- Le Conseil d’Etat de Zurich autorise l’utilisation de Microsoft 365 (en particulier Exchange Online et Teams) et considère que sans le cloud, il y aurait un retard technologique.
- Le modèle de risque Rosenthal pour l’évaluation des risques d’accès illégaux est adopté comme standard au niveau cantonal ; le risque d’accès pour M365 a été jugé très faible (moins de 1% en cinq ans).
Autorisation de M365
Le 30 mars 2022, le Conseil d’Etat zurichois a pris une décision publiée le 14 avril 2022 et intitulée “Utilisation de solutions cloud dans l’administration cantonale, (Microsoft 365), autorisation” (RRB 542/2022).
Il s’agit de la Utilisation de M365 et en particulier d’Exchange Online et Teams, qui n’existe pas en tant que solution on-premise et qui, avec sa diffusion croissante, oblige à passer au cloud. Le canton de Zurich ne voit pas d’alternative à ce passage, ce qu’il décrit de manière assez frappante : Sans le cloud, le canton se mettrait “hors-jeu technologique”, car il “se fermerait au progrès technologique”. Cela se trouve à la fin du texte, mais logiquement au début de la décision (et rappelle la “sueur du pied du progrès” selon l’expression de l’auteur). Karl Kraus).
Accès légal : modèle de Rosenthal
En ce qui concerne les risques, le Conseil d’État part sans doute à juste titre du principe que les risques généraux en matière de sécurité ne sont au moins pas plus élevés qu’avec une solution sur site. Ces risques (par exemple le risque fournisseur) ont été examinés séparément (des références aux bases juridiques figurent dans la décision). S’y ajoute toutefois le risque spécifique d’accès illégalLe risque d’accès à des données par des autorités étrangères est donc plus élevé.
Le Conseil d’État fait référence à ce risque Autorités américaines. Le contrat que le canton doit signer en 2021 et sur la base du Contrat de la CSI avec Microsoft (avec un ajout soutenu par la commissaire à la protection des données) est certes conclu avec la société irlandaise de Microsoft, mais cela ne signifie pas que les autorités américaines ne peuvent pas, le cas échéant, accéder aux données du canton par le biais du Stored Communications Act – avec les modifications apportées par le US CLOUD Act. Le risque d’un tel accès a donc été examiné (le risque analogue pour l’Irlande n’est pas mentionné dans la décision ; il n’est donc pas indiqué dans la décision s’il a également été examiné).
Le canton s’est engagé auprès de la évaluation des risques sur le Modèle d’évaluation des risques de David Rosenthal soutenu :
La méthode de calcul de David Rosenthal a été utilisée pour évaluer le risque d’un accès illicite étranger dans le cas de M365 […]. La méthode de calcul permettant de déterminer de manière structurée la probabilité d’occurrence d’un Lawful Access réussi par une autorité étrangère dans le cadre d’un projet de cloud computing est publiée depuis 2020 sous une licence libre et a été reprise par l’International Association of Privacy Professionals (IAPP). La méthode de calcul s’est établie comme instrument dans le secteur financier suisse et est notamment utilisée par la Banque cantonale de Zurich dans le cadre de l’introduction de M365.
Pour cette évaluation des risques, le canton a mis en place un Atelier réalisé:
Le calcul des risques liés à M365 pour l’administration cantonale a été effectué dans le cadre d’un atelier réunissant des experts juridiques et techniques de l’Office de l’informatique, du Ministère public, de l’Office cantonal des impôts, de la Chancellerie d’État et de la police cantonale. Pour les calculs statistiques, l’Office fédéral de la justice a en outre collecté des chiffres provenant de l’entraide judiciaire américaine, complétés par les valeurs empiriques des spécialistes de ce pays en relation avec les demandes refusées et non présentées par les autorités américaines.
Le risque d’accès par les autorités a été jugé très faible (moins de 1% sur une période d’observation de cinq ans).
Limite de risque : 10% dans 5 ans
Sur cette base, le Conseil d’État a décidé des points suivants :
- Le modèle d’évaluation des risques de David Rosenthal est utilisé dans l’administration cantonale comme modèle standard pour l’évaluation du risque d’accès illégal aux solutions de cloud computing.
- Si la Probabilité d’occurrence d’un Lawful Access réussi est si faible qu’une probabilité de 90% n’est atteint qu’avec une période d’observation de plus de 100 ans, l’utilisation de la solution cloud est autorisée du point de vue du Conseil d’État (ce qui ne signifie pas que les autorités compétentes ne doivent pas prendre leur propre décision en matière de risque). Cette formulation de la probabilité n’est peut-être pas très intuitive, mais ce seuil de risque est plus de dix fois supérieur au risque pour M365. Sur une période d’observation de 5 ans, il correspond à un risque d’accès d’environ 10%. Le Conseil d’Etat fixe ainsi la limite de son approbation générale à un risque qui, selon la terminologie de Hillson, reprise par Rosenthal, est “très bas” ou “bas”, mais pas encore “moyen”. Il s’agit d’un risque qui se situe très nettement au-dessus des valeurs généralement atteintes dans la pratique.
- Ce n’est que si le risque est encore plus élevé que la solution de cloud computing correspondante doit être autorisée au cas par cas par le Conseil d’État.
Remarques de connexion
Cette évaluation et acceptation des risques par le Conseil d’État se fonde sur le Droit de la protection des données et le Secret de fonction (même si ce mot ne figure qu’une seule fois dans la décision). Apparemment, le Conseil d’État part du principe qu’il existe un risque résiduel, qui est ex ante et lege artis à 10% ou moins sur une période de cinq ans, peut être accepté. Cela signifie entre autres qu’un Lawful Access effectivement survenu signifierait certes éventuellement une violation du secret de fonction, mais que cette violation ne serait pas intentionnelle, ni éventuellement intentionnelle, ni due à une négligence dans le cadre d’une telle évaluation des risques. Dans ce contexte, il est tout à fait significatif que l’évaluation des risques ait eu lieu dans le cadre d’ateliers auxquels ont participé entre autres Représentant du ministère public ont participé. Au titre du droit de la protection des données, le même critère s’applique en fin de compte – ce qui compte ici, c’est que l’exportateur n’ait “aucune raison de croire” que les autorités accèdent aux données personnelles transmises sur la base d’une base juridique insuffisante (on pourrait approfondir ce point – mais c’est ce que prévoient les clauses contractuelles standard).
En fin de compte, le Conseil d’État a donné une consécration supérieure au modèle d’évaluation des risques de David Rosenthal, qui s’est répandu et a fait ses preuves dans la pratique. Il serait difficile pour un ministère public ou un tribunal de s’opposer à ce modèle, même si la question de la limite du risque – c’est-à-dire de l’élément subjectif de l’infraction – est difficile à objectiver et devrait en fin de compte être évaluée par les tribunaux au cas par cas.
Un autre point mérite d’être souligné : lors de l’évaluation des risques, le Conseil d’État a explicitement pris en compte le Intérêt des autorités étrangères sur les données en question a été prise en compte. Dans la mesure où privatim, dans la version actualisée de la notice “Risques et mesures spécifiques au cloud”, aurait dû partir d’une approche à risque zéro pour les organes publics (ce qui n’a pas été précisé, mais on trouvait des indications en ce sens dans la notice ; voir à ce sujet notre article), cela ne devrait plus être d’actualité.
Le Conseil d’Etat est conscient du fait que l’évaluation des risques n’est pas une affaire de “feu et d’oubli”. Il exige au contraire une “surveillance déterminée et continue ainsi qu’une évaluation constante des risques”. Pour ce faire, le Conseil d’Etat crée un poste de responsable de la sécurité du cloud du canton de Zurich.