AWS : saurez-vous vous protéger contre le Cloud Act ?

54 milliards de dollars de chiffre d'affaires annuel. Une progression de 32 %. Contrairement à ce qu’on pourrait croire, ces chiffres ne correspondent pas à l’activité du célèbre site marchand Amazon. Ce sont les données financières de l’activité cloud du géant américain seulement : l’AWS (Amazon Web Services).

Les résultats financiers du premier trimestre 2021 publiés par Amazon impressionnent et témoignent du succès rencontré par cette plateforme de cloud computing à destination des entreprises et des organisations.

Plus d’une centaine de services (stockage cloud, intelligence artificielle, outils de gestion, puissance de calcul, centre d’appels…), économique (seules les ressources utilisées sont payées), intuitive, rapide, flexible… Une certitude : la solution cloud d’Amazon a tout pour plaire.

Airbnb, Shopify… Les entreprises leaders mondiales de leur secteur s’appuient sur les services de la firme de Seattle pour développer leur activité à l’international. Une efficacité qui a même séduit les institutions européennes. 

Bref, une solution qui semble incontournable… pour l’instant…

Amazon est une entreprise américaine avec des serveurs partout dans le monde, dont aux États-Unis. L’entrée en vigueur du Cloud Act (une loi sécurité proposée par l’administration Trump) en mars 2018 et l’invalidation du Privacy Shield (le régime qui encadrait le transfert des données vers les États-Unis) par la Cour de justice de l’Union européenne en juillet 2020 rebattent les cartes.

Les données personnelles des ressortissants européens, traitées et stockées sur l’AWS, sont potentiellement en danger. Les exigences du RGPD transgressées, les entreprises et les organisations clientes risquent d’être sanctionnées.

Pouvez-vous utiliser AWS en conformité avec le RGPD ?  Les engagements pris par Amazon pour rassurer ses clients sont-ils suffisants pour un stockage de données en toute sérénité ?

Découvrons-le ci-dessous !

Le Cloud Act : un risque pour la protection des données des entreprises européennes

La sécurité nationale : une préoccupation majeure Outre-Atlantique, notamment depuis les attentats du 11 septembre 2001.

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act), proposé par l’administration Trump, répond à cet enjeu, surfe sur cette aspiration, cette envie des citoyens américains d’être protégés.

Il est le résultat d’un conflit juridique entre le département de la Justice et Microsoft (qui refusait l’accès à un compte Outlook dans le cadre d’une enquête sur un trafic de drogue). Cette loi permet aux autorités américaines, munies d’un mandat, d’accéder en toute discrétion aux données personnelles ou d’entreprises détenues par les fournisseurs de service cloud américains, indépendamment de la nationalité des entités concernées.

Des dispositions contraires aux directives du RGPD qui visent à rendre aux ressortissants européens le contrôle de leurs données.

Comment exercer ses droits à la vie privée dans de telles conditions ?

Aucune notification sur la procédure judiciaire en cours.

Aucune information sur les méthodes de traitement employées, ni sur la durée de détention des données.

Avec le Cloud Act, Amazon pourrait être potentiellement contraint de permettre l’accès aux données personnelles de vos clients, de vos salariés, de vos partenaires...

Une source d'inquiétude pour les autorités de contrôle européennes, qui les conduit à vérifier la conformité de leurs propres institutions…

AWS : une enquête ouverte sur le traitement des données par les institutions européennes

Le Cloud Act, loi extraterritoriale, inquiète le CEPD (Contrôleur européen de la protection des données). Cette organisation indépendante, qui veille à la conformité du traitement des données mené par les institutions et les agences continentales, a donc décidé d’enquêter en mai dernier.

Au cœur des investigations : les clauses contractuelles type (CCT). C’est un outil qui permet aux entreprises et organisations européennes de transférer des données en dehors de l’Union européenne. Un cadre strict, défini par un contrat avec leurs sous-traitants, qui les responsabilise sur la mise en application du RGPD à l’étranger. Elles deviennent ainsi garantes du respect de la vie privée des ressortissants européens.

Si le CEPD juge que les CCT en cours n’assurent pas un niveau de protection adéquat, les institutions européennes et les fournisseurs de service cloud américains, comme AWS, devront cesser tout échange.

Pour limiter la surveillance américaine, le RGPD doit s’appliquer. Le conflit juridique avec d’autres lois nationales est l’une des rares possibilités de recours des entreprises pour s’opposer à un mandat “Cloud Act”... Et Amazon joue pleinement cette carte pour tenter de rassurer ses partenaires.

Comment Amazon promet-il de protéger vos données ?

Le sujet de la confidentialité des données dans le cadre du Cloud Act est un vrai problème pour les entreprises, dans une économie digitale où les flux d’informations numériques se multiplient. La data est une ressource précieuse : le moteur de la croissance de nombreuses activités.

Inenvisageable d’en perdre le contrôle, cela susciterait la défiance des utilisateurs et des clients. Une fin d’activité quasi inéluctable pour les sociétés (sauf pour certains géants comme Facebook qui continue à prospérer malgré le scandale Cambridge Analytica).  

Amazon le sait et s’engage auprès de ses entreprises clientes à œuvrer pour protéger les données en leur possession.

Comment ?

En s’appuyant sur les possibilités de recours offertes par le Cloud Act.

Ainsi, Amazon s’engage à :

• contester les réquisitions qui violeraient le RGPD ;
• contester les demandes d’accès infondées ;
• délivrer le minimum d’informations quand les possibilités de recours sont épuisées et que le mandat doit s’exercer. 

Malgré tout, on assiste à “une perte de contrôle” des entreprises et organisations européennes qui utilisent AWS. 

Qu’est-ce que “le minimum” dans le langage Amazon ? 

La poursuite d’une activité avec ce service cloud est-elle envisageable sans risque de sanctions ?

Selon le Conseil d'État français, c'est possible…

Travailler avec AWS en conformité avec le RGPD : le cas de Doctolib

La COVID-19 soulève des inquiétudes, indépendamment du plan sanitaire. Le “sort” des données personnelles est au cœur des débats.

La plateforme en ligne Doctolib a été choisie par l’État pour faciliter les prises de rendez-vous pour la vaccination.

Problème : Doctolib utilise AWS pour le stockage des données. Une situation qui a incité des associations et des syndicats, inquiets à propos de la confidentialité des informations stockées, à déposer un recours auprès du Conseil d’État.

Un recours rejeté. Le Conseil d’État a jugé que les liens contractuels entre les 2 sociétés (Doctolib et Amazon) empêchaient toute surveillance américaine sur les données des ressortissants français (Amazon s’est engagé à contester tout mandat contraire au RGPD). Le Conseil d’État a également souligné la mesure de protection supplémentaire de chiffrement prise par Doctolib pour assurer la confidentialité des données stockées sur des serveurs aux États-Unis. 

La précision des CCT semble être un élément fondamental pour utiliser AWS en toute légalité et conformément aux attentes du RGPD.

AWS : des alternatives existent

Vous en savez désormais un peu plus sur AWS. Amazon, mastodonte sur le marché des services cloud, répond techniquement parfaitement aux attentes de ses clients. Irrévocablement, une solution très efficace.

Mais, la performance ne doit pas être le seul critère de choix d’une entreprise européenne. La confidentialité des données de leurs clients, la protection d’informations sensibles (projets internes…) et le respect de la réglementation européenne ne peuvent plus être occultés.

Déconsidérer ces critères s’accompagneraient notamment de trois risques majeurs : 

• des sanctions pécuniaires lourdes ;
• une perte de confiance des utilisateurs en cas de fuite des données ;
• la divulgation de secrets industriels...

Le Cloud Act constitue une menace pour la pérennité des entreprises européennes.

Malgré les engagements d’Amazon, des questions demeurent en suspens : 

• Dans quelles mesures l’entreprise de Jeff Bezos peut-elle s’opposer efficacement à un mandat d’accès à des données ? 
• Est-ce si facile de dire “Non” aux autorités judiciaires américaines ? 
• Les CCT peuvent-elles constituer un réel rempart à la politique sécuritaire exercée Outre-Atlantique ?   

Aucune réponse définitive à l’heure actuelle. Le Cloud Act est une loi récente : son impact reste difficile à évaluer. 

Profiter d’un fournisseur de service cloud américain constitue, à l’évidence, un risque de perte de contrôle sur vos données. (Les instances judiciaires américaines peuvent accéder à vos informations sans votre consentement, sans même que vous soyez informé.)

Pour les entrepreneurs qui ne souhaitent prendre aucun risque, une solution existe : faire appel à un prestataire non américain et donc non concerné par le Cloud Act. Toutes européennes, les alternatives à AWS suivantes méritent votre attention :

• Scaleway ;
• Scalingo ;
• Exoscale ;
• Ovh ;
• Hetzner ;
• Upcloud ;
• CleverCloud

Le logiciel RGPD Leto vous informe en temps réel de la conformité de vos outils. Réserver une démo avec nos experts.