4.3. La liberté de circulation des données sur le réseau mondial : le besoin d’accords mondiaux
|
Fournisseur |
Soumis
aux lois de l’Union Européenne |
|
Utilise des Datacenters en U.E. |
oui |
|
Est un sous-traitant utilisant des Datacenters en U.E. |
oui |
|
Sous-traite avec des sous-traitants utilisant des Datacenters en U.E. |
oui |
|
Autres cas (Datacenters hors U.E, sous-traite hors U.E…) |
non |
Tableau 1 Fournisseurs soumis aux lois de
l'U.E.
Les lois de
l’U.E. sont actuellement les plus strictes. Celles-ci ne couvrent pas tous les
risques liés au Cloud Computing. C ‘est par cette constatation qu’il est
en mesure de s’interroger sur la portée géographique du Cloud Computing. En
effet, dès qu’un fournisseur opère hors de l’Union Européenne, celui-ci doit se
soumettre aux lois de l’Etat où résident ses données (comme en atteste le tableau
ci-dessus), des régimes réglementaires plus fastes. Le transfert de données
personnelles ou sensibles d’un pays membre de l’U.E. vers un pays non résidant
est soumis à des règles imposées par
Récemment, pour palier à cette faille, la commission a mis en vigueur le 15 mai 2010 une nouvelle clause sur les contrats de sous-traitance. ‘’Un sous-traitant qui souhaite à son tour sous-traiter des données à caractère personnel devra au préalable obtenir l'accord écrit de l'exportateur pour le compte duquel les données sont transférées hors UE. Par ailleurs, le contrat conclu entre le sous-traitant initial et le sous-traitant ultérieur devra imposer à ce dernier les mêmes obligations que celles auxquelles est soumis le sous-traitant initial.’’. Cette clause ne couvre pas tous les cas d’utilisation du Cloud Computing. Le fait que les données soient traitées dans un pays ou dans un autre (hors U.E.) pourrait induire un changement du contexte judiciaire. Avec des procédures judiciaires d’enquêtes plus aisées dans un pays hors U.E., des entreprises peuvent accéder aux données concurrentielles de son concurrent par le fait que l’information soit pluri localisée.
4.3.1. Une réglementation différente entre l’U.E. et les Etats-Unis
Le Patriot Act[17] donne au gouvernement des Etats-Unis le droit d’accéder à toute donnée stockée sur son territoire, en cas d’urgence ou s’il juge que cela est nécessaire pour assurer la sécurité nationale. Une loi en parfaite contradiction avec la directive sur la protection des données Européenne. “Ces deux loi pourrait empêcher la mise en place d’un nuage informatique sans frontière” affirme William Fellow de 451. “Les défenseurs du Cloud Computing avancent l’idée que les services de Cloud devraient être accessibles partout dans le monde, ce qui est le cas pour des services tels que Google ou Facebook, mais quand il s’agit de données sensibles, les frontières nationales prennent le pas et les lois contradictoires posent problème.”
Ce problème s’est déjà posé
antérieurement avec l’affaire SWIFT[18]. SWIFT sauvegardait ses données sur deux
serveurs : un en Europe et un second aux Etats-Unis dont le niveau de
protection est jugé par la commission européenne ‘’d’inadéquat’’. Dans le cadre de la lutte contre le
terrorisme depuis le 11 septembre 2001, les Etats-Unis ont lancé un programme
de surveillance du financement du terrorisme (non reconnu par le Parlement
Américain) qui passait notamment par la réquisition d’informations auprès de la
société SWIFT.
Le caractère transfrontalier du Cloud Computing complique le contrôle de la localisation des données et donc le respect des exigences légales locales.
Les fournisseurs de Cloud Computing devraient donc fournir une preuve de conformité à la législation du pays où réside le client et non plus en fonction de la position géographique du Datacenter là où les données sont supposées être[19].
4.3.2. La proposition de couloirs de libre échange entre les entreprises dans le monde
Le 22 janvier 2010, Brad Smith, vice-président chargé du juridique chez Microsoft a demandé au gouvernement américain de travailler sur un accord international qui permettrait de créer une zone de libre échange pour les paquets de données afin que « les sociétés n'aient pas à se plier aux spécificités législatives de chaque Etat ». Cela signifie donc qu’il faudrait rendre le cadre législatif européen moins contraignant et s’adapter même au régime le plus laxiste.
L’une des issues possible pour obtenir des couloirs de libre échange au sein du Cloud Computing serait de s’inspirer sur les règles d'entreprise contraignantes.[20] « Il s’agit d’un instrument juridique auquel une société multinationale peut recourir afin de garantir un niveau adéquat de protection des données à caractère personnel lors de leur transfert, au sein du groupe, au départ d'un pays situé dans l'UE ou dans l'Espace économique européen (EEE) vers un pays tiers. Le recours à ces règles nécessite, en principe, l'approbation de l'autorité chargée de la protection des données du pays de l'UE ou de l'EEE au départ duquel les données doivent être transférées. » dixit le contrôleur européen de la protection des données
Pour le Cloud Computing, il
s’agirait de définir des règles d’association d’entreprises de tout pays
contraignantes. Ces règles prendraient en compte tous les risques liés au Cloud
Computing : la protection des données personnelles et de la vie privée, la
gestion de l’isolation des données, la multi-location, la garantie de qualité de
service, la garantie de sécurité des
données par l’authentification lourde, le chiffrement des multiples accès
possibles dans le Cloud (l’interface de contrôle d’accès aux ressources, l’administratif aux instantes d’OS, les
applications et les données des applications…) et services développés dans un
contexte de Cloud libre et partageable (charte de l’Open Cloud Manifesto[21],
discussion des principaux acteurs du Cloud par le biais de