Recommandations de l’ABE en matière de cloud computing – Un texte mort-né ?

Contexte. L’actualité autour du cloud computing va crescendo depuis 2012. Après l’avis du G29 [1] , désormais remplacé par le Comité européen de la protection des données, la CNIL a mis en place ses recommandations sur ce sujet en juin de la même année [2] . En 2013, l’ACPR [3] recensa les risques associés au recours à « l’infonuagique » [4] , pratique objet d’un vif intérêt des entreprises, notamment celles évoluant dans les domaines bancaires et financiers. En 2014, ont été diffusées par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) [5] , trois normes fondatrices sur ce sujet [6] .

En 2016 [7] , l’ANSSI a diffusé son référentiel d’exigences « niveau Essentiel » applicables aux prestataires de services d’informatique en nuage relatif à la qualification des prestataires et fixant « un niveau de sécurité permettant le stockage et le traitement de données pour lesquelles un incident de sécurité aurait une conséquence limitée pour le client ». La DGSI [8] , en septembre 2017, a adopté une position extrême afin d’éviter les risques d’ingérence économique : « Préférer des prestataires français, ou à défaut européens, dont les serveurs sont situés dans l’Hexagone ou dans un pays membre de l’Union européenne » [9] . Pour mémoire, au sein de l’Europe, il ne sera bientôt plus possible d’exiger la localisation géographique des données non personnelles dans un État membre spécifique, le stockage devant être possible sur l’ensemble de l’Union européenne [10] .

En 2018, c’est au tour de l’Autorité bancaire européenne (ABE) de s’intéresser à ce sujet avec l’adoption de recommandations 2017-03 [11] relatives à l’externalisation vers des fournisseurs de services en nuages dont « l’entrée en vigueur » est fixée au 1er juillet 2018. Ces lignes directrices risquent toutefois d’avoir une durée de vie minimale, puisqu’un projet d’orientations, toujours issu de l’EBA, en matière d’externalisation, a notamment vocation à englober ces recommandations [12] . Toutefois, si le texte disparaît, rien ne permet de dire que son contenu suivra le même chemin, eu égard à l’intérêt que suscite ce sujet.

Cet intérêt croissant peut se résumer en quelques chiffres mentionnés dans une étude de 2018 [13] . 97 % des entreprises [14] utiliseraient des services de cloud, publics ou privés, tandis qu’une entreprise sur quatre se serait déjà fait voler des données et une sur cinq aurait déploré une attaque. Cependant, 83 % de ces entreprises stockeraient dans un cloud public des données sensibles [15] , tandis que seules 69 % feraient confiance à cette technique s’agissant de la sécurité. Une seconde étude souligne les difficultés rencontrées en matière de sécurité [16] . Selon cette dernière, seules 44 % des entreprises auraient une visibilité sur le partage externe de leurs données situées dans le cloud, en ce compris les éventuelles pertes de données.

I. Contenu des recommandations de l’ABE

On ne s’étendra pas sur l’incongruité que constitue la mention d’une date « d’entrée en vigueur » mentionnée au § 3 « Mise en œuvre », s’agissant d’une recommandation. On rappellera que la CJCE a jugé que, si sous couvert de lignes directrices ou recommandations, l’ABE fixe une norme, elle excède les pouvoirs qui lui sont les siens [17] .

En synthèse, ces recommandations sont à lire en contemplation des dispositions relatives à l’externalisation de l’arrêté du 3 novembre 2014 relatif au contrôle interne des établissements de crédit (ci-après l’Arrêté).

Les attentes de l’ABE concernent : l’évaluation des prestations, l’information des autorités, les droits d’accès et d’audit, la sécurité, la localisation des données, l’externalisation en chaîne et, enfin, les plans d’urgence et les stratégies de retrait.

Évaluation des prestations (§ 4.1). Les attentes de l’ABE en matière de cloud computing concernent tout d’abord l’évaluation du caractère « significatif » des activités, laquelle s’effectue au regard des éléments suivants :

– caractère critique des activités à externaliser et le profil de risque inhérent à ces dernières ;

– incidence opérationnelle directe des interruptions de service, et les risques juridiques et de réputation connexes ;

– incidences :

i. de toute interruption de l’activité pourrait avoir sur les perspectives de revenus de l’établissement ;

ii. d’une violation de la confidentialité ou l’incapacité à assurer l’intégrité des données pourraient avoir sur l’établissement et sur ses clients.

Ces critères ne reprennent pas la terminologie de l’article 10 q de l’Arrêté en matière d’externalisation, lequel vise des « prestations de services ou d’autres tâches opérationnelles essentielles ou importantes ». La différence rédactionnelle entre ces deux textes ne semble toutefois pas conduire à un écart de qualifications des prestations concernées.

Information des autorités (§ 4.2). À ce jour, l’article 232 de l’arrêté du 14 novembre 2014 ne prévoit l’information de l’ACPR s’agissant des projets d’externalisation de certaines fonctions opérationnelles qu’à la charge des établissements de paiement et de monnaie électronique. Cette obligation voit donc sa portée étendue aux établissements de crédit, lesquels sont d’ores et déjà tenus de communiquer diverses informations en matière d’externalisation dans le cadre du rapport annuel sur le contrôle interne [18] .

L’ACPR pourra demander aux établissements concernés des informations complémentaires s’agissant de leur analyse de risques [19] . Par ailleurs, toujours en matière d’informations, les établissements devront tenir à jour un registre (§ 4.2.4) des informations relatives à « l’ensemble de ses activités significatives et non significatives externalisées vers des fournisseurs de services en nuage à l’échelon de l’établissement et du groupe », le contenu de ce registre est détaillé par les recommandations (§ 4.2.5). Ce registre n’est pas mentionné par l’Arrêté.

Droits d’accès et d’audit (§ 4.3 et 4.4). Ces droits d’accès et d’audits concernent tant les établissements recourant à l’externalisation que l’ACPR.

S’agissant des établissements, le contrat [20] d’informatique en nuage doit prévoir un droit d’accès [21] et un droit d’audit qui ne peuvent être contractuellement restreints (§ 4-3-7).

Au titre de l’audit, l’établissement ayant recours à l’externalisation devra vérifier le niveau de compétence du personnel chargé de l’audit, que les auditeurs soient des collaborateurs ou bien des auditeurs externes [22] , afin de conduire une évaluation et/ou à un audit efficaces et pertinents de la prestation. Les recommandations de l’EBA prévoient que l’audit peut être externalisé (§ 4-3-8), l’établissement devant exercer une surveillance étroite, étant rappelé que l’article 237 de l’Arrêté souligne que « les entreprises assujetties qui externalisent […], demeurent pleinement responsables du respect de toutes les obligations qui leur incombent ».

S’agissant de l’ACPR, le contrat doit prévoir un accord écrit du fournisseur de services en nuage, par lequel ce dernier s’engage à fournir à l’autorité compétente supervisant l’établissement [23] (ou à tout tiers désigné par cette autorité) un droit d’accès complet aux locaux professionnels de ce dernier (siège social et centres opérationnels), « y compris à l’ensemble des dispositifs, systèmes, réseaux et données utilisés pour la fourniture des services à l’établissement pratiquant l’externalisation ». Par ailleurs, le fournisseur doit également conférer à l’autorité compétente des « droits illimités » en matière d’inspection et d’audit des services externalisés. L’établissement est garant de ces droits. Les informations collectées par les autorités compétentes dans l’exercice de leurs droits devront être soumises à la confidentialité.

Sécurité (§ 4.5). L’ABE reprend ici la substance de l’article 239 de l’Arrêté, § a (qualité), § b (confidentialité) et § c (plan de continuité d’activité). Sont plus particulièrement visées, la protection de la confidentialité des informations transmises par l’établissement financier, la continuité des services fournis et la prise en compte de la qualité de service.

Les recommandations précisent que toute externalisation devrait préalablement faire l’objet des diligences suivantes :

– recensement et classification des activités et processus, mais aussi des données et systèmes connexes en matière de sensibilité et de protection ;

– sélection minutieuse, fondée sur une approche par les risques, des activités, processus, données et systèmes connexes susceptibles d’être externalisés vers une infrastructure informatique en nuage ;

– détermination d’un niveau approprié de protection de la confidentialité des données, de continuité des activités externalisées, ainsi que d’intégrité et de traçabilité des données et des systèmes dans le cadre de l’externalisation en nuage. À cette occasion est évoqué le recours au chiffrement.

Localisation des données et traitement des données (§ 4.6). Les recommandations visent spécifiquement les précautions particulières à prendre en présence d’externalisation en dehors de l’EEE, l’ABE visant les « risques potentiels pour la protection des données et pour le contrôle effectif par l’autorité de surveillance ».

S’agissant des données à caractère personnel, on soulignera que leur transfert vers un pays tiers en l’absence de décision d’adéquation [24] , ou de garanties appropriées [25] , est encadré par l’article 49-c du RGPD [26] . Au titre des exceptions limitativement énumérées figurent notamment (art. 49 § c) le transfert « nécessaire à la conclusion ou à l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale ». Cette exception est toutefois de portée limitée, le 1° de l’article 49 soulignant qu’un tel transfert ne doit pas revêtir « de caractère répétitif » [27] et ne viser « qu’un nombre limité de personnes concernées ». Par conséquent, la plus grande prudence est de rigueur sur ce sujet.

On notera que les recommandations visent une évaluation portant « sur la possible incidence des risques, y compris les risques juridiques et les questions de conformité, ainsi que sur les limites de la surveillance dans les pays où les services externalisés sont fournis ou susceptibles de l’être et les données stockées ou susceptibles de l’être… ». La question « des limites de la surveillance » risque de poser des questions insolubles. Outre les questions soulevées par l’application du « Privacy Shield », objet d’une demande d’annulation [28] en septembre et décembre 2016 [29] , les difficultés que soulève le CLOUD Act [30] jalonnent un chemin semé d’embûches.

Externalisation en chaîne (§ 4.7). Les recommandations limitent le recours à un sous-traitant de second rang, dans la mesure où ce dernier accepte de se conformer aux mêmes obligations que celles applicables au sous-traitant de premier rang. On soulignera que si le § 4.7 souligne que l’accord d’externalisation devrait « indiquer que le fournisseur de services en nuage assume la pleine responsabilité et le contrôle des services qu’il a lui-même sous-traités ». On retrouve ici exprimé en creux le principe de l’article 237 de l’Arrêté selon lequel « les entreprises assujetties qui externalisent […], demeurent pleinement responsables du respect de toutes les obligations qui leur incombent ». Il semble de bonne politique de prévoir contractuellement, soit un principe de prohibition d’une sous-traitance décidée par le sous-traitant primaire soit, pour des raisons pratiques, d’encadrer une telle faculté par un cahier des charges extrêmement strict.

Plans d’urgence et stratégies de retrait (§ 4.8). On retiendra que le contrat d’externalisation doit envisager les conditions de résiliation et de réversibilité permettant, soit un transfert des activités vers un autre fournisseur, soit une internalisation des données.

Les recommandations prévoient également que les établissements recourant à l’infonuagique s’assurent que la cessation de cette prestation se déroule « sans que cela n’entrave indûment sa fourniture de services ni n’entraîne d’effets négatifs sur sa conformité au régime réglementaire et sans préjudice de la continuité et de la qualité des services qu’il fournit aux clients » [31] . Pour se faire, un certain nombre de précautions sont visées.

II. Actualités du sujet

Consultation de l’EBA en matière d’outsourcing. En juin 2018, l’ABE a lancé une consultation publique relative à un projet de lignes directrices en matière d’externalisation, indépendamment de l’objet de cette dernière. Celles-ci réviseront les lignes directrices du CECB sur la sous-traitance publiées en 2006 et auront pour objet de déterminer un cadre harmonisé s’agissant des accords d’externalisation des entités placées sous supervision de l’ABE. Elles intégreront les recommandations de l’EBA 2017/03 de décembre 2017 sur les fournisseurs de cloud. Ces lignes directrices concerneront les établissements de crédit, les entreprises d’investissement, les établissements de paiement et de monnaie électronique. Cette consultation est ouverte jusqu’au 24 septembre 2018 pour une entrée en vigueur envisagée au 30 juin 2019 pour les contrats conclus à partir de cette date [32] .

On soulignera par ailleurs que la définition de l’externalisation qui transparaît de cette consultation est plus large que l’externalisation au sens de l’Arrêté puisqu’elle ne se limite ni aux prestations exercées « de manière durable et à titre habituel », ni à celles qui sont « essentielles ou importantes ». En tout état de cause, la politique d’externalisation devra être approuvée par l’organe de direction de l’établissement [33] . Si, à ce jour, il est délicat d’évaluer l’impact qu’aura cette consultation sur les recommandations en matière de cloud computing, on peut néanmoins estimer que ces dernières constitueront une solide base de départ s’agissant de ce type particulier de sous-traitance.

CLOUD Act et règlement E-evidence. Le CLOUD Act, (Clarifying Lawful Overseas Use of Data Act [34] ) a été promulgué par le président Trump le 26 mars 2018, soit deux mois avant l’entrée en vigueur du dispositif protecteur du RGPD.

Le CLOUD Act permet aux autorités américaines, dans le cadre d’enquêtes judiciaires concernant des « serious crime » [35] ou bien encore les atteintes à la « public safety », d’obtenir des données stockées par des entreprises, américaines ou non, en dehors des États-Unis. La doctrine du gouvernement américain semble claire : dès lors que des données sont accessibles depuis les États-Unis, fussent-elles stockées hors de ces mêmes États-Unis, elles sont accessibles. La question n’est donc pas où se trouvent les données, mais d’où sont-elles accessibles. On constate ici un heurt frontal avec le RGPD pour lequel la protection des données personnelles s’applique dès lors que les activités du responsable du traitement ou du sous-traitant se déroulent « sur le territoire de l’Union » [36] .

Ce texte, qui est loin d’avoir dévoilé toutes ses implications pratiques est certainement de nature à susciter des questions autour du sujet de la localisation des données, tant une telle précaution s’avère illusoire face à des textes de portée extraterritoriale.

Par ailleurs, le 17 avril 2018, la Commission européenne [37] a présenté un projet de Règlement E-evidence « visant à permettre aux autorités policières et judiciaires d’obtenir plus facilement et plus rapidement les preuves électroniques, comme les courriels ou les documents se trouvant sur le cloud, dont elles ont besoin pour mener à bien leurs enquêtes, ainsi que pour poursuivre et condamner les criminels et les terroristes ». Ce règlement viendrait en lieu et place de la directive n° 2014/41/UE du 3 avril 2014 concernant la décision d’enquête européenne en matière pénale, laquelle, notamment faute de transposition uniforme, a montré ses limites. Là aussi, des conséquences pratiques sont à prévoir.