Accueil > Vie des services > Cloud Act : Réponse de notre DSI : pas de quoi nous rassurer

Cloud Act : Réponse de notre DSI : pas de quoi nous rassurer

lundi 19 novembre 2018, par Antoine


Voici la réponse, reçue en septembre, de notre DSI à notre Courrier du moi de juin. Nos commentaires sont dans le texte :

Objet : Le Cloud Act Américain

Après instruction, avec les services compétents, des questions que vous m’avez posées, je vous transmets les éléments suivants pour répondre aux points que vous avez soulevé dans votre courrier du 15 juin 2018, « Questions sur le Cloud Act américain » :

Qu’est-ce que le Cloud Act vu du Groupe ?

Le Cloud Act est une réglementation permettant aux autorités américaines d’obtenir des preuves électroniques dans le cadre exclusif d’une enquête pénale, encadrée par un juge américain, soit l’équivalent d’une réquisition judiciaire française. Le Cloud Act ne modifie pas les procédures antérieures, il est toujours nécessaire d’obtenir un mandat et d’avoir l’accord d’un juge pour pouvoir requérir des éléments de preuve qui seraient requis dans le cadre d’une enquête pénale.

Le Cloud Act ne vise pas spécifiquement les données personnelles et ce texte ne remet pas en cause les principes du RGPD. En l’absence actuelle d’accord bilatéral entre la France et les États-Unis, et dans le cadre d’une demande sur des données hébergées en Europe, Microsoft est en droit de s’opposer a la requête au motif d’un conflit avec les obligations qui lui sont faites au titre du RGPD. Microsoft s’est engagé dans ses conditions de services en ligne qui précisent que les demandes non conformes a la réglementation sont rejetées.

Office 365 et .COM1

Dans le cadre de .COM1, le Groupe a effectivement fait le choix de se tourner vers une solution d’hébergement auprès de Microsoft France des données produites a partir de la suite logicielle Office 365. Les conditions d’emploi de cette solution ne dérogent pas a la Politique de Sécurité des Systèmes d’Information (PSSIG) du Groupe. Les dispositions de la PSSIG prévues ont été précisées par la Directive de Gestion des Tiers et Cloud Computing et la Charte Informatique pour les utilisateurs. Comme le prévoit la Charte Informatique, les capacités de stockage mis a la disposition de l’utilisateur doivent être utilisées a des fins professionnelles, les espaces de stockage de .COM1 n’ont pas vocation a héberger de données personnelles.

commententaire de SUD : Il y a la une grosse confusion entre données privées et personnelles : voici un petit rappel de la définition d’une donnée personnelle : « Toute donnée permettant d’identifier directement ou indirectement une personne physique ». Nos mails sont donc par définition des données personnelles (parce qu’ils nous identifient). Par ailleurs, ils sont assujettis au secret des correspondances (loi du 10 juillet 1991). Donc la phrase est parfaitement fausse :les espaces de stockage de .COM1 ont vocation a héberger de données personnelles.

Dans le cas d’une demande d’accès aux données d’un postier, les conditions contractuelles entre le Groupe La Poste et Microsoft précisent que les demandes d’accès a des données d’un agent du Groupe reçues par Microsoft sont redirigées vers La Poste (Hormis dans le cas, prévu par la loi, où le juge choisirait d’interdire cette divulgation auprès du client, pour garder le secret de la procédure notamment dans des affaires de grands banditisme et de terrorisme ; c’est l’équivalent de L’article 11 du code de procédure pénale français.).

Commentaire de SUD : La poste nous confirme que vous ne serez jamais informé d’une consultation de vos données personnelles par une juridiction américaine si cette dernière ne le souhaite pas.

Enfin, dans le cas du projet .COM1, le Groupe a retenu des solutions techniques de sécurité pour renforcer la protection de ses données, notamment via le chiffrement des données selon leur classification. Seule La Poste possède cette clé de chiffrement. Et de ce fait, tout accès aux données des agents du Groupe nécessite l’accord de La Poste.

Commentaire SUD : pour s’assurer de cela, il faudrait avoir des informations précises sur l’architecture de sécurité afin de vérifier notamment qu’un chiffrement des données et de leur transport est mise en œuvre. Le point précédent semble contredire cette phrase puisque il précise que dans certain cas, prévus par la loi américaine, La Poste ne sera pas informée que les données sont fournie à une autorité américaine.

J’espère que ces éléments répondent a vos questions et vos attentes et vous démontrent que les sujets liés a la protection des données et du capital informationnel du Groupe ont été étudiés et pris en compte.

M Bruno Echardour
DSI Groupe La Poste

Cette réponse, bien qu’honnête, nous semble insuffisante : on ne nous explique pas la motivation d’externaliser ces outils qui étaient auparavant gérés en interne Poste. Le DSI nous confirme, que nos données pourraient être transférées à une juridiction américaine alors que la réglementation RGPD l’interdit : donc pas de quoi nous rassurer.

Ce sujet dépasse largement le cadre de La Poste et nous ne sommes pas les seuls à nous inquiéter à propos de la protection de nos données :
le 12/06/18, le député Jean-Christophe Lagarde a posé la question au gouvernement de savoir comment ce dernier compte agir pour protéger les données personnelles et par conséquent, la vie privée des Français face à cette ingérence numérique que représente le Cloud act (voir article numerama sur Jean-Christophe Lagarde)

le 23/10/18, Le secrétaire d’État au numérique, Mounir Mahjoubi, qui est pourtant un fervent défenseur des solutions de type cloud, s’inquiète de la protection des données des entreprises françaises : dans son allocution devant les parlementaires, il dénonce le Cloud Act comme « un texte avec une portée extraterritoriale qui pourrait s’appliquer à tous les citoyens français, à toutes les PME françaises qui stockeraient leurs données chez un prestataire américain, y compris sur le territoire français » (voir l’article numerama sur Mounir Mahjoubi contenant la vidéo de son allocution)

Selon les dires du secrétaire d’état au numérique, la réglementation est donc susceptible d’évoluer dans les mois qui viennent et nous resterons vigilants sur ce sujet. En attendant, une chose est certaine, du fait de l’existence du Cloud-Act, le choix d’une entreprise américaine pour héberger les données de La Poste rend les informations personnelles des postiers moins protégées que si elles étaient stockées par une entreprise européenne ou encore mieux si elles étaient hébergées par La Poste.

Version imprimable de cet article Version imprimable

Plan du site |Charte Forum |Rédaction | SPIP| Surfez avec Firefox | Suivre la vie du site RSS 2.0