Aller au contenu principal

Stratégies – La protection des données dans le nuage informatique. Une réalité ou une illusion

21 avril 2014

Arnaud Alcabez

Le 17 septembre 2013, j’ai été invité à participer à un colloque pour présenter ce sujet en une vingtaine de minutes à la Maison du Barreau de Paris, sur l’invitation d’Anne-Katel Martineau, présidente de la Confédération Nationale des Avocats (http://www.cna-avocats.fr).

Pourquoi ce corps de métier est-il plus particulièrement sensible aux données qu’il pourrait exposer sur des services hébergés dans le Cloud Computing ? Simplement parce que ses membres doit impérativement garantir le respect du secret professionnel. En effet, le secret professionnel, qu’on peut interpréter comme une communication entre un avocat et un client, interdit à l’avocat de dévoiler aux tiers les confidences ou secrets qu’il a reçus de ses clients : c’est la garantie d’une réelle défense au mieux des intérêts du citoyen ou de l’entreprise. Quant à la confidentialité, qu’on peut considérer comme une relation collaborative entre avocats, elle couvre les communications verbales ou écrites entre pairs.

Là où pour certains métiers cela relève uniquement du bon sens, pour les avocats, les personnels de santé, et certaines autres catégories professionnelles, la rupture du secret professionnel et/ou de la confidentialité peut prendre une tournure plus que déplaisante, et pas uniquement pour des raisons d’atteinte à l’image ou de règlements financiers à l’amiable. En effet, le respect du secret professionnel est inscrit comme un principe fondamental du code déontologique de l’avocat, comme un droit et un devoir. Voici deux extraits du Code Pénal se rapportant aux devoirs de la corporation :

  • En premiers, l’article 66-5 : – En toutes matières, que ce soit dans le domaine du conseil ou dans celui de la défense, les consultations adressées par un avocat à son client ou destinées à celui-ci, les correspondances échangées entre le client et son avocat, entre l’avocat et ses confrères, les notes d’entretien et, plus généralement, toutes les pièces du dossier sont couvertes par le secret professionnel.
  • En outre, l’article 226-13 indique que « la révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une mission ou d’une fonction temporaire (…) » peut être punie d’emprisonnement et d’amende.

Vous l’aurez compris, on ne plaisante ni ne transige avec la confidentialité et le secret des correspondances dans ce métier. L’erreur, qu’elle soit volontaire ou faite par un prestataire de Cloud Computing, n’est pas permise. Elle pourrait avoir comme conséquence des poursuites au pénal, d’être rayé de l’Ordre du Barreau, ou avoir des  conséquences au niveau des assurances de la profession.

Vous me diriez alors pourquoi sont-ils intéressés par le Cloud Computing ? Pour trois raisons principales :

  • La première, c’est que la profession est très fragmentée et qu’il existe un très grand nombre de cabinets de petite taille ou d’indépendants, et qu’ils n’ont ni le temps, ni l’argent à consacrer à gérer une informatique interne.
  • La seconde est qu’il s’agit d’un métier extrêmement mobile où on ne compte pas ses heures, où il n’est pas possible de se limiter à des horaires de bureau ou d’avoir le temps de repasser à l’étude.
  • Enfin, la dernière et c’est la raison principale de mon intervention, c’est que leurs nouveaux clients sont jeunes, et ont l’habitude d’utiliser des outils de communication et de transfert de données numériques : Allez dire à un jeune entrepreneur qu’il doit physiquement passer à l’étude de son avocat pour discuter 5 à 10 minutes sur l’état d’avancement de son dossier… Totalement décalé avec les jeunes entrepreneurs trentenaires, accros à leur Smartphone, Skype et autres Twitter.

Revenons à cette présentation du 17 septembre. Après avoir rapidement brossé les différents termes techniques du Cloud Computing avec lesquels vous êtes familiers et discuté avec les avocats présents lors de cette session, il apparait qu’environ un tiers sont déjà des utilisateurs à titre personnel de ces nouvelles technologies (Cloud Computing, SaaS, BYOD, etc.) ou tout du moins savent-ils en donner une définition exacte. Par contre, le premier transparent de ma présentation a eu son petit effet. Le voici :

protection

Comme vous l’aurez compris, ce métier est particulièrement sensible à tout intermédiaire qui pourrait s’immiscer dans la communication avec leur client. Quelle fût donc leur réaction en découvrant que le « nuage informatique » est tout d’abord un « nuage de responsabilité » comme le présente ce schéma.

Plus grave encore : Si certains acteurs de la chaîne de communication peuvent être facilement identifiés (l’émetteur, le fournisseur d’accès Internet, le prestataire du service Cloud avec lequel le cabinet a contractualisé, et une idée plus ou moins précise et fiable d’où se trouve la donnée hébergée ou en transit), certains sont totalement inconnus et/ou très difficiles ou impossible à identifier. Les murmures dans la salle se sont tus lorsque j’ai proposé à l’audience d’imaginer qu’elle transmette de main en main selon cette chaine, un dossier papier… Ambiance de plomb dans la salle. Pendant un bref instant, j’ai pensé que j’aurais dû mettre un peu de multimédia dans ce transparent en l’accompagnant d’un fond musical issu du répertoire de Frédéric Chopin (et plus particulièrement de la sonate n°2, opus 35, 3ème mouvement). Pour les esprits curieux et non musicophiles, je vous glisse ici le lien : http://upload.wikimedia.org/wikipedia/commons/3/31/Chopin_Sonata_no_2_3rd_movement.ogg. Si j’ai la chance de rejouer cette petite présentation aux Microsoft TechDays 2014, à condition de me trouver vingt minutes entre une session sur Windows Azure et une sur Office 365, promis, je le fais.

Cela étant, malgré ce nombre d’intermédiaires, cela ne remet pas en cause le fait qu’il soit indispensable d’adopter ces services en ligne, pour répondre aux exigences du métier comme j’ai pu l’indiquer quelques paragraphes plus haut. La peur du risque véhiculée par les ayatollahs de la sécurité ultime sur tout et n’importe quoi n’amène à rien, et surtout pas d’embrasser les nouvelles technologies. Si je les écoutais, je n’oserai même plus prendre ma voiture pour me déplacer.

Pour les cabinets d’avocats, le passage au Cloud Computing reste un outil irremplaçable comme pour de nombreuses autres professions pour s’adapter à leur clientèle. Plus spécifiquement, voici les fonctions principales dont ils ont besoin et que j’ai mises en exergue :

  • Gérer sa relation client

o    Portails collaboratifs client

o    Réseaux sociaux d’entreprise

o    Carnet d’adresses

o    Partage d’agenda

o    Vidéo-conférence

  • Gérer son capital intellectuel et son patrimoine informationnel

o    Portails collaboratifs interne

o    Numérisation des archives et recherche

o    Capitaliser et regrouper les sources d’information

o    Intégration facilitée dans l’entreprise

 

  • Être accessible et réactif

o    Accès depuis tout lieu et tout moyen (web, mobile, tablette, pc, mac)

o    Pouvoir joindre vos interlocuteurs en connaissant leurs disponibilités

o    Communiquer et collaborer à plusieurs sur les mêmes documents en temps réel

o    Disposer d’un numéro unique et renvoyer les appels sur le dispositif le plus adapté

o    Vos dossiers vous suivent partout

 

  • Gérer sa réputation numérique et gagner en visibilité

o    Page d’entreprise (ex: Facebook)

o    Canal de réputation (ex: Twitter)

o    Profilage et recherche (ex: LinkedIn)

o    Mesurer sa réputation (ex : Klout)

A la condition d’en mesurer les risques et d’éviter les mésaventures… Pour cela, je me suis servi de trois exemples afin de démontrer un certain nombre de cas d’école :

Prendre le temps de lire les conditions générales de vente avant de s’engager, même en cas de situation critique, comme par exemple, l’obligation de transférer un dossier en temps et en heure lorsqu’il ne reste que quelques minutes avant l’échéance et que l’outil informatique que vous auriez dû naturellement utiliser vous lâche. Pour cela, j’ai pris comme démonstration un logiciel très connu de transfert de fichiers, utilisé aujourd’hui par plus de 100 millions d’utilisateurs, 500 millions d’appareils, et dont le trafic journalier a dépassé il y a quelques mois la barrière du milliard de fichiers échangés par jour. En voici un extrait :

• Nous pouvons faire appel à certaines sociétés et personnes tierces de confiance pour nous aider à fournir, analyser et améliorer le service (y compris mais sans limitation…
• Ces tiers peuvent avoir accès à vos informations…
• Nous utilisons le service de stockage d’un autre prestataire cloud pour stocker certaines de vos informations…
• Nous pouvons partager vos informations avec une application tierce avec votre consentement, par exemple lorsque vous choisissez d’accéder à nos services par le biais d’une telle application.
• Nous ne sommes pas responsables de ce que ces parties tierces font de vos informations…
• Nous divulguerons à des personnes extérieures à notre société les fichiers stockés … et les informations vous concernant si nous pensons, en toute bonne foi, cette mesure comme nécessaire ou appropriée…
• Nous conserverons vos informations aussi longtemps que votre compte sera actif…
• Veuillez toutefois noter qu’il peut y avoir un délai pour la suppression des informations de nos serveurs et que des versions sauvegardées peuvent subsister après la suppression.
• Notre société et notre prestataire d’hébergement conservent plusieurs sauvegardes redondantes de l’ensemble des données dans divers emplacements.
• Vous, et non notre société, serez tenu responsables de la gestion et de la protection de l’ensemble de vos effets.
• Notre société ne sera donc aucunement responsable de la perte ou de la corruption de vos effets, ou des coûts ou dépenses éventuellement associés à la sauvegarde ou à la restauration de tout ou partie de vos effets.
• Nous nous réservons le droit de suspendre ou de mettre fin aux services à tout moment, avec ou sans motif, et avec ou sans préavis.
• LES PRÉSENTES CONDITIONS ET L’UTILISATION DES SERVICES ET DES LOGICIELS SERONT GOUVERNÉES PAR LA LÉGISLATION DE L’ÉTAT DE CALIFORNIE.

Responsabilité dans le cadre de contrats emboîtés et chapeaux ? Conditions de garantie plus que vagues ? Confidentialité ? Localisation de vos données ? Droit à l’oubli ? Droit applicable ? Des notions bien vagues et souvent impossibles à obtenir sous un format papier. Un produit attrayant, connu, simple, gratuit pour l’utilisateur, et une contractualisation (je vous rappelle que cela veut dire une acceptation des clauses contractuelles) en trois clics avant d’utiliser ce service. Ouf, votre dossier sera livré dans les temps, mais à quel prix ?

Mais des dangers encore plus importants vous guettent (ou du moins guettent vos données) sur Internet. Leur suppression par le fournisseur de manière unilatérale, voire sans avertissement. Là encore, j’ai mis deux exemples récents en valeur :

  • Angleterre, Février 2013

Les clients de la société anglaise « 2e2 administrator », qui fournit des services Cloud envoie une lettre à l’ensemble de ses clients, leur ordonnant de payer immédiatement 4.000 livres sterling pour les aider à financer leur propre migration vers un autre fournisseur avant coupure définitive des serveurs hébergeant leurs données…

  • Monde, Juin 2013

Près d’un an et demi après la coupure de Megaupload par les autorités, l’espoir s’amenuise pour les utilisateurs qui tentent de récupérer leurs données. L’hébergeur néerlandais LeaseWeb a pris l’initiative en faisant le ménage dans ses serveurs.

Le premier exemple est le risque pris si votre hébergeur se trouve dans une situation financière catastrophique, et dans le premier cas de figure, que se passerait-il si l’administrateur judiciaire de l’entreprise lors de son dépôt de bilan décidait de simplement couper le courant du centre de données ?

Le deuxième exemple traite des problèmes que peuvent engendrer la mutualisation de plusieurs entreprises sur une plateforme unique. C’est comme lorsque vous sortez dans la rue : le danger vient aussi des autres. Que fait réellement votre « e-voisin » ? Et si celui-ci avait des pratiques illégales qui pourraient entraîner une mise sous séquestre de la plateforme de l’hébergeur à des fins d’enquête souvent longues ? Je vous laisse juger des conséquences sur votre propre activité…

Enfin, en dernier exemple, j’ai souhaité traiter des difficultés que peut causer l’absence de discussions préliminaires avant un engagement contractuel en ce qui concerne les clauses de réversibilité, notamment en citant le cas de l’UMP contre Oracle, qui fort heureusement, semble s’être soldé en faveur du client (en l’occurrence ici l’UMP) :

Fin 2012, le contrat qui le lie à l’éditeur américain arrivant à échéance, ce parti politique décide de changer de système de gestion de base de données – sa base « Adhérents » – externalisée sur le Cloud. Mais l’UMP ne peut récupérer ses données, un bug technique empêchant la fonction « export » d’Oracle CRM On Demand. En attendant la mise en œuvre d’une nouvelle version, Oracle propose un correctif spécifique. En réponse, l’UMP l’assigne en référé. Le TGI de Nanterre donne raison à ce dernier et propose deux injonctions alternatives à Oracle, assorties d’une astreinte de 5.000 euros par jour de retard : Soit Oracle fournit à l’UMP « les moyens techniques de nature à lui permettre sans délai l’exportation de l’ensemble de ses données nominatives hébergées ». Soit l’éditeur garantit à l’UMP, sans frais, la prolongation de l’accès complet au service Oracle CRM On Demand, « jusqu’à l’expiration d’un délai de deux mois à compter du jour où il sera en mesure de procéder à l’exportation de ses données nominatives hébergées ».

Une fois ces exemples présentés, j’ai alors conclu ma présentation sur un recueil de recommandations et de bonnes pratiques qui feront l’objet d’un prochain livre blanc conçu avec des juristes et des hébergeurs destiné à la profession :

  1. Qualifier les données

o    Définir et qualifier votre patrimoine informationnel

o    Données pouvant faire l’objet d’intelligence économique

o    Protection du secret et de la confidentialité entre individus

  1. Conserver le contrôle en interne

o    Adapter la charte informatique aux nouveaux usages

o    Former vos collaborateurs sur la gestion du risque

o    Chiffrer, Chiffrer, Chiffrer… Tout !

o    Documents (ZIP)

o    Périphérique, clés, disques, etc…

o    Communication (SSL)

o    Garder un serveur local non connecté à Internet dans un espace sécurisé par vos soins. Le Cloud Computing n’est pas une solution qui remplace l’ensemble des technologies

  1. Qualifier votre fournisseur

o    Examiner les contrats avant de vous engager

o    Vérifier la notoriété et la solidité financière de votre fournisseur

o    Limiter le nombre d’intermédiaires

o    Assurez votre réversibilité, la responsabilité dans le cadre de contrats emboîtés et chapeaux, les conditions de garantie, la confidentialité, la localisation de vos données, le droit à l’oubli, le droit applicable. Demander un contrat « papier »

o    Noter qu’il n’existe pas de normalisation pour un service « Cloud Computing », même si plusieurs initiatives devraient aboutir

o    Demander une copie des certifications de l’hébergeur

i.    ISO/IEC 27001:2005  Information technology — Security techniques — Information security management systems

ii.    Conformités industrielles en termes de sécurité, de résilience, de sauvegarde (ex : SAS70 Type II, HIPAA, EU Safe Harbour, FINRA, …)

iii.    Les interroger sur leurs prochaines certifications à venir :

  • EU Code of Conduct for Data Centres (Corporate)
  • ISO 27017 – Information Technology — Security techniques — Security in cloud computing
  • ISO 27018 – Information Technology — Security techniques — Code of practice for data protection controls for public cloud computing services
  • Proposition de la Commission Européenne relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)

Alors, la protection des données dans le nuage informatique. Une réalité ou une illusion ? En fait, la réponse ne dépend que de vous.

Publié dans IT Pro Magazine, Septembre 2013

Les commentaires sont fermés.

%d blogueurs aiment cette page :