Avec le cloud, on le sait, les données voyagent. Les règles souples qui gouvernent la plupart des « hyperscalers » raisonnent en termes d’efficacité et de rapidité de traitement, avant toute autre considération. Quand la sensibilité et la souveraineté des données deviennent des paramètres prépondérants, les ennuis commencent.

Au Royaume-Uni, la partie 3 de la Data Protection Act (DPA) de 2018 pose que pour les entreprises traitant des données très sensibles et pour les administrations, les informations ne doivent pas sortir des frontières du pays. Si elles sont placées sur des serveurs, ces derniers doivent se trouver sur le sol britannique. C’est notamment le cas pour la police.

Or, selon des documents partiellement révélés, Microsoft ne peut garantir la souveraineté des données de police stockées dans Azure. Explications.

Les données ne tiennent pas en place

L’un des systèmes informatiques de la police écossaise, nommé DESC (Digital Evidence Sharing Capability), utilise l’offre Azure de Microsoft pour le stockage de ses données, dont les informations biométriques. Techniquement, ce n’est pas la police elle-même qui stocke ses données, mais la solution développée par la société Axon, en contrat avec la police pour ce système informatique.

Des documents, vus par Computer Weekly, montrent plusieurs éléments. D’une part, que les données hébergées dans Azure sont régulièrement transférées et traitées dans un autre pays. Problème, c’est une violation flagrante de la loi sur la protection des données.

D’autre part, et en conséquence logique, que l’accord de traitement des données mis en place pour le DESC ne couvre pas les exigences de la loi sur la DPA. Par extension, et comme souligné par le consultant indépendant Owen Sayers interrogé par nos confrères, qu’il en va probablement de même pour l’ensemble des administrations du Royaume-Uni.

Or, à cause de l’extraterritorialité de certaines lois américaines, Cloud Act en tête, les États-Unis peuvent exiger de n’importe laquelle de leurs entreprises qu'elle leur fournisse des données hébergées sur le cloud.

Suivre le soleil

« Ils ont confirmé pour la première fois qu'une garantie de souveraineté pour les données au repos (ce qu'ils accordent) ne s'étend pas aux données en cours de traitement (ce que tout le monde a choisi de supposer) et ne couvre pas l'assistance (ce que tout le monde a ignoré) », a ainsi déclaré Sayers.

Il y a un distinguo très clair entre des données statiques et celles en cours de traitement. En fonction des opérations demandées et ressources disponibles, les informations peuvent effectuer des voyages, le temps d’être traitées sur des serveurs disponibles ou spécifiques à certaines opérations. Même quand lesdits serveurs se trouvent physiquement hors des frontières.

Owen Sayers souligne en outre que les mesures de souveraineté pratiquées par Microsoft ne s’étendent pas aux demandes de support. Cette assistance peut, elle aussi, entrainer des transferts internationaux. Un fonctionnement dû à l’approche « follow the sun » (« suivez le soleil »), qui consiste à pouvoir offrir une assistance au client, quelle que soit sa position géographique.

Personne n’avait demandé

Selon nos confrères, des aménagements vont être réalisés par Microsoft, maintenant que l’information est publique. Ces changements vont toutefois n’être apportés que pour le DESC et les systèmes avec lequel il est directement en contact, notamment tout ce qui touche aux polices du Royaume-Uni. Plusieurs d’entre elles feraient désormais remonter des questions sur le DESC et la manière dont sont stockées les données. Ni Microsoft, ni Police Scotland n’ont souhaité commenter le contenu de ces modifications.

On sait cependant qu’un addendum a été fait sur le contrat de traitement des données. En outre, Microsoft a reconnu que le contrat ne « couvrait pas les exigences du RGPD et de la partie 3 du Royaume-Uni ». Au sujet du RGPD, les avocats de Microsoft ont précisé qu’il s’agissait de la « norme de référence », mais que chaque client devait déterminer si le cadre convenait aux données traitées. Quant à la partie 3, elle fait référence à la troisième partie de la loi britannique sur la protection des données, celle ayant trait notamment aux données des polices.

Owen Sayers semble avoir été le premier à poser des questions précises sur le contrat, aidé par la loi FOI (Freedom of Information Act), dès 2019. Des soupçons existaient cependant. Nicky Stewart, anciennement chargée des technologies de l’information au Bureau du Cabinet, a déclaré que « la plupart des personnes connaissant le fonctionnement des clouds publics à grande échelle étaient au courant de ces questions de souveraineté des données depuis des années », pointe Computer Weekly.

Un écho au Health Data Hub

La situation fait largement écho à la problématique du Health data Hub (Plateforme des données de santé) en France. Depuis plusieurs années, la plateforme stocke les données de santé dans Azure. Selon plusieurs de nos sources, les investissements ont été massifs et le personnel technique a largement développé son expertise technique sur les produits de Microsoft. Au point qu’il serait complexe aujourd’hui de revenir en arrière.

Pourtant, des voix s’élèvent depuis aussi longtemps sur le stockage dans Azure. Très vite, la question de la souveraineté des données était apparue. L’arrivée du Cloud Act et la modification de la loi FISA n’ont fait qu’accentuer les interrogations. En février dernier, la validation par la CNIL du stockage des données du projet européen EMC2 dans Azure a donné un coup de fouet aux critiques.

Les réponses de Microsoft sur le stockage des données britanniques viennent, en effet, porter un éclairage cru sur ce qu’il semble possible de faire sur Azure. En résumé, des données au repos stockées au sein des frontières, mais des opérations nécessitant un déplacement. Même chose pour les opérations de maintenance. Ces questions touchent également Bleu et S3NS, que nous avons contactées. Nous mettrons à jour cette actualité en cas de réponse.

• • Thales et Google détaillent le fonctionnement de S3ns sur le « cloud de confiance »

• • Bleu : Orange et Capgemini lancent leur « cloud de confiance », basé sur Microsoft Azure et 365

« La preuve est faite »

Le député MoDem Philippe Latombe, commissaire à la CNIL et très impliqué sur les questions numériques, réclame depuis longtemps « la tête de la gouvernance du HDH » et l’arrêt de l’envoi de données à Microsoft.

Interrogé sur ces nouvelles informations, le député ne se dit « pas surpris ». « Ce qui est plus inquiétant en revanche, c’est que même Microsoft ne sait pas où vont les données. Ils n’ont même pas de cartographie de leur système. Et leur élasticité, présentée comme leur grande force, se fait avec tellement de tuyaux connectés les uns aux autres qu’ils ne savent plus », pointe Philippe Latombe.

Une nouvelle preuve, selon lui, que « les données sensibles ne peuvent pas être confiées à Microsoft ». Et c’est sans parler du chiffrement, pointe le député : « Les données au repos sont chiffrées, pas celles en mouvement ».

« C’est franchement gênant »

Le parallèle avec la Plateforme des données de santé est immédiat : « Le HDH nous dit qu’il n’y a pas de souci : "c’est chiffré et c’est nous qui avons les clés". C’est vrai pour les données au repos, pas pour les données en traitement. Or, la raison d’être du HDH est de faire du traitement, pas du stockage. Elles sont donc en mouvement et en clair. Donc le HDH nous raconte des carabistouilles depuis le début. Et maintenant que les Écossais ont obtenu des informations claires et un aveu de la part de Microsoft, c’est franchement gênant ».

Ces informations vont-elles nourrir la réflexion autour de la Plateforme ? « Bien sûr. Les bases de données anglaises contiennent des informations extrêmement sensibles, puisque les polices ont le droit de faire de la reconnaissance faciale. On est au niveau des données de santé niveau sensibilité. Il y aura un avant et un après. Et si je suis encore là le 8 juillet, je reposerai une question au gouvernement sur la base des confirmations de Microsoft », promet Philippe Latombe.