CLOUD ACT danger

Une entreprise sur 3 ne connait pas les implications liées au CLOUD Act.

Une récente étude démontre que les enjeux règlementaires liés au CLOUD Act ne sont pas maitrisés par les entreprises. C’est évidemment un gros problème quand elles confient l’hébergement de leurs données aux grands services Cloud.

Quels sont les impacts liés au RGPD quand vous ignorez ce qu’implique le CLOUD Act ?

Depuis peu, les entreprises pensent respecter le RGPD en exigeant des prestataires d’hébergement le stockage en Europe. Mais trop peu d’entreprises ont parfaitement intégré les risques en matière de confidentialité quand les services d’hébergements sont soumis au CLOUD Act.

Le CLOUD Act c’est quoi ?

L’acronyme Clarifying Lawful Overseas Use of Data Act ou CLOUD Act, que nous pourrions traduire dans la langue de Voltaire par « Clarifier la loi sur l’utilisation légale des données à l’étranger ou la loi CLOUD » est contraignant pour  les prestataires d’hébergement Américains. Un simple mandat ou une assignation les obligent à transmettre les données stockées sur les serveurs. Que les serveurs soient aux USA ou sur d’autres continents, la justice américaine s’octroie les droits.

Donc toutes les données y compris les données à caractères personnels mais aussi brevets, savoir-faire, sont accessibles sur simple demande aux forces de l’ordre fédérales ou locales. Le CLOUD Act crée un cadre juridique qui permet de prendre connaissance du contenu de n’importe quelle donnée sur n’importe quel  serveur n’importe où. Aucune information du Responsable de traitement, pas plus que les juridictions étatiques des états hébergeant les données.

En ayant recours à une entreprise soumise au Cloud Act, les responsables de traitement abandonnent tacitement la confidentialité des données.

Et si les données sont chiffrées ?

Le chiffrement est naturellement un moyen d’assurer la sécurité des données. Néanmoins, le chiffrement de l’ensemble des données est rarement possible notamment car il ralentit considérablement l’exécution des tâches. Si vraiment la justice s’intéresse à vos données, elle se donnera les moyens de contourner le chiffrement, elle a déjà été en mesure de déchiffrer des données d’iphone.

Transparence auprès de vos clients.

Rappeler dans sa politique de protection des données qu’elle est la seule à pouvoir prendre connaissance de vos données est un mensonge. En utilisant l’un des prestataires Américains le responsable de traitement s’expose à une perte de confidentialité.

Le dire c’est bien… Le faire c’est mieux !

Si votre entreprise met réellement tous les moyens en œuvre concernant la protection des données, elle doit s’interdit de stocker les données de ses clients et les siennes chez un hébergeur soumis au CLOUD Act. C’est la moindre des choses en matière de transparence.

En d’autres mots, il est inutile de porter son attention sur localisation du stockage de données dans le Cloud si votre hébergeur est soumis au CLOUD Act. Cette condition n’est pas suffisante pour s’opposer à justice Américaine.

Bien que cette législation soit controversée, Le CLOUD Act a reçu l’appui du ministère américain de la justice et de grandes entreprises technologiques comme Microsoft, Apple et Google, qui y voient là une source de sécurité juridique. L’administration Trump a fait plier Microsoft en l’obligeant à transmettre les données d’une messagerie Outlook d’un trafiquant de drogue.

Quelles sont les solutions ?

Préférer des acteurs Français ou Européens. La France regorge d’hébergeurs qui sont largement à la hauteur de grandes entreprises Américaines ;
Le prix ne fait pas tout, lisez bien les contrats des différents prestataires ;
Imposez une clause qui interdit le recours à un prestataire soumis au CLOUD Act et au Patriot Act ;

Et pour mes sous-traitants ?

Il est préférable d’inclure une clause interdisant le recours aux prestataires soumis au CLOUD Act. Si c’est une clause particulièrement restrictive, elle est la preuve de votre engagement assurément un avantage concurrentiel.

 

L’opt-out est illégal aussi pour les cookies !

Dans un Arrêt de la cour de justice de l’Union Européenne (CJUE) cette dernière rappelle le principe du consentement pour le dépôt des cookies sur les terminaux des internautes. Le consentement est explicite, clair, actif et libre au sens du RGPD. Ainsi la cour rappelle que le fait de continuer à naviguer sur un site ne vaut pas consentement au dépôt des cookies. Cette décision va dans le sens de l’analyse de la CNIL, qui elle a bien voulu laisser une année aux différents sites, notamment ceux dont le modèle économique repose uniquement sur l’exploitation de ces petits fichiers qui traquent l’activité des internautes pour se mettre en conformité.

Ainsi, les sites dont la politique est de pré cocher les cases relatives au consentement sont hors la loi. L’opt-out est définitivement illégal. Dans une étude récente (aout 2019), on apprend que dans 86 % des cas, les internautes ne pouvez pas s’opposer au dépôt des cookies. Dans la majorité des cas l’internaute n’avait d’autre choix que de cliquer sur OK. Drôle d’interprétation du consentement !

La CJUE, avait récemment rappelé que les boutons Facebook J’aime induisaient une coresponsabilité entre Facebook et l’éditeur du site. Ainsi les deux acteurs sont responsables chacun de leur côté pour la partie traitement qui les incombe.

Une décision cohérente : En effet, depuis 2017, les législateurs européens tentent de se mettre d’accord sur la mise à jour de la directive « vie privée et communication électroniques » l’E-Privacy.

Un projet largement critiqué par les acteurs, les lobbyistes dans le domaine de l’exploitation des données à caractère personnel et les défenseurs de l’opt-out. Cette décision tombe au plus mauvais moment, puisqu’elle renforce le projet E-Privacy et le respect de l’opt-in.

Le coup de grâce serait l’application du règlement E-Privacy qui est attendu depuis 2017.

Utilisation de la photo des enfants dans les établissements scolaires

De plus en plus d’établissements scolaires prennent des photos des enfants dans le cadre des activités scolaires.

Bien souvent, aucune formalité n’est mise en œuvre pour répondre aux obligations légales des chefs d’établissement quant à l’utilisation des photos de nos enfants par les établissements scolaires (trombinoscopes, site de l’école, ou tout autre support). Sachez que les parents peuvent s’opposer à l’utilisation de l’image de leur(s) enfant(s). D’ailleurs, l’article 9 du Code civil rappelle que la personne doit avoir donné son accord pour la captation de l’image. Il en va de même pour son utilisation (diffusion). Il doit notamment être informé de toutes les utilisations qui vont être faites des clichés, les supports utilisés pour la diffusion, la durée de diffusion, les destinataires, etc. Dans tous les cas, toute personne dispose d’un droit exclusif sur son image et peut s’opposer à sa captation et sa diffusion.

Il est important de rappeler que l’enfant de plus de 15 ans, peut faire valoir ses droits directement auprès du chef d’établissement dans le cas où les images sont utilisées pour alimenter la société de l’information, comme le site de l’école par exemple. 15 ans étant l’âge de la maturité numérique pour la France. Étant donné que la règle impose d’obtenir le consentement préalable de l’enfant quant à l’utilisation de son image, il est préférable de s’assurer également que les parents consentent en connaissance de cause au traitement de l’image de leurs têtes blondes qu’elles aient ou non 15 ans révolus. Pour en savoir plus Article 8 du RGPD.

Et dans les entreprises alors ?

L’utilisation de l’image est également réglementée. Le trombinoscope n’est pas obligatoire. Dans la cadre du recrutement là encore, la photo ne semble pas être une donnée pertinente. Sauf cas particulier des badges d’accès nominatifs obligatoirement munis d’une photo pour des raisons de sécurité, la photo n’est pas une donnée obligatoire au dossier du collaborateur. Petit rappel pratique au passage ; Dans le cadre de la signature du contrat de travail, il est fortement déconseillé de collecter le consentement lié à la captation et l’utilisation de l’image de votre collaborateur directement dans le contrat de travail. Ce mode de collecte ne semble pas respecter dans ces conditions particulières, la liberté du consentement tel que le rappelle l’Article 7 du RGPD.

Il est à noter que dans le cadre de l’utilisation de vidéo, la règle est encore plus stricte dans la mesure ou la captation de la voix (donnée sensible, biométrique) impose d’autres dispositions pour les chefs d’établissements comme les employeurs.