Dans son tat actuel, le projet de certification europenne pour les services de cloud (EUCS) ne permet plus aux fournisseurs de dmontrer quils protgent les donnes stockes contre tout accs par une puissance trangre, contrairement la qualification SecNumCloud en France. La CNIL appelle rehausser le niveau de protection des donnes personnelles de cette certification en rintroduisant de telles garanties.
Des donnes sensibles qui doivent tre particulirement protges
Les donnes stockes par une entreprises soumise un droit extra-europen, comme cest le cas des hbergeurs dont les socits mres sont situes aux tats-Unis, peuvent tre exposes un risque de devoir communiquer des donnes aux autorits publiques de ce pays. Ce risque est le plus souvent considr comme limit, en particulier pour des donnes non sensibles confies des prestataires relevant de pays adquats en termes de protection des donnes personnelles. Cest notamment le cas pour les tats-Unis, qui constituent un pays adquat depuis la dcision de la Commission europenne du 10 juillet 2023 (dans les conditions prcises par le Data Privacy Framework). Cependant, une protection renforce simpose pour les traitements de donnes les plus sensibles (par exemple de grandes bases de donnes de sant, de donnes dinfractions ou encore de donnes relatives des mineurs), pour lesquels les donnes hberges dans lUnion europenne ne devraient pas tre sujettes un risque daccs non autoris par des autorits dtats tiers.
Dans ce cas, la CNIL recommande de recourir un prestataire exclusivement soumis au droit europen et offrant le niveau de protection adquat. En France, pour les services cloud, la certification SecNumCloud de lAgence nationale de la scurit des systmes dinformation (ANSSI) comprend ce critre et permet ainsi une protection des donnes contre les accs par des autorits trangres.
Les lacunes et risques du projet de certification europenne EUCS
La possibilit de sassurer, pour ces traitements les plus sensibles, que lhbergeur des donnes nest pas soumis une lgislation extra-europenne ne figure plus dans le projet de certification europenne de cyberscurit du cloud EUCS pilot par lAgence de lUnion europenne pour la cyberscurit (ENISA), mme dans les niveaux de certification les plus levs, et mme titre optionnel.
Cette volution, qui doit tre rediscute ds que la nouvelle Commission europenne aura t constitue, prive les acteurs dun cadre concret pour garantir la protection des droits et liberts fondamentaux pour les citoyens europens dans le cadre de tels traitements.
En France, la CNIL recommande depuis longtemps, pour les bases de donnes personnelles les plus sensibles (telles que le systme national des donnes de sant (SNDS) ou les donnes qui concernent des mineurs), dassurer une protection contre les possibilits de divulgation des autorits publiques de pays tiers. La CNIL a exprim cette proccupation de nombreuses reprises.
Par ailleurs, labsence de niveau incluant des critres dimmunit pose problme sur le plan juridique, conomique, technologique et industriel :
- Elle ne permet pas de stimuler loffre europenne en matire de cloud, qui constitue le moyen technique de rpondre aux besoins de dveloppement et dploiement des systmes dintelligence artificielle. Elle noffre pas non plus les moyens de faciliter laccs la commande publique pour les offreurs europens, l o les acteurs dominants actuels en ont pleinement bnfici dans leur pays dorigine (en particulier via le programme FedRAMP aux tats-Unis).
- Elle ne permet pas aux acteurs publics et privs de sappuyer sur la certification EUCS pour externaliser dans le cloud leurs projets les plus sensibles, limage de ce que prvoit la doctrine Cloud au centre de ltat franais pour les administrations. Celle-ci demande en effet aux autorits publiques de sassurer que les donnes dune sensibilit particulire hberges dans le cloud ne soient pas soumises des lois extra-europennes pouvant impliquer des injonctions de communication.
noter : la loi franaise du 21 mai dernier visant scuriser et rguler l’espace numrique (dite loi SREN) prvoit quen cas de recours un service cloud par un prestataire priv pour la mise en uvre de systmes informatiques traitant de donnes d’une sensibilit particulire pour l’tat, le service cloud doit mettre en uvre des critres de scurit et de protection des donnes afin dempcher tout accs aux donnes par des autorits publiques d’tats tiers non autoris par le droit de l’Union europenne ou d’un tat membre de lUE.
Pour toutes ces raisons, la CNIL appelle linclusion, titre optionnel, de critres dimmunit aux lois extra-europennes, qui peuvent sinspirer de ceux de la qualification SecNumCloud dj en place en France, dans le schma de certification europen EUCS afin dassurer la plus haute protection des traitements de donnes personnelles les plus sensibles pour les acteurs industriels europens.
Source : CNIL
Et vous ?
Quel est votre avis sur le sujet ?
Pensez-vous que l’initiative de la CNIL visant inclure des critres d’immunit aux lois extra-europennes dans l’EUCS soit crdible ou pertinente ?
Voir aussi :