Google Analytics illégal : quels impacts pour les clouds américains ?
La décision de la Cnil de déclarer illégale l'utilisation du service de Mountain View raisonne comme un nouveau rappel à l'ordre. L'occasion de faire le point sur les politiques des hyperscalers en matière de gestion des données personnelles.
Après son homologue autrichien, c'était au tour de la Cnil de déclarer illégal l'utilisation de Google Analytics le 10 février 2022. Raison invoquée : la solution transmet aux Etats-Unis les données personnelles qu'elle manipule, pays où elles ne bénéficient pas d'une protection suffisante au regard du RGPD. Depuis, le groupe californien fait de la version 4 de son offre sa planche de salut. Disponible depuis octobre 2020, le successeur d'Universal Analytics est présenté comme conforme au paysage international actuel de la confidentialité des données (lire le billet de blog officiel). Google l'affirme : les données d'analyse des clients européens resteront localisées en Europe. Partant de là, qu'en est-il des retombées de cette décision de la Cnil sur les clouds américains ? Force est de constater qu'elle remet les pendules à l'heure en rappelant le secteur à ses devoirs de mise en conformité.
"Depuis l'invalidation le 16 juillet 2020 du Privacy Shield (accord encadrant le transfert de données personnelles entre l'UE et les Etats-Unis invalidé car contraire au RGPD, ndlr), les scandales se sont multipliés", constate Alexandra Iteanu, avocate au barreau de Paris et responsable du pôle Data et RGPD au sein du cabinet Iteanu Avocats. "En janvier 2021, la Cnil a réaffirmé son opposition au choix de Microsoft Azure pour déployer le Health Data Hub." Raison invoquée : un hébergement sur une infrastructure américaine, même basée en France, est soumis aux lois extraterritoriales des Etats-Unis, et notamment le Cloud Act. Une réglementation qui permet aux USA d'accéder aux données, quelle que soit leur localisation, sur simple demande des autorités fédérales de contrôle. "Le DSI de l'Etat a par ailleurs recommandé aux administrations centrales dans une circulaire interministérielle de septembre 2021 de ne pas utiliser Office 365 et Azure pour les mêmes raisons", ajoute Alexandra Iteanu.
La sécurité des données prioritaire
L'affaire Google Analytics est l'arbre qui cache la forêt. Utilisé pour des millions de sites web européens, son écho est évidemment bien plus important. "Dans le cas où les acteurs américains ne peuvent pas respecter le RGPD en l'état (et continuent à transférer des données personnelles outre-Atlantique, ndlr), la Cnil et le Conseil d'Etat affirment qu'ils doivent mettre en place des mesures techniques et organisationnelles de protection", prévient Alexandra Iteanu. Hazard de calendrier ou conséquence directe de la décision de la Cnil, le 4 mai 2022, Google a dévoilé un nouveau service de contrôle de souveraineté équipant sa suite de productivité Workspace. Objectif : donner les moyens aux clients de "contrôler, limiter et monitorer les transferts de données dans ou en dehors de l'Union européenne".
"Comme les autres hyperscalers, Google n'avance nulle part la preuve qu'il n'a aucun accès technique aux données personnelles qu'il héberge"
Sous le capot, Google propose un système de chiffrement permettant de recourir à ses propres clés de cryptage. "C'est la garantie que nos équipes ne puissent pas accéder à vos informations", argue Javier Soltero, vice-président et manageur général de Google Workspace. "Le dispositif est déjà supporté par Google Drive, Docs, Sheets et Slides. Son extension à Gmail, Google Calendar et Google Meet est prévue d'ici la fin de l'année." Et Alexandra Iteanu de réagir : "Comme les autres hyperscalers, Google n'avance nulle part la preuve qu'il n'a aucun accès technique à ces données."
Dans le même temps, le groupe compte améliorer la gestion de la localisation des données hébergées dans Workspace par pays, ainsi que le pilotage des droits d'accès aux contenus hébergés dans ses data centers européens selon l'origine des utilisateurs (lire le billet de blog).
Qu'en est-il d'AWS et de Microsoft (avec Azure et Office 365) ? Les deux autres géants du cloud américains n'ont pas attendu la levée de boucliers de la France pour engager des politiques de souveraineté. Comme Google, ils proposent des services pour contrôler la localisation de l'hébergement, l'accès à cet hébergement, mais aussi des systèmes de chiffrement pouvant reposer sur des clés gérées par les clients. Dans un long billet de blog publié le 18 mars, Brad Smith, le président de Microsoft, réaffirme la volonté du groupe de Redmond de soutenir le marché du cloud en Europe. Traduction : Microsoft entend faire le maximum pour faire d'Azure un cloud accueillant pour les acteurs européens du SaaS (lire le résumé dressé par Marc Gardette de Microsoft France sur LinkedIn). Dans ce post, Brad Smith rappelle le partenariat Bleu signé par Microsoft avec Orange et Capgemini et visant à mettre en œuvre un "cloud de confiance" en déportant les offres Azure et Microsoft 365 au sein d'une structure juridique autonome portée par les deux acteurs français.
Salesforce va garantir un support européen
Salesforce se hisse juste derrière AWS, Google et Microsoft au sein du classement de l'éditeur américain Okta des services cloud les plus utilisés. Qu'en est-il de sa politique de souveraineté des données ? Elle combine là encore des hébergements locaux (avec notamment un data center lancé en France en 2016) à un service de chiffrement donnant la possibilité d'utiliser ses propres clés de cryptage. Le 2 décembre 2020, cette politique amorce un nouveau virage. Le spécialiste du CRM en mode SaaS annonce Hyperforce. L'enjeu du groupe de Marc Benioff ? Se défaire de la gestion de l'infrastructure IT pour porter à termes l'ensemble de ses applications chez les hyperscalers (Alibaba, AWS, Google et Microsoft). "L'objectif est de s'appuyer sur ces acteurs pour répondre aux demandes de nos clients en matière de localisation de nos applications partout dans le monde", explique Stéphanie Finck, vice-présidente en charge des relations gouvernementale chez Salesforce pour la région EMEA.
Salesforce profite de cette stratégie multicloud pour étendre ses processus de sécurité. "Nous gérons désormais à la fois le chiffrement pour les données au repos et en transit, et les contrôles sont renforcés", souligne Stéphanie Finck. Hyperforce a été lancé en France sur la région cloud local d'AWS. "A partir du quatrième trimestre 2022, nous proposerons l'Hyperforce EU Operating Zone qui garantira à nos clients non seulement que leurs données seront stockées en Europe mais également que le support et le service client seront exclusivement pris en charge par du personnel basé dans l'Union européenne", insiste Stéphanie Finck. Comme AWS, Google et Microsoft, Salesforce proposait déjà un support en langue française. Mais il est, pour l'heure, le seul à afficher une volonté de garantir la localisation du service client au sein de l'Union. Une mesure qui a pour but de rassurer les clients face à un Cloud Act qui reste en vigueur.