille dire que l’organe public doit empêcher une révélation objectivement constitutive d’une infraction et qu’il ne peut pas s’en tirer en disant que subjectivement, il n’y a pas eu de faute. C’est certes exact. Mais ce serait une conclusion circulaire d’en déduire que l’état de fait objectif exige un risque zéro. Il faut plutôt partir du principe que Intérêt du secretDans la plupart des cas, à l’exception peut-être des secrets d’État proprement dits, il ne s’agira pas de moins, mais pas non plus de plus que de plus. des mesures de protection adéquates exiger de lui qu’il le fasse. Tout risque résiduel de divulgation par le fournisseur à une autorité ne rend donc pas l’externalisation vers le fournisseur illicite.
Données sur les utilisateurs des services en nuage
Recommandations privatim
- Si un fournisseur génère des données sur les utilisateurs lors de l’utilisation du cloud (par ex. données marginales, de télémétrie ou de journalisation), celles-ci doivent être traitées avec le même soin que les données communiquées. Elles doivent être soumises aux mêmes dispositions contractuelles et le respect des droits des personnes concernées ainsi que leur suppression doivent être garantis.
- ces données ne peuvent être utilisées qu’à des fins qui seraient également autorisées par l’institution publique, par exemple à des fins non personnelles
- ces données peuvent être particulièrement sensibles et sont alors soumises aux directives correspondantes
Notes
Il est vrai que les données secondaires doivent être traitées avec le même soin que les autres données, mais cela signifie seulement que les mêmes critères doivent être appliqués à l’évaluation des risques, et non pas que ces données secondaires doivent obligatoirement être considérées comme nécessitant la même protection que les autres données. Concernant les données personnelles sensibles, voir ci-dessus. Par ailleurs, il n’est pas exact de dire de manière aussi générale qu’il existe une donnée personnelle sensible lorsque des données secondaires indiquent “qu’une personne concernée se trouve dans un établissement psychiatrique ou pénitentiaire”. Par ailleurs, lorsque des données secondaires sont utilisées à des fins personnelles, le fournisseur n’est guère un sous-traitant, mais un responsable du traitement.
Relations de sous-traitance (subcontracting)
Recommandations privatim
- Avant la conclusion du contrat, le fournisseur doit divulguer individuellement ses relations de sous-traitance de manière à ce que l’institution puisse évaluer l’admissibilité des transferts de données à l’étranger et les risques encourus.
- le contrat doit préciser comment le soumissionnaire instruit et contrôle les sous-traitants et comment il traite par exemple les sous-traitants
- Les sous-traitants provenant de pays ne disposant pas d’une protection adéquate doivent être exclus si cela ne peut pas être compensé efficacement par un contrat.
- pendant la durée du contrat, les modifications doivent être notifiées et l’institution doit pouvoir mettre fin au contrat si elle n’accepte pas un nouveau sous-traitant
Notes
La question de savoir quelles informations le fournisseur doit divulguer sur les sous-traitants reste ouverte. Mais l’institution doit au moins pouvoir évaluer le risque que des autorités étrangères accèdent à des données de commande. Elle peut toutefois faire appel au fournisseur à cet effet, car en cas de transfert par un fournisseur établi dans un pays sûr à un sous-traitant établi dans un pays ne disposant pas d’un niveau de protection adéquat, ce dernier doit effectuer une analyse des risques en matière de protection des données (parce qu’il est l’exportateur). L’institution peut se fier à cette analyse des risques, mais elle doit éventuellement – selon le profil de risque des données concernées – la connaître et la reproduire.
Autres facteurs de risque
- MessagesLe fournisseur de services cloud doit signaler les incidents de sécurité et les mesures correctives afin que celui-ci puisse à son tour prendre des mesures en temps utile.
- ContrôleLe prestataire doit être tenu de procéder à des contrôles réguliers du service et les rapports d’audit doivent être présentés à l’institution et à l’autorité de contrôle de la protection des données compétente sur demande. Des audits par l’institution et l’autorité de contrôle doivent également être possibles.
- Mesures de sécurité de l’informationL’institution doit connaître les mesures de sécurité prises par le prestataire de services et celles-ci doivent être appropriées et, le cas échéant, certifiées.
- Résiliation du contratLe processus de résiliation doit être convenu (notamment le retour et la destruction des données).
Remarques finales
Dans l’ensemble, l’impression qui se dégage est que privatim est le Évaluation des risques par l’organe compétent de l’institution publique et fixe donc des critères assez schématiques. Il n’y a rien à redire à cela en soi. Mais si ces critères sont trop schématiques, ils ne soutiennent pas l’évaluation des risques, mais la faussent. C’est notamment le cas lorsque la catégorie des données personnelles particulières devient un facteur principal de la communication à l’étranger, car le besoin particulier de protection de ces données ne se réfère pas au risque d’accès par les autorités, mais plutôt à la proximité de la personnalité de ces données. Or, il s’agit là d’un critère trop abstrait pour une évaluation des risques, d’autant plus que ce type de données présente probablement un intérêt inférieur à la moyenne pour les autorités étrangères.
Sur la question de la Acceptation des risques Il en va de même : les déclarations de privatim laissent entendre, du moins par endroits, qu’il faut atteindre un risque zéro. Il est vrai que privatim n’est pas aussi clair et que l’on trouve aussi des déclarations qui vont dans le sens contraire (p. ex. au ch. 5 : “Cette analyse des risques doit […] indiquer les […] mesures permettant d’exclure les risques qui sont liés à l’utilisation de l’énergie nucléaire”). ou être réduites à un niveau supportable„). Mais il serait faux d’exiger un risque zéro.. Il n’y a aucune raison de considérer que le risque d’accès par une autorité étrangère doit être réduit à zéro – un risque zéro n’est généralement exigé nulle part. En outre, ce n’est pas l’autorité de protection des données qui doit prendre une décision d’acceptation des risques, mais l’organe exécutif compétent (ce que privatim stipule également ; mais si privatim exige un risque zéro, la décision d’acceptation des risques est de facto interdite).