Cet article a été rédigé par François Charlet, juriste spécialiste en protection des données. Il a pour but d’attirer l’attention des lectrices et lecteurs sur quelques aspects juridiques à prendre en considération lorsqu’on envisage de faire héberger des données personnelles ou d’entreprise par un prestataire informatique externe.
Lorsqu’il s’agit de choisir un prestataire pour un service particulier, nous voulons les meilleurs services au prix le plus avantageux. Cela vaut pour d’innombrables domaines, de la téléphonie mobile à l’artisanat, en passant par la formation et le sport. Les services informatiques sont en pleine expansion et ce marché est hautement concurrentiel. C’est un secret pour personne : il est actuellement dominé par des mastodontes américains comme Microsoft et Amazon, mais des acteurs locaux tirent leur épingle du jeu. Il existe de très bonnes raisons d’opter pour les services de grandes sociétés basées à l’étranger, mais il y en a d’excellentes également lorsqu’on se décide pour une entreprise suisse.
Pourquoi le lieu d’hébergement est important ?
Au-delà des aspects commerciaux ou relatifs au service clients (un prestataire qui est proche géographiquement sera probablement plus à l’écoute et capable de proposer un service adapté voire sur mesure), la question du lieu physique du stockage des données est d’une importance certaine. Le lieu où se trouvent effectivement les données peut avoir des conséquences juridiques particulières, comme de les exposer à un séquestre par les autorités étrangères. Ce risque n’est évidemment pas exclu si les données sont stockées en Suisse, mais les autorités étrangères devront passer par les mécanismes internationaux d’entraide et ce seront les autorités suisses qui exécuteront les éventuelles mesures. En outre, il est plus aisé de se défendre juridiquement dans son propre pays, comme nous le verrons plus bas.
La Suisse jouit d’une excellente réputation à l’international, mais aussi auprès de ses citoyens, pourquoi ne pas en profiter ? Lorsqu’on offre des services en Suisse, aux Suisses, ces derniers seront souvent interloqués de savoir que leurs données (qu’elles soient personnelles ou non) ne sont pas stockées dans leur pays. Quant aux étrangers, ne serait-ce qu’en raison de la stabilité juridique et politique de la Suisse, mais plus généralement parce qu’elle a bonne réputation, ils verront généralement d’un bon œil le fait que le lieu de stockage des informations est la Suisse. Attention cependant : l’indication que les serveurs sont situés dans d’anciens bunkers de l’armée suisse n’est pas volée pour certaines sociétés, mais elle paraîtra un peu folklorique aujourd’hui et ne sera que rarement un réel argument d’achat pour l’écrasante majorité des clients. En outre, ce genre de prestations est surtout utile lorsqu’il s’agit archiver des données, moins pour des opérations de traitement quotidiennes.
Un prestataire local pour du droit local
La localisation des données est importante, mais le droit auquel le prestataire de service est soumis l’est tout autant. En effet, en cas de litige, notamment civil lorsqu’il y a des divergences d’interprétation d’un contrat, sous réserve évidemment que le contrat de prestation ne choisisse pas le for et le droit d’un pays étranger, il sera plus agréable d’ouvrir une action devant des tribunaux dont la procédure ne nous est pas totalement étrangère et qui appliquent la loi auquel nous sommes soumis au quotidien. En outre, une assurance de protection juridique sera probablement moins encline à financer des procès à l’étranger, s’ils ne sont pas exclus de ses conditions générales.
En matière pénale, il en va de même. D’aucuns auront entendu parler du célèbre CLOUD Act et de toutes les âneries qu’on en a dit. Beaucoup fuient les prestataires américains en raison de cette loi, sans savoir qu’il en existe une similaire qui s’applique notamment en Europe et en Suisse : la Convention de Budapest sur la cybercriminalité (CCC). Par exemple, si les autorités françaises, allemandes ou américaines suspectent que des informations relatives à un crime se trouvent sur un serveur localisé sur le territoire suisse, les autorités suisses pourront ordonner au prestataire informatique de communiquer aux autorités étrangères les informations qu’il a en sa possession ou sous son contrôle. De même, selon le droit suisse, si un prestataire basé en Suisse stocke des données à l’étranger, les autorités suisses peuvent lui ordonner de leur communiquer ces informations.
Hébergement en Suisse mais transfert à l’étranger ?
Il existe souvent une clause dans les contrats concernant les « transferts temporaires » de données (personnelles ou non). En effet, bien que les données soient stockées en Suisse, il est courant qu’elles doivent transiter par des serveurs à l’étranger pour différents traitements avant de revenir sur les serveurs suisses pour y être stockées à nouveau. Cette situation se produit souvent avec des prestataires informatiques de taille mondiale, plus rarement avec les acteurs locaux.
Cet élément est important car si le client fait traiter des données personnelles par le prestataire informatique et que ces données sont transférées à l’étranger, même sans y être stockées, le client devra s’assurer de la légalité de ce transfert au regard de la (nouvelle) loi fédérale sur la protection des données (LPD) voire du RGPD, et informer les personnes concernées de ce transfert. La nouvelle LPD exigera que cette information contienne le nom du ou des Etats vers lesquels les données personnelles sont transférées.
Nouvelle LPD
On a souvent vu, sur le web et dans les médias, des personnes vanter la LPD et le cadre juridique suisse très sécurisant pour les données personnelles, et inviter les individus et entreprises à héberger leurs données en Suisse. Mais ces voix se sont tues depuis que le RGPD est entré en vigueur dans l’Union européenne et qu’il a drastiquement augmenté les exigences vis-à-vis des entreprises du monde entier qui viendraient à proposer leurs services aux Européens ou qui seraient des sous-traitantes d’entreprises européennes.
Ces voix vont pouvoir se faire entendre à nouveau, mais sans fanfaronnade. La nouvelle LPD, adoptée à l’automne 2020 et dont la date d’entrée en vigueur n’est pas encore connue, amènera son lot de nouveautés et donnera plus de responsabilités aux entreprises suisses, notamment en matière de transparence et de gouvernance. Ainsi, l’argument selon lequel les données personnelles étaient mieux protégées en Europe qu’en Suisse va perdre de sa substance, car tous les prestataires informatiques suisses qui n’étaient pas soumis (légalement ou contractuellement) au RGPD jusqu’à aujourd’hui seront soumis au régime plus strict de la nouvelle LPD.
Celle-ci renforce notamment l’obligation de transparence des responsables de traitement, impose l’application du principe « privacy by design & by default » et la mise en œuvre d’analyses d’impact, prévoit l’annonce au Préposé fédéral des violations de (la sécurité des) données.
Prestataire qui développe ses propres solutions
Souvent, le prestataire informatique qui propose un service d’hébergement accompagnera ses clients d’un support technique pour l’installation d’un CMS ou de certaines facilités pour y parvenir de manière guidée et automatisée, par exemple. Les solutions informatiques qui seront ainsi proposées émaneront le plus souvent de fournisseurs tiers, qui se chargent de la maintenance, des mises à jour et de la sécurité de leurs solutions. L’hébergeur n’y participe pas, ce qui implique qu’il ne peut pas aider ses clients à corriger des bugs, erreurs ou failles de sécurité de ces solutions.
A l’inverse, lorsque l’hébergeur est également un développeur de solutions informatiques qu’il propose à ses clients, ceux-ci bénéficient d’un service qui va au-delà de la « simple » prestation d’hébergement. Le prestataire informatique endosse certes de plus grandes responsabilités vis-à-vis de ses clients mais il sera à priori capable de répondre à leurs demandes d’évolution des services proposés. Le prestataire ne développera pas nécessairement ses propres outils « from scratch » mais utilisera souvent des solutions open-source qu’il adaptera à ses systèmes informatiques, aux besoins de ses clients et à l’offre de services qu’il compte proposer. Ainsi, il bénéficie des évolutions du code open-source effectuées par la communauté (et peut y contribuer) tout en restant maître de la solution qu’il propose. Un autre élément qui plaide en faveur de l’utilisation d’un prestataire local qui développe ses propres outils vient encore du droit relatif à l’espionnage auquel il est soumis. En utilisant des solutions propriétaires développées à l’étranger, on s’expose peut-être aux éventuelles portes dérobées (backdoors) installées sur demande d’une autorité étrangère (cf. ce reportage de la RTS). Cependant, comme le prestataire local n’aura généralement pas d’autre choix que d’utiliser des technologies et infrastructures informatiques développées et manufacturées à l’étranger (serveurs, systèmes d’exploitation, etc.), l’élément susmentionné perd de sa force bien qu’il reste intéressant. Il y a évidemment des exceptions.
Conclusion
L’ensemble de ce qui précède offre au prestataire informatique local une plus grande indépendance et, généralement, exige aussi de lui une meilleure maîtrise des données que ses clients lui confient. Il pourra se trouver à l’abri de certaines attaques informatiques qui visent des infrastructures et solutions massivement utilisées. En fonction des sous-traitants auxquels il fait appel, il permettra souvent de garantir que les données de ses clients ne sont ni transférées à l’étranger ni accessibles à des personnes qui se trouvent à l’étranger. En cas de litige, le client bénéficiera en principe d’un for en suisse et le droit applicable sera le droit suisse, ce qui amène de facto des garanties en matière de procès équitable et aussi une justice de proximité.
L’auteur de cet article est resté indépendant et n’a subi aucune demande ou pression de la part d’Infomaniak network SA, dont il est d’ailleurs client.
Nouvelle loi sur la protection des données (nLPD) : qu’est-ce que cela change ?
mercredi 20 septembre 2023