Sécurité dans le Cloud Google

Tout le reste n'est que croyance, désinformation et conjectures...

C'est quoi le Patriot Act ?

Le Patriot Act permet aux agences gouvernementales américaines (le FBI, la CIA, la NSA, l’armée) d’obtenir des informations dans le cadre d’une enquête relative à des actes de terrorisme. Etes-vous concernés ?

C'est quoi le CLOUD Act ?

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act) n'a rien à voir avec le Cloud à la base ! C'est une mise à jour de la législation américaine qui clarifie la portée géographique des demandes d’application de la loi des États-Unis. Le "C.L.O.U.D" Act reconnaît ainsi surtout aux prestataires de services le droit de contester les demandes contraires aux lois ou aux intérêts nationaux d'un autre pays. Le CLOUD Act n'a donc PAS préséance sur la législation locale d'un autre pays dont dépendent les données.

Google s'est de plus engagée dans le respect de la loi à prévenir le client final de toute demande du gouvernement US dans le cadre du Cloud Act et à publier son processus d'évaluation des demandes.

Le CLOUD Act ne donne PAS aux forces de l’ordre US un accès illimité ou sans entrave aux données. Ces forces de l’ordre ne peuvent en effet demander un accès au fournisseur que dans deux circonstances: (1) avec le consentement du client ou (2) avec un mandat délivré par un tribunal américain conformément aux procédures pénales en vigueur aux États-Unis. Et pour qu'un mandat soit émis, un tribunal américain doit être convaincu qu'il existe des motifs probables de croire qu'un crime a été commis et que les preuves demandées sont directement liées à ce crime. une fois de plus, vous sentez-vous concernés ?

De quelle entité relèvent les contrats clients ?

Les contrats dépendent de Google Cloud France.

Cette entité juridique simplifie les relations de Google avec ses clients qui sont désormais assurés de dépendre uniquement du droit français. C’est un point contractuel important qui clarifie la relation client-fournisseur. Auchan, Airbus, Alstom, Essilor, GRTgaz, Lafarge, Orange (avec qui Google Cloud a un partenariat technologique), Valéo, Véolia, etc... sont déjà tous clients Google Cloud France.

Google peut-il héberger des données de santé ?

OUI. Google est certifié hébergeur de données de santé par le gouvernement français. Google a aussi mis en place des Clauses Contractuelles Types (CCT) qui pallient au Privacy Shield invalidé en 2020. Le 10 juillet 2023, l’exécutif européen via le DPF estime que les États-Unis assurent aujourd'hui un niveau de protection des données personnelles équivalent à celui de l’UE : plus besoin de CCT.

Les données peuvent-elles être chiffrées ?

OUI. Selon les versions Google Workspace, les données peuvent être chiffrées à la source par le client final et sont donc totalement inexploitables par tout service étatique US.

Par défaut, les données sont chiffrées en transit ET au repos par Google. Les collaborateurs Google n'ont ainsi pas accès aux données. SEUL le client a accès à ses données.

Le Digital Markets Act (DMA)

Mise en application le 6 mars 2024.

Le Digital Markets Act (DMA) date du 14 septembre 2022. Il a pour objectif de cibler les contrôleurs d'accès (les GAFAM principalement), en permettant à de nouveaux acteurs de venir contester les positions de ces grandes plateformes numériques et en rétablissant un cadre équitable pour les relations commerciales entre les entreprises opérant sur le marché européen et ces grandes plateformes. Le Digital Markets Act vise ainsi à s'assurer qu'aucune grande plateforme en ligne qui se trouve dans une position de « contrôleur d'accès » vis-à-vis d’un grand nombre d’utilisateurs n’abuse de cette position au détriment d'autres entreprises qui souhaitent toucher ces utilisateurs (cas d'Apple avec l'Apple Store, Google avec le Play Store, etc...).  Le DMA prône ainsi une meilleure concurrence dans l’espace numérique européen.

Le Digital Services Act (DSA)

Mise à jour du 25 août 2023.

Le Digital Service Act (DSA) date du 19 octobre 2022 et est applicable depuis le 17 février 2024. Il impose un ensemble d'obligations en matière de lutte contre les contenus illicites et de transparence sur le fonctionnement des algorithmes. Il a pour objectif de faire d'Internet un environnement plus sûr et de protéger les droits fondamentaux des utilisateurs. Le Digital Services Act définit ainsi des règles de responsabilité des fournisseurs de services ainsi que leur obligation de transparence. Le DSA a pour ambition de lutter contre la désinformation, les contenus illicites, ainsi que la vente de produits illégaux. Les grandes plateformes (Facebook, Instagram, Tik Tok, WhatsApp, etc...) seront obligées de publier les mesures prises pour lutter contre la désinformation, la propagande et les victimes de cyberharcèlement seront mieux protégées avec le retrait immédiat des contenus incriminés et partagés. Le DSA vise ainsi à protéger les utilisateurs de ces mauvaises pratiques et s'applique aussi à tous les services intermédiaires (moteur de recherche, sites web, médias sociaux,…) fournis aux internautes résidant dans l'Union Européenne. Le principe de ce texte est simple : ce qui est illégal hors ligne doit aussi l’être en ligne.

Mais attention à ne pas faire d'amalgame ! Les plateformes ne sont toujours pas juridiquement responsables des contenus qu’elles hébergent. Mais elles doivent désormais mettre en place un système efficace de modération...

L'AI ACT (IA ACT)

Adopté à l'unanimité par les 27 États membres de l'Union européenne, le 2 février 2024.

Ce règlement vise à garantir la sécurité des systèmes d'intelligence artificielle (SIA), le respect des droits fondamentaux, de la démocratie et le développement des entreprises. L'AI Act serait ainsi une opportunité pour renforcer la confiance dans les technologies, offrant aux entreprises la possibilité de se positionner en leaders d'une innovation responsable.

Le dispositif européen prévoit en effet une harmonisation des règles pour la mise sur le marché, la mise en service et l'usage des IA au sein de l'Union européenne. Ainsi, à la seule exception des SIA développés dans le cadre de la R&D, à des fins militaires ou sans objectifs commerciaux, tous les acteurs de l'IA situés dans l'Union européenne, ou dont les produits sont commercialisés dans l'Union européenne, ont pour obligation de se mettre en conformité avec l'AI Act.

Cette obligation se matérialise par l'observation de règles spécifiques en fonction du type d'IA : la stricte interdiction de commercialisation des SIA à risques inacceptables (menaçant les droits fondamentaux, tels les systèmes de vidéosurveillance à reconnaissance biométriques en temps réel). Selon certains observateurs, cependant, l'Union européenne s'est précipitée pour imposer des normes très contraignantes aux acteurs de l'AI Act sans analyser les risques consécutifs. Il est vrai que les exigences de la mise en conformité réglementaire peuvent constituer un obstacle important, sur le plan financier tout particulièrement. Cette contrainte est d'autant plus forte que le règlement sur l'IA devra coexister avec les textes déjà en vigueur de l'UE, notamment le RGPD et la directive sur le droit d'auteur dans le marché numérique. En France, un rapport parlementaire sur l'IA en date du 14 février 2024 suggère de désigner la Cnil pour occuper le rôle de régulateur national de l'IA. Affaire à suivre...

Le Data Privacy Framework (DPF)

Mise à jour du 10 juillet 2023.

Et de trois... Après le Safe Harbor et le Privacy Shield, la Commission européenne a validé le troisième cadre pour les transferts de données entre les Etats-Unis et l’Union européenne. Le Data Privacy Framework intègre notamment des mécanismes de recours et de protections concernant l'accès aux données par des agences de renseignement. Il impose ainsi la proportionnalité de la surveillance des données comme la capacité pour les citoyens européens d’ester en justice sur le sol américain pour défendre leurs droits sur les données personnelles.