Olivier Iteanu, avocat à la cour d’appel de Paris, spécialiste du droit du numérique et de la donnée, à la tête d’un cabinet indépendant de 15 professionnels en cyber sécurité, propriété intellectuelle numérique, en protection des données et en e-commerce, a bien voulu répondre à quelques questions de la commission Cloud et Sécurité d’EuroCloud.
Question : Quelles sont les responsabilités des fournisseurs de Cloud (tous services confondus) et des clients finaux vis-à-vis des cyber-attaques ?
Réponse : Première remarque. La question de la cyber sécurité peut être vue comme un risque ou une contrainte certes, mais à mon avis il faut positiver au contraire. Les acteurs du cloud doivent présenter cette question comme une opportunité d’apporter des compétences et des services nouveaux nécessaires aux clients. Le risque cyber est apparu dès les années 90 lorsque les systèmes d’information des entreprises et des organisations se sont ouverts à Internet, réseau non sécurisé. L’accès aux « autoroutes de l’information » a entrainé un risque d’intrusion inévitable du fait de cette ouverture. Or, un utilisateur final, me^me grand professionnel dans son domaine d’activité, est très souvent moins bien préparé à gérer ce risque qu’un professionnel du Cloud Computing. Les acteurs du cloud ont donc une forte valeur ajoutée sur ces questions à apporter aux marchés.
Deuxième remarque. En amont de cela, et pour répondre à votre question, sur le plan du droit, il existe plusieurs outils juridiques, en particuliers dans la relation B2B des acteurs du cloud avec leurs clients professionnels, et le premier d’entre eux est le contrat. Tout ce qui va être dit dans la suite est sujet à variation en fonction des clauses de vos contrats avec vos clients qui ont, eux-mêmes des utilisateurs au sein de leurs organisations, par exemple salariés, ou en dehors, leurs clients. L’autre outil est évidemment la Loi qui prévoit un régime de responsabilité particulier pour les professionnels du Cloud Computing. En premier lieu, la règlementation en matière de données à caractère personnel. Car la vraie révolution du RGPD est moins l’augmentation des peines administratives dont on nous a rabattu les oreilles, ou des pouvoirs accrus pour la CNIL, que le fait majeur que les fournisseurs de Cloud (hébergeurs, éditeurs SaaS, Sociétés de services…) sont désormais entrés dans la règlementation sur les données à caractère personnel. Le professionnel est le plus souvent un « processor », c’est-à-dire un sous-traitant, car le professionnel a le plus souvent accès aux données de ses clients qu’il stocke ou fait stocker. Notez que le terme français « sous-traitant » est une mauvaise traduction du mot anglais très précis de « processor ». Le RGPD distingue ainsi quatre catégories d’acteurs :
- le responsable de traitements, « controler » en anglais, c’est-à-dire celui qui contrôle les données. Le fait de rendre des services à votre client, ne fait pas de vous un « controler » sauf si vous prenez des positions exorbitantes en intervenant sur les données, ce qui n’est pas à priori votre métier.
- Le sous-traitant, « processor » en anglais, il ne fait que de traiter des données de ses clients sur leurs instructions, le plus souvent intégrées au contrat qui lie le professionnel du cloud à son client.
- Les personnes concernées : salariés, clients, prospects, la famille… toutes les personnes physiques concernées par les données à caractère personnel.
- Le tiers : celui qui n’est ni responsable de traitements, ni sous-traitant dans la relation aux traitements des données stockées.
Par conséquent la zone de responsabilité, donc de risque, est liée à votre position de sous-traitant vis-à-vis des données à caractère personnel que vous traitez. Concernant une attaque cyber, vous savez que les clauses relatives à la sécurité sont rédigées de manière très large et s’appuient sur l’article 38 du RGPD assez peu précis et qui vous demande de respecter les règles de l’art, à savoir ce qui est admis par la communauté des professionnels comme étant les règles minimales de sécurité. Par exemple la qualité des mots de passe (Cf le Mooc de L’ansi : SecnumAcademie : https://www.ssi.gouv.fr/actualite/secnumacademie-le-nouvelle-formation-en-ligne-met-la-cybersecurite-a-la-portee-de-tous/ ). Néanmoins chacun comprend qu’il n’existe pas de sécurité technique à 100%.
Début de l’article 32 du RGPD :
Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins…
L’obligation de sécurité n’est pas absolue. Elle dépend de la nature du traitement (plus ou moins sensible) et elle dépend du coût de la mise en œuvre. Il faut tenir compte de l’économie générale de la relation. Par exemple, certains éditeurs de logiciel doublent leurs offres : une offre de base comportant des mesures de sécurité minimales, et une offre « plus de sécurité » vendue plus chère. Les « mesures techniques et organisationnelles appropriées » constitue précisément ce que l’on appelle « l’état de l’art ». Ce qui compte c’est faire diligence, c’est-à-dire mettre en place les mesures puis le faire savoir, établir des documents sur la politique de sécurité que vous avez mis en place, y faire référence dans vos contrats. On fait et on montre que l’on fait.
Une précision : Dès qu’il y a un « process », c’est-à-dire un traitement des données, le RGPD s’applique. Si votre client (le responsable de traitement) vous demande d’effectuer un service de ce type, toutes vos actions doivent être consignées dans le contrat. Toute demande de traitement supplémentaire touchant aux données doit s’accompagner d’un avenant au contrat entre vous et votre client, ou au moins d’un bon de commande de votre client. Votre intérêt est ainsi de rester le « sous-traitant » et ne pas devenir « responsable de traitement ».
Question : Une attaque est constatée. Doit-on payer la rançon ? Doit-on porter plainte ?
Réponse : L’ANSI affirme qu’il ne faut pas payer la rançon. Sur le plan de l’éthique, l’ANSI a raison. Néanmoins le paiement d’une rançon n’est pas illégal. Il reste à définir le traitement comptable d’une rançon quand on est une entreprise. Une proposition de loi, actuellement en discussion par le Sénat américain, vise même à imposer aux payeurs de rançon de déclarer le paiement à une autorité fédérale, ce qui démontre que sa question de sa légalité n’est pas ici discutée.
Par ailleurs, certaines compagnies d’assurance acceptent de payer les rançons. Si une usine est à l’arrêt avec des ateliers bloqués par l’informatique et que cela coûte des millions d’euros par jour, et si la rançon est de 500 k€, on comprend que l’assurance s’empresse de la payer. Néanmoins, avant de payer, une entreprise peut contacter l’ANSI et la Police qui ont parfois des remèdes appropriés.
Quoi qu’il en soit, l’entreprise victime de ransomware doit déposer une plainte pénale. Le plus simple est d’adresser une lettre recommandée avec AR au Parquet du Tribunal judiciaire dont on dépend, en rapportant les faits survenus.
L’intérêt de porter plainte. D’abord, c’est un geste citoyen. Ensuite, c’est stratégique, car l’entreprise est victime mais rien ne dit qu’on ne recherchera pas sa responsabilité. D’autresvictimes peuvent se déclarer plusieurs mois après les faits constatés et considérer pour toutes sortes de raison, que la responsabilité de l’acteur coud est engagée.Dans ce genre de situation, le fait d’avoir déposé plainte constitue un acte important.
La lettre peut être rédigée simplement de la manière suivante :
Madame, Monsieur le Procureur de la République,
Je porte à votre attention des faits qui sont survenus dans notre entreprise et qui nous paraissent être punissables par la Loi.
Vous précisez ces faits et vous demandez qu’une enquête préliminaire soit engagée.
Bien évidemment, il faut être lucide et raisonnable en se limitant aux attaques sérieuses qui peuvent vous laisser croire qu’il y a eu un accès frauduleux ou pire. Cette démarche n’a pas besoin à ce stade d’être accompagné par un avocat. L’appui d’un avocat qui a par nature un contact facilité avec le Parquet d’accélérer le traitement de la plainte.
Par ailleurs il existe des services spécialisés au sein de la Police auprès desquels il est également possible de déposer une plainte.
- La BEFTI : Brigade d’enquêtes sur les fraudes aux technologies de l’information qui dépend de la Direction Régionale de la Police Judiciaire de Paris. Le mail du BEFTI : pppj-befti-information@interieur.gouv.fr
- L’OCLCTIC : Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication, qui gère PHAROS, la la plate-forme d’harmonisation, de recoupement et d’orientation des signalements, dédiée au traitement des contenus illicites de l’Internet.
Le Parquet s’il ouvre une enquête préliminaire va se tourner ces services. Un site utile :
https://www.ssi.gouv.fr/en-cas-dincident/
Question : Est-ce que le fait de travailler avec un acteur du Cloud public dont les datacenters sont situés en France, est-ce suffisant en termes de souveraineté ?
Réponse : C’est clairement une avancée significative ; Cependant, ça n’est pas toujours suffisant. Ainsi, la Loi américaine, le Cloud Act, s’applique à toutes les sociétés américaines et à leurs filiales quelque soit la localisation du datacenter. Aussi, pour répondre précisément à votre question, si le datacenter est physiquement en France et si la prestation cloud est organisée de telle façon que le prestataire n’a jamais accès aux données du client, alors on peut considérer que c’est suffisant.
Au passagen demandons-nous pourquoi le gouvernement des USA a fait voter une loi qui s’appelle le « Cloud Act » ? Pour officialiser quelque chose qui existe depuis des années et pour protéger les prestataires cloud américains ou sous juridiction américaine, qui collaborent à des exfiltrations de données sur injonction d’une autorité d’enquête ou de poursuite américaine. Il est clair que cette question est loin d’être réglée. Il faudra probablement une crise majeure qui obligera les gouvernements à prendre des mesures plus draconiennes. La prise de conscience prend néanmoins forme.
Question : Faut-il inclure la réversibilité dans nos contrats ?
Réponse : Il faut se référer au RGPD. C’est une bonne pratique à adopter car un jour ou l’autre, elle sera reconnue par les tribunaux même si aujourd’hui la loi de la reconnait pas. Elle pose de nombreuses questions : doit-elle être proposée gratuitement ou doit-elle être un service payant ? quelles sont ses modalités de mise en oeuvre, selon quels standards, délai et préavis ? Quelle forme doit prendre la demande du client… ? Ce sont là quelques questions que le contrat doit préciser. Allez-y car c’est le sens de l’histoire.
Question : Faut-il inclure un code de conduite dans nos contrats ?
Réponse : Par exemple, le CISPE a produit un code de conduite. C’est un exemple de « droit dit mou ». Il n’a pas de valeur obligatoire en tant que tel puisqu’il s’agit de codes de bonne conduite, de normes de référence, qui n’ont jamais de caractère obligatoiremais les parties au contrat peuvent décident de le leur donner. Si un code de type CISPE est inclut au contrat, il obtient ainsi une réalité juridique et vous devient opposable. C’est tout à fait possible et on comprend bien l’intérêt marketing pour le sous-traitant vis-à-vis de ses concurrents».
Site du cabinet Olivier ITEANU : www.iteanu.law