Protection des données: de l’orage dans les Nuages
Le choix d’externaliser les données dans les solutions cloud étrangères fait débat. Plusieurs polémiques agitent le ciel numérique et ouvrent des pistes de solutions intéressantes en matière de protection des données.
Le ciel s’assombrit de nuages gris. C’est ainsi que l’on pourrait résumer les affaires et polémiques qui touchent le cloud depuis plusieurs mois en matière, notamment, de protection des données et de souveraineté numérique. Le premier acte se joue au début de l’été 2021. Six mois après la publication de son appel d’offres, la Confédération attribue l’élaboration d’un cloud national à cinq multinationales étrangères (Oracle, IBM, Microsoft, Amazon et Alibaba) afin d’héberger les centres de données et les clouds privés actuels de la l’administration fédérale.
Une décision incompréhensible pour les hébergeurs suisses, qui dénoncent un coup de poignard dans la souveraineté numérique suisse et la perte de maîtrise de notre pays sur ses données. Le deuxième acte, lui, se déroule un an plus tard. Toujours dans la même veine, les esprits s’échauffent quant à l’exigence de transparence dont devraient faire preuve les acteurs publics et les prestataires suisses lorsqu’ils confient le stockage et l’hébergement des données à des acteurs étrangers. Ainsi, chaque citoyen devrait pouvoir connaître dans quelle entité juridique ses données sont stockées.
Jusque-là, les entreprises et administrations publiques tels que les hôpitaux et les universités stockaient les données dans leurs propres infrastructures cloud. Désormais, elles sont de plus en plus nombreuses à souscrire des solutions «en nuage» auprès de prestataires étrangers comme Microsoft par exemple: «Dans bien des cas, lorsque de tels transferts de données sont effectués, les organisations se contentent de mettre leurs clients et usagers devant le fait accompli, par exemple en leur transmettant de nouvelles conditions générales», souligne la professeure HEC Lausanne et experte internationale en cybersécurité, Solange Ghernaouti, dans son blog hébergé sur Le Temps. Elle plaide ainsi pour davantage de transparence.
C’est l’option choisie par La SUVA, le principal organisme d’assurance-accidents en Suisse. Mal lui en a pris. Que s’est-il passé? En décembre 2021, La SUVA a pris la décision de soumettre son projet d’externalisation des données chez Microsoft au Préposé fédéral à la protection des données et à la transparence (PFPDT). Et ce, afin de s’assurer que ce passage soit conforme sous l’angle de la protection des données. Une décision saluée par le Préposé Adrian Lobsiger, mais qui ne le satisfait pas.
Dans son communiqué publié le 13 juin 2022, il écrit: «En raison de divergences de vues partielles sur le plan juridique, le PFPDT suggère à la Suva de réexaminer l’externalisation des données personnelles vers un cloud exploité par le groupe américain Microsoft. » Plus précisément, Adrian Lobsiger critique le choix de La SUVA de ne pas avoir considéré au préalable si le recours aux outils Cloud de Microsoft était simplement légal du point de vue de la protection des données. Un argument réfuté par La SUVA, qui précise conclure son contrat avec Microsoft Irlande, soumis à la loi européenne sur la protection des données.
Si l’affaire n’est pas classée, elle apporte des considérations intéressantes. Celle notamment de s’assurer, avant tout transfert, de la manière dont le nouveau prestataire protégera ces données. C’est bien évidemment une exigence. Faut-il encore l’appliquer à toutes les couches du traitement de l’information et à l’ensemble des acteurs du numérique. Ainsi, nous serons en mesure d’assurer une protection des données robustes à chaque entité et à chaque citoyen.
