Ces derniers mois, plusieurs gouvernements cantonaux ont publié leurs décisions quant à l’utilisation de « Microsoft 365 » (M365) dans l’administration. La décision du Conseil d’Etat du Canton de Zurich (RRB 542/2022 du 30 mars 2022) a retenu toute l’attention.
En février 2022, privatim a édité un « Aide-mémoire sur les risques et les mesures spécifiques à la technologie du Cloud » qui permet aux organes publics d’évaluer, notamment, l’utilisation de M365. Fondamentalement, la décision du Conseil d’Etat du Canton de Zurich ne signifie pas que les organes publics peuvent s’écarter du contenu de cet aide-mémoire et de la procédure qu’il recommande. C’est ce que suggèrent les déclarations à la suite de cette décision et privatim est amenée à prendre position sur quelques points du RRB qui exercent un effet au-delà du Canton de Zurich.
Décision (dispositif
Le Conseil d’Etat souligne que l’utilisation de M365 est autorisée (ch. I du dispositif). Cette affirmation correspond aux normes de la protection des données selon lesquelles le traitement des données par des tiers, y compris les solutions du Cloud, est admis à certaines conditions.
Au chiffre II du dispositif, le Conseil d’Etat prévoit implicitement que les organes publics sont tenus d’élaborer un concept de sûreté de l’information et protection des données (concept SIPD). Dans celui-ci, ils doivent aussi mentionner les risques d’un Lawful Access étranger. Un concept SIPD (selon HERMES) contient la liste des documents pertinents en matière de sécurité, la classification du traitement des données sur la base de l’analyse des besoins de protection, la description du système du point de vue de la sécurité, l’analyse des risques, y compris les risques résiduels, le concept d’urgence, le règlement d’application, le respect et l’examen des mesures de protection, le test et la réception des fonctions de sûreté de l’information, ainsi que la liquidation. Cela étant, le Conseil d’Etat ne s’écarte pas de la manière de procéder méthodique conforme à la législation sur la protection des données.
Le Conseil d’Etat ajoute que, lorsque « 90 % de probabilité de la survenance d’un Lawful Access qui a réussi se situe au-dessous de 100 ans » (ch. II al. 2 du dispositif), l’organe public doit lui soumettre l’autorisation de la solution du Cloud basée sur les risques. La mise en évidence de cet aspect paraît largement surpondérée, puisque le Lawful Access étranger ne représente qu’une partie des risques spécifiques du Cloud et que la probabilité statistique dans la question de la licéité de cet accès ne joue aucun rôle.
Par ailleurs, les organes publics devraient vérifier s’il est nécessaire d’émettre d’autres directives supérieures en plus d’une politique d’utilisation générale s’appliquant à M365 (ch. III du dispositif). Ils suggèrent ainsi que d’autres prescriptions plus contraignantes sont nécessaires, le cas échéant, pour que chaque organe puisse avoir recours à des services spécifiques de M365 conformément aux principes de la protection des données. Cette proposition doit être saluée, comme le fait que le Conseil d’Etat crée un poste de responsable de la sécurité Cloud, puisque les solutions du Cloud sont en forte augmentation, de même que les risques informatiques de manière générale (ch. IV du dispositif).
Motifs
Les motifs de la décision sont clairement mal équilibrés.
Sur le principe, le Conseil d’Etat estime qu’aucune base légale ne doit être créée ou modifiée s’agissant de la mise en place de solutions du Cloud : « Il n’y a aucun besoin de réglementation, mais, lors de la mise en place, il convient de respecter les dispositions applicables. » (p. 2). C’est pourquoi les exigences en matière de sécurité de l’information et de protection des données doivent être examinées déjà avant la validation du projet au moyen d’une analyse des besoins de protection ; si ceux-ci sont élevés, il faut alors élaborer un concept SIPD, ordonner des mesures de sécurité et mettre en avant les risques résiduels (p. 2). L’analyse de la base légale en fait aussi partie.
En procédant ainsi, on s’assure de tenir compte des exigences de la législation sur la protection des données pour les solutions du Cloud comme le stipule l’aide-mémoire de privatim. Le Conseil d’Etat délègue cette tâche aux différents organes publics (ch. II du dispositif).
Par ailleurs, le Conseil d’Etat s’exprime sur les risques spécifiques au Cloud et indique que, dans l’ensemble, la solution du Cloud ne présente pas des risques plus élevés pour la sécurité de l’information et la protection des données que les solutions on premise (sur site) (p. 3). Il constate également que les risques de divulgation d’informations confidentielles pour cause d’accès non autorisés et illégaux sont nettement plus faibles dans le cas de solutions du Cloud que lorsque les données sont conservées on premise (p. 7 ss). Cette affirmation n’est pas pertinente au vu des divers risques supplémentaires.
Ainsi, il ne reste au Conseil d’Etat plus qu’à constater la perte de contrôle due à la solution du Cloud et le fait que les aspects opérationnels et les responsabilités en ayant recours à elle, également en matière de sécurité, passeraient entre les mains du fournisseur et qu’ils ne se trouveraient plus directement dans la sphère d’influence du client : « S’il fallait exclure complètement de tels risques, toute forme de traitement des données serait impossible. » (p. 9).
Cependant, il est du devoir des organes publics de clarifier les différents risques qui pèsent sur les droits fondamentaux des personnes concernées et de prendre les mesures qui s’imposent pour minimiser la perte de contrôle. Dans son aide-mémoire, privatim montre comment l’analyse des risques doit être faite jusque dans les détails, qu’il faut comprendre les risques et que le Conseil d’Etat devrait assumer le risque résiduel. De plus, il faut expliquer comment on peut contrebalancer les nouveaux risques par les avantages, auxquels on ne peut renoncer, du service du Cloud par rapport à une solution équivalente on premise et aux produits à faible risque d’autres fournisseurs. Mais il n’y a ici ni prise de risque, ni analyse circonstanciée des risques, ni motifs évidents.
Par contre, on trouve dans les motifs un chapitre détaillé sur le Lawful Access étranger comme il est admissible dans les entreprises américaines par le biais du CLOUD Act. On tient à faire remarquer qu’un tel scénario est hautement improbable dans la pratique et que, dans les institutions publiques, selon les renseignements de Microsoft du 7 décembre 2021 (p. 4), on n’a jamais observé le fait que Microsoft ait publié des données de clients européens. Cela n’est pas vraiment représentatif, parce que ce n’est que maintenant que les organes publics vérifient la sous-traitance des données dans le Cloud, de sorte que l’accès à ces données n’a pas pu avoir lieu jusqu’ici. De manière générale, la prudence est de mise lorsqu’il s’agit de prévisions qui se basent sur le passé et il ne faut pas négliger les bouleversements géopolitiques et autres événements exceptionnels.
Il convient en outre de noter qu’un accès à des données personnelles fondé sur le CLOUD Act est illégal en Suisse, indépendamment de sa probabilité statistique, et qu’il viole la protection des données et, le cas échéant, le secret. C’est pourquoi on ne peut pas justifier la renonciation à des mesures qui réduisent le risque par le seul fait que l’accès est suffisamment improbable.
Dans le cas du Lawful Access étranger, il s’agit seulement d’une petite partie de l’analyse des risques qui peut aller jusqu’au renoncement à la sous-traitance, si les mesures techniques et organisationnelles qui doivent être prises ne sont pas suffisantes.
Dans tous les cas, les déclarations au sujet du Lawful Access étranger ne peuvent pas remplacer les étapes mentionnées ci-dessus comme l’analyse de la base légale, du besoin de protection et des risques avec les risques résiduels et le plan de mesures.
On s’étonne de la remarque finale sur les motifs selon lesquels, en ce qui concerne M365, aucun risque résiduel considérable n’a été démontré, dans l’ensemble, que ce soit par le Lawful Access ou d’autres facteurs, qui impose de renoncer à mettre en place la solution du Cloud. D’une part, le Lawful Access n’est qu’une partie de cet aspect et, d’autre part, des facteurs (essentiels), comme privatim les a présentés dans son aide-mémoire, n’ont pas fait l’objet d’une discussion. De plus, le renoncement à la solution du Cloud n’a jamais été débattu.
Bilan
La décision du Conseil d’Etat du Canton de Zurich n’est pas un feu vert à la mise en place de M365 dans l’administration. Tout d’abord, il faut noter que le Conseil d’Etat part déjà du principe que la création de documents et leur traitement avec Word, Excel et PowerPoint se font au moyen de versions de ces applications installées au niveau local et non pas avec les services du Cloud (p. 6) ; de plus, une option de cryptage est prévue dans Exchange Online pour le cryptage on premise sous la souveraineté exclusive du Canton de Zurich (p. 5) et elle doit être utilisée. Ensuite, le Conseil d’Etat n’engage pas sa propre responsabilité dans cette décision de mise en place, mais il la délègue aux différents organes publics, qui doivent faire les mises au point indispensables dans le cadre d’un concept SIPD (liste des documents pertinents en matière de sécurité, classification du traitement des données sur la base de l’analyse des besoins de protection, description du système du point de vue de la sécurité, analyse approfondie des risques, y compris les risques résiduels, concept d’urgence, règlement d’application, respect et examen desmesures de protection, test et réception des fonctions de sûreté de l’information, ainsi que la liquidation).
Cela étant, les motifs de la décision ne suffisent en aucun cas pour l’évaluation d’une solution du Cloud comme M365. Ils reprennent des éléments de l’évaluation d’une solution du Cloud, mais n’offrent de loin aucune image complète de ce que devrait contenir un concept SIPD.
Les explications de privatim dans l’« Aide-mémoire sur les risques et les mesures spécifiques à la technologie du Cloud » et les guides mentionnés dans son annexe, qui énumèrent les différents préposé(e)s à la protection des données, restent, pour les organes publics, la directive pour l’évaluation et la mise en place de solutions du Cloud, y compris M365.