« La crise sanitaire nous a montré qu'il y avait beaucoup d'enjeu autour de la protection des données a caractere personnel et que nous étions véritablement dans un monde numérique », a lancé Paul-Olivier Gibert, président de l'Afcdp en introduction de la 16e édition de l'Université de l'association historique des correspondants informatique et libertés, à Paris ce 10 février 2022. « C'est la première édition physique Afcdp depuis la crise sanitaire, on en est très content cela permet de retrouver une qualité d'échange dont on a été privé et c'est un beau succès avec 800 personnes dans cette Maison de la Chimie ». Lors de cet événement, de multiples enjeux liés aux données personnelles ont été abordés au travers de plusieurs prismes incluant l'intelligence artificielle, le cloud ou encore la cybersécurité. Parmi les intervenants qui se sont succédé en matinée, la présidente de la Cnil Marie-Laure Denis, l'ancien inspecteur de Police Judiciaire du groupe de répression du banditisme Christophe Caupenne ou encore le chargé de mission numérique au sein de l'institution du Défenseur des droits Gaëtan Goldberg.
Parmi les dossiers en matière de protection des données occupant toujours le haut de la pile,celui relatif au traitement des données personnelles par des acteurs cloud étrangers. « Les accords avec des pays étrangers pour apporter des garanties d'accès aux données par les gouvernements de ces pays est indispensable », a expliqué Marie-Laure Denis. La polémique de l'accès aux données d'entreprises françaises ou européennes par des sociétés américaines notamment (Google, Microsoft, AWS...) ne date pas d'hier. Cela avait déjà donné lieu à des échanges houleux entre les Etats-Unis et l'Europe, en particulier sur le terrain judiciaire avec Microsoft et l'affaire irlandaise. Le Cloud Act n'est pas mort, il bouge encore et est même ravivé dans la mesure où aucune solution technique permet de garantir que des fournisseurs cloud étrangers ne soient techniquement empêché d'accéder à des données de ressortissants français ou européens. « Concernant les questions de garanties pour le transfert des données, est-ce que le chiffrement peut suffire mais où sont les clés ? C'est une option mais pas nécessairement une solution en soit. Et qu'en est-il des données stockées du point de vue du destinataire, comment cela s'organise, quel dispositif contractuel avec quelles garanties », questionne Marie-Laure Denis.
« La protection de la vie privée est au coeur des enjeux d'un monde en évolution entre numérique et évolution technologique », Marie-Laure Denis, présidente de la Cnil. (crédit : D.F.)
Faire le deuil d'un cloud souverain 2.0 ?
Il ne faudrait toutefois jeter un peu trop facilement la pierre aux acteurs cloud étrangers. Ceux-ci, à grands coups d'amende, seraient semble-t-il sur le chemin de la rédemption : « Les géants américains du numérique commencent d'eux mêmes à modifier leurs offres, on voit que la solution peut venir en partie de là et que des initiatives intéressantes comme GaiaX sont totalement souveraines et européennes », avance Marie-Laure Denis. Un dernier point sur lequel on peut toutefois s'interroger. « Le sous-traitant doit apporter des garanties supplémentaires pour transférer les données vers le pays hôte de façon adéquate mais il y a peu d'espoir que cela concerne toutes les données sensibles », prévient toutefois Marie-Laure Denis.
« La régulation de flux de données hors de l'union européenne, l'articulation entre RGPD et les initiatives européennes en cours d'élaboration sont des sujets majeurs », poursuit Marie-Laure Denis. En juillet 2020, la réglementation Schrems 2 n'a pas seulement remis en cause les transferts de données vers des pays européens non sans provoquer un effet de bord. « Cela pose plus largement la question de l'accès de nos données transférées par les services de renseignement par les autorités étrangères », note Marie-Laure Denis. Avec les initiatives européennes comme Bleu (alliance de Microsoft avec Orange et Capgemini) ou encore les duos Atos-Google et Thales-Google, doit-on faire le deuil de la véritable souveraineté 2.0 née des cendres de Cloudwatt et de Numergy ?
Gaëtan Goldberg, chargé de mission numérique au sein de l'institution du Défenseur des droits, a mis en avant plusieurs exemples (ParcourSup, Datajust, Delivroo...) où les biais algorithmiques sont source de discrimination en s'appuyant sur des données personnelles. (crédit : D.F.)
Les futures offres Bleu, Atos-OVH et Thales-OVH pas encore passées au scanner par la Cnil
« J'ai rencontré les acteurs qui ont annoncé des partenariats en matière de cloud de confiance, l'idée étant de ne pas se priver des technologies et services US à condition qu'ils soient hébergés en France et/ou en Europe et exclusivement sous juridiction européenne », prévient Marie-Laure Denis. « Que ce soit pour OVH et Google, Orange Capgemini et Microst et Thales et Google, ce sont des projets en cours de développement prometteurs mais nous n'avons pas encore les clés pour se prononcer sur leur conformité ».
« Est-ce qu'a l'époque on donné la capacité à Cloudwatt et Numergy de réussir ? », nous a expliqué de son côté Paul-Olivier Gibert en apparté. « Le sujet n'est pas aussi simple car être souverain signifie aussi de produire tous ses outils et d'être totalement en situation d'autarcie ou une situation avec une interdépendance plus intelligente et plus construite. Concernant le peu d'alternatives nationales a certains outils nord-américain, c'est un fait. Mais le principe de réalité pour les DPO qui veulent équiper une multinationale d'un systeme bureautique pour tous n'a pas énormément à sa disposition de solutions utilisables ».
Commentaire