Veille Juridique n°73 – juillet 2024.  

Υπηρεσίες cloud: με ποια κριτήρια επιλέγεται η κάθε μία;

On constate depuis la pandémie de Covid un recours croissant aux services cloud dans le secteur public comme dans le secteur privé.

Bien que le cadre européen en la matière se précise, de nombreuses incertitudes subsistent aujourd’hui.

• Faut-il choisir un cloud français, européen, qui réponde aux exigences d’un cloud souverain ?
• Quels risques y a-t-il à confier la gestion de ses données aux GAFAM?

S’il n’existe pas de définition juridique du cloud souverain, on considère en général que celui-ci doit permettre d’assurer la souveraineté à trois niveaux fondamentaux :

• Les données,
• Les opérations,
• L’infrastructure.

Le cloud doit ainsi présenter un haut niveau d’exigence en matière de sécurité numérique et de protection des données, d’un point de vue technique, opérationnel et juridique, et plus précisément une exclusivité de compétence sur le territoire national.

Attention, dès lors, aux allégations de « cloud européen souverain » revendiquées par des entreprises non européennes.

La France se distingue au sein de l’Union européenne par des exigences particulièrement poussées, surtout depuis la mise en place du référentiel SecNumCloud et l’adoption le 21 mai dernier de la loi SREN visant à sécuriser et à réguler l’espace numérique.

Cette loi impose aux administrations d’État et à leurs opérateurs faisant appel à un service cloud fourni par un prestataire privé de mettre en œuvre des critères de sécurité et de protection spécifiques, pour l’opération de systèmes informatiques traitant de données d’une sensibilité particulière.

Le but est d’empêcher tout accès non autorisé aux données par des autorités publiques d’États tiers.

On pense en particulier au Cloud Act, qui habilite les services de sécurité des Etats-Unis à accéder sans autorisation préalable aux données détenues par les entreprises situées en dehors de leur territoire.

Ces obligations rejoignent l’esprit de la doctrine « cloud au centre » développée par l’État français pour ses administrations.

Si elles ne s’imposent pas au secteur privé, elles restent néanmoins utiles en tant que recommandations, en particulier lorsque le traitement de données sensibles est en jeu, par exemple dans le domaine de la santé ou de la recherche.

Qu’en est-il du développement de services cloud ailleurs en Europe ?

On dénombre quantité de services de qualité par exemple en Allemagne et en Suisse.

Il semble cependant que la notion de cloud souverain soit souvent interprétée de façon plus large que dans le contexte français : le modèle allemand qualifie de souverain tout cloud situé sur le territoire de l’UE commercialisé par une entreprise européenne, avec des salariés citoyens de l’UE et des exigences de sécurité spécifiques quant à l’accès aux données, même si le service cloud est en pratique proposé par une filiale d’une société américaine par exemple.

C’est cette direction que prend actuellement le projet de certification européenne pour les services de cloud (EUCS).

Dans sa dernière version datant du mois de mars, ce projet « ne permet plus aux fournisseurs de démontrer qu’ils protègent les données stockées contre tout accès par une puissance étrangère, contrairement à la qualification SecNumCloud en France».

C’est en ces termes que la CNIL met en garde la nouvelle Commission européenne présidée par Ursula Von Der Leyen, impliquée dans le processus décisionnel concernant l’EUCS.

Parmi les raisons avancées pour justifier la suppression des exigences de souveraineté dans le projet, on relève les possibles accusation de protectionnisme par les Etats-Unis ou la Chine.

La CNIL déplore, quant à elle, outre les risques d’atteinte aux données personnelles, l’impact de cette révision à la baisse des exigences européennes sur la stimulation de l’offre européenne en matière de cloud.

Devant l’incertitude actuelle sur le front européen, le référentiel SecNumCloud est une référence utile en particulier pour les traitements de données sensibles ou stratégiques. 

Le site de l’ANSSI publie la liste des services de cloud qualifiés « SecNumCloud » : on y trouvera, mise à jour le 17 juillet, une liste de 14 services cloud répondant au prescrit de la qualification, et huit autres en cours de qualification.

Indépendamment du référentiel SecNumCloud, les autres services cloud européens restent intéressants face à leurs concurrents internationaux, compte tenu du contexte juridique actuel.

Si le niveau de protection des données des Etats-Unis est aujourd’hui considéré comme adéquat, rappelons que les deux premiers accords UE-EU ont été annulés par la Cour européenne de justice et que Max Schrems, à l’origine des deux premières actions, entend bien faire subir le même sort au « data privacy framework ».

 

         

Dans ses conclusions du 11 juillet, l’Avocat Général de la Cour de Justice de l’Union européenne (CJUE) s’est prononcé sur la nécessité de traiter des données relatives au sexe (« M. ou Mme ») pour la fourniture du service de train de la SNCF.

La collecte de ces données étant obligatoire sur les formulaires de la SNCF, le Conseil d’État saisi par l’association Mousse avait demandé à la CJUE si cette collecte pouvait être fondée sur l’article 6.1.a (consentement) ou 6.1.b (nécessaire à l’exécution d’un contrat) du RGPD.

Selon l’AG, un tel traitement n’est pas nécessaire pour la fourniture du service, puisqu’il n’est pas question en l’espèce de voitures séparées pour les hommes ou les femmes, et que la SNCF a reconnu qu’elle n’utilisait pas systématiquement cette information dans sa communication avec ses clients.

L’AG rappelle notamment l’application du principe de minimisation, et mentionne l’arrêt « Bundeskartellamt », dans lequel la Cour a déclaré que « pour que le traitement de données à caractère personnel soit considéré comme nécessaire à l’exécution d’un contrat, (…) il doit être objectivement indispensable à une finalité qui fait partie intégrante de l’obligation contractuelle à laquelle est soumise la personne concernée.

Le responsable du traitement doit donc être en mesure de démontrer comment l’objet principal du contrat ne peut être atteint si le traitement en question n’a pas lieu ».

L’AG conclut que le sexe de l’utilisateur n’est pas nécessaire dans le cas d’espèce.

La Fédération des Tiers de Confiance du numérique a publié un « Guide de bonnes pratiques des parcours digitaux et de consentement ».

Dans le contexte réglementaire de la signature numérique, l’objectif est « d’assurer que l’agrégation de l’ensemble des composants dans une chaine de confiance étendue au parcours permettant de fournir les éléments de preuve nécessaires pour être en mesure de démontrer la cohérence et fiabilité́ du processus a posteriori. »

Le 21 juin, le Conseil d’État a annulé partiellement un décret de 2021 relatif à l’utilisation de drones par les forces de l’ordre.

Le Conseil d’État a estimé que certaines dispositions de ce décret portaient atteinte de manière disproportionnée au droit au respect de la vie privée et à la liberté de réunion.

L’utilisation de drones pour filmer des manifestations ne peut être autorisée que si des troubles à l’ordre public sont susceptibles de se produire et si les images enregistrées sont strictement nécessaires pour prévenir ces troubles ou poursuivre leurs auteurs.

De plus, les personnes filmées doivent être informées de manière adéquate de l’utilisation de drones et de leurs droits en matière de protection des données (via l’AFCDP).

Le Conseil d’État a confirmé le droit des donneurs de gamètes de s’opposer, en vertu de l’article 21 du GDPR, au transfert de leurs données personnelles de l’organisation où ils ont fait leur don vers un registre central de donneurs.

 

Institutions et organismes européens

Un litige oppose actuellement la Commission européenne au Contrôleur européen de la protection des données (EDPS) concernant l’utilisation de Microsoft Office 365.

La Commission a en effet intenté mi-mai une action en justice pour contester les conclusions d’une enquête de l’EDPS sur son utilisation de ces services.

L’EDPS reproche en particulier à la Commission de ne pas avoir assuré de garanties concernant le transfert de données vers les Etats-Unis. 

Dans son contrat avec Microsoft, la Commission n’aurait pas non plus suffisamment précisé les types de données à caractère personnel collectées et les finalités du traitement, en violation du RGPD de l’UE.

L’EDPS a enjoint la Commission de suspendre les transferts concernés et de se mettre en conformité avec la loi avant le 9 décembre. Les conclusions de la Commission ont été publiées mi-juillet au journal officiel de l’UE.

Le 12 juillet, la Commission européenne a transmis ses conclusions préliminaires à X (anciennement Twitter) concernant le respect du règlement européen sur les services numériques (DSA).

La procédure ouverte en décembre 2023 cible en particulier les « dark patterns », la transparence de la publicité et l’accès aux données pour les chercheurs.

Elon Musk a déjà annoncé qu’il contestera les conclusions de la Commission en justice.

Lors de sa séance plénière de mi-juillet, l’EDPB a adopté une déclaration sur le rôle des autorités de protection des données (APDs) dans le cadre du règlement sur l’intelligence artificielle.

Le règlement prévoit que les États membres désignent des « autorités de surveillance du marché » au niveau national avant le 2 août 2025, dans le but de superviser son application et sa mise en œuvre.

Selon l’EDPB, les APDs ont déjà de l’expérience en ce qui concerne l’impact de l’IA sur les droits fondamentaux et devraient donc être désignées comme des autorités de surveillance du marché, assurant ainsi une meilleure coordination entre les différentes autorités réglementaires et une plus grande sécurité juridique pour toutes les parties prenantes.

Précisons que le règlement sur l’IA, qui vient d’être publié ce 12 juillet au Journal officiel de l’UE, est entré en vigueur le premier août.

L’EDPB a également adopté deux documents (FAQs) concernant l’accord Union européenne – États-Unis pour la protection des données à caractère personnel, afin de fournir davantage de précisions sur son fonctionnement.

Ces documents s’adressent d’une part aux individus et d’autre part aux entreprises.

Le 11 juillet, la CJUE a pris position dans une affaire opposant la société Meta à une fédération allemande d’organisations de consommateurs.

La Cour a rappelé que l’obligation du responsable du traitement de fournir des informations aux personnes concernées est le corollaire du droit à l’information de ces personnes en vertu des articles 12 et 13 du RGPD, et fait donc partie des droits que l’on peut faire valoir par une action représentative conformément à l’article 80 (2) du RGPD.

La Cour a également noté que la violation des obligations d’information peut empêcher la personne concernée de donner un consentement « éclairé » et par conséquent, peut rendre le traitement illicite en vertu de l’article 5(1)(a) du règlement (via GDPRhub).

Microsoft a fait les titres de l’actualité dans un autre contexte le 19 juillet, lorsque l’un de ses sous-traitants, Crowdstrike, a distribué une mise à jour défectueuse de son logiciel de sécurité Falcon Sensor.

Environ 8,5 millions d’ordinateurs Microsoft Windows utilisant le logiciel sont tombés en panne et n’ont pu redémarrer correctement, dans ce qui a été qualifié de « plus grande panne de l’histoire des technologies de l’information ».

Dans une optique juridique, le défaut de disponibilité des données engendré par une telle panne constitue une violation de sécurité impliquant l’adoption de mesures en vertu notamment de la directive européenne NIS2 (celle-ci sera applicable à partir d’octobre prochain).

Le Comité européen de protection des données (EDPB) considère qu’il s’agit également d’une violation de données personnelles au sens du RGPD, l’article 4(12) du règlement incluant les violations entraînant de manière accidentelle ou illicite la perte de données.

Ceci implique, en fonction des conséquences, une notification aux autorités de protection des données et aux personnes concernées.

Cette position fait actuellement débat, certains professionnels considérant que l’indisponibilité de données ne constitue pas une perte au sens du RGPD, d’autres invoquant les conséquences parfois vitales du blocage de l’accès aux données pour les personnes concernées.

 

Actualité des pays membres d’Europe.

Un tribunal allemand a jugé que Google Ireland Limited, en tant qu’exploitant du moteur de recherche Google, est un responsable pour l’affichage des résultats de recherche, indépendamment du fait que les résultats de recherche sont fournis par la société Google LLC, basée aux États-Unis.

Au Danemark, l’autorité de protection des données a adressé un blâme au ministère de l’immigration et de l’intégration pour avoir enfreint le principe de limitation du stockage en ne respectant pas sa propre politique de conservation des données.

Dans une décision du 27 juin, la Chambre du contentieux administratif espagnole de l’ « Audiencia Nacional » a estimé que l’autorité espagnole de protection des données (APD) était compétente pour traiter une plainte déposée contre la société Clearview AI, basée aux États-Unis.

La Cour s’est appuyée sur les décisions antérieures de plusieurs autorités de protection des données, dont celles de l’autorité italienne, et celle de la CNIL du 26 novembre 2021 dans laquelle elle a identifié Clearview comme relevant du champ d’application de l’article 3(2)(b) du RGPD.

La CNIL avait pris en considération la recherche par la société Clearview de photos sur le web, des URL de ces photos et de leurs métadonnées, lui permettant d’identifier et de créer un profil détaillé des personnes concernées et donc de suivre le comportement de ces personnes.

En Italie, l’APD a infligé une amende de 30 000 euros à un responsable du traitement après une violation de données due à l’utilisation d’un outil CMS obsolète très vulnérable aux cyber-attaques.

L’APD Lituanienne a infligé à Vinted une amende de 2 385 276 euros, considérant que ses pratiques d’ « exclusions cachées » (consistant à exclure un utilisateur de la plate-forme sans qu’il en soit informé), ainsi que son défaut de répondre à des demandes de suppression de données, étaient contraires aux principes d’équité et de transparence.

Dans le cas d’espèce, les plaignants originaires de France et de Pologne s’étaient adressés à leurs autorités respectives.

Les plaintes ont été relayées à l’autorité lituanienne, cheffe de file dans ce contexte compte tenu de l’établissement principal de Vinted en Lithuanie.

Au Luxembourg, un tribunal a confirmé l’amende de 18 000 euros imposée par l’APD à un responsable de traitement pour ne pas avoir impliqué directement le DPO du groupe dans les questions liées à la protection des données et pour ne pas lui avoir fourni des ressources suffisantes.

L’APD néerlandaise a infligé une amende de 600 000 euros à Kruidvat.nl pour avoir placé des cookies de suivi avant d’avoir obtenu le consentement des internautes.

La DPA a également estimé qu’une case pré-cochée pour accepter les cookies de suivi ne constitue pas un consentement librement donné, spécifique, informé et non ambigu.

 

Le 19 juin, l’APD britannique (l’ICO) a publié sa décision concernant l’application « My AI » de Snap et le respect de l’obligation de réaliser une analyse d’impact sur la protection des données (AIPD).

La décision contient des commentaires détaillés sur les attentes de l’ICO concernant le niveau de détail à inclure dans les AIPD en général et des observations spécifiques lorsqu’il s’agit d’IA à usage général et concernant les enfants.

Le droit britannique sous-jacent à ces dispositions étant encore presque identique à celui de l’UE, ces observations peuvent être utiles au-delà du Royaume-Uni.

L’ICO a également publié le 30 juillet un communiqué de presse informant avoir adressé un blâme à la Commission électorale pour défaut de protection de ses serveurs, ayant permis l’accès à des pirates informatiques aux informations personnelles d’environ 40 millions de personnes.

Aux Etats-Unis, un projet de loi sur l’IA (« The Content Origin Protection and Integrity from Edited and Deepfaked Media Act (COPIED ACT) ») a été introduite au Sénat pour lutter contre les « deepfakes », accroître la transparence de l’IA et donner plus de pouvoir aux créateurs de contenu.

Le Sénat américain a adopté fin juillet la loi sur la sécurité et la vie privée des enfants en ligne (Kids Online Safety and Privacy Act).

Ce projet de loi bipartisan combine plusieurs propositions de loi, concernant la sécurité, la protection de la vie privée des enfants et des adolescents en ligne et la transparence du filtrage en lien avec l’utilisation de l’IA.

Le texte doit maintenant être validé par la chambre des représentants.

Dans un communiqué du 23 juillet, la Federal Trade Commission indique avoir ordonné à huit entreprises de lui fournir des informations sur les produits et services qui utilisent des données personnelles, notamment les finances et l’historique de navigation, pour individualiser les tarifications aux particuliers.

Les ordonnances visent à aider la FTC à mieux comprendre le marché opaque des produits proposés par des intermédiaires tiers qui utilisent des algorithmes avancés ainsi que les données des utilisateurs (localisation, données démographiques, historique de crédit et de navigation ou d’achat) pour catégoriser les individus et cibler leurs prix.

Alors que Google avait commencé à éliminer progressivement les cookies de suivi tiers de Chrome via sa « privacy sandbox » (un système de suivi présenté comme respectant la vie privée, mais contesté par ailleurs), la société a annoncé le 22 juillet abandonner le projet.

Au lieu de supprimer les cookies tiers, Google introduirait « une nouvelle expérience dans Chrome qui permettrait aux utilisateurs de faire un choix éclairé qui s’appliquerait à l’ensemble de leur navigation sur le web, » choix pouvant être modifié à tout moment.

L’APD britannique a fait savoir qu’elle regrettait l’abandon du projet.

La loi du Malawi sur la protection des données est entrée en vigueur en juillet.

Il rejoindra la désormais longue liste des pays africains disposant d’une loi de protection des données à caractère personnel.

Par ailleurs, l’Observatoire africain sur l’IA responsable a publié en mars dernier un document intitulé « Gouvernance de l’IA responsable en Afrique : Perspectives pour une réglementation basée sur les résultats ».