Quels risques ?

• La souscription à certains services (Google, Facebook et autres) nécessite une inscription en ligne et implique la communication de données personnelles. Quelle identité fournir ? Quelles données sur vos activités les fournisseurs récupèrent-ils ? Et qu'en font-ils ? De manière générale, il faut se rappeler que le Cloud est une appellation plutôt floue pour désigner ce qui reste l'ordinateur de quelqu'un d'autre.
   
• Certains fournisseurs de cloud ont un fonctionnement très opaque : l'utilisateur ne sait pas toujours où sont stockées ses données, qui peuvent être sous-traitées dans une zone géographique hors de la juridiction de son pays par exemple. Quel droit appliquer en cas de problème ? Les choses se compliquent car il n'existe parfois pas de relation directe entre le fournisseur et l'utilisateur.
   
• En principe les prestataires s'engagent par contrat à respecter le droit à la vie privée et la confidentialité des données. Mais ils sont également tenus de se conformer aux lois et ils peuvent éventuellement devoir ouvrir leurs serveurs à la justice, la police ou les services de renseignement (cf. le programme de surveillance Prism aux Etats-unis ou la question du Safe Harbor : la mise à disposition des données personnelles des Européens aux agences de renseignement porterait "atteinte au contenu essentiel du droit fondamental au respect de la vie privée" a estimé le 6 octobre 2015 la Cour de justice de l'Union européenne. Elle a ainsi invalidé le Safe Harbor qui permettait le transfert de données entre l'Europe et les Etats-Unis, [affaire C-362/14]).

Quels recours ?

En lien avec les normes internationales de sécurité de l'information et dans le cadre de la stratégie de la Commission européenne visant à exploiter le potentiel du cloud computing, l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC) ont élaboré trois textes spécifiques à ce domaine d'activité :

• la norme ISO/IEC 17788 Technologies de l'information / Informatique en nuage / Vue d'ensemble et vocabulaire : définition du cloud computing, de ses acteurs, services et modes de déploiement.
• la norme ISO/IEC 17789 Technologies de l'information / Informatique en nuage / Architecture de référence afin de définir la construction d'une plateforme de services (s'adresse plutôt aux fournisseurs)
• la norme ISO/CEI 27018 Technologies de l'information / Techniques de sécurité / Code de bonnes pratiques pour la protection des informations personnelles identifiables dans l'informatique en nuage (publiée en juillet 2014). Elle fixe les règles de sécurité à appliquer par les fournisseurs afin de garantir la transparence, la confidentialité et la sécurité des données personnelles.
   

La Charte des droits fondamentaux de l'UE comprend la protection des données à caractère personnel.
Dans cette perspective, la Commission européenne est attentive aux questions liées à la confidentialité des données. Le groupe de travail "Article 29", organe consultatif et indépendant, dont la CNIL pour la France, travaille assidûment à porter les recours des citoyens devant les tribunaux. L'ancien étudiant de droit, aujourd'hui avocat et défenseur des libertés numériques, l'autrichien Max Schrems, a mené une action groupée (class action) décisive contre Facebook, en démontrant que la firme californienne utilisait abusivement les données personnelles de ses utilisateurs. Cette action devait mener à l'invalidation de la décision Safe Harbour par la Cour de Justice de l'Union Européenne le 6 octobre 2015. Le Privacy shield, adopté le 12 juillet 2016 a été remplacé le 25 mai 2018 par le RGPD (Réglement Général pour la Protection des Données) qui s'exerce sur toutes les entreprises qui traitent les données des citoyens européens (dont les entreprises de la Silicon Valley). Toutefois, ce régime protecteur européen entre en conflit avec des lois américaines comme le Cloud Act qui permet à l'administration américaine de récupérer des données hébergées sur des serveurs de compagnies américaines jusqu'en Europe.

1. En règle générale, Hébergez vos données plutôt sur un outil promu par votre DSI ou votre laboratoire que sur une plateforme commerciale (type Google Drive). Cf ci-dessous point 3
2. Si vous devez avoir recours à une plateforme commerciale, préférez plutôt des services plus modestes et théoriquement moins ciblés par les hackers que Yahoo ou Google, éventuellement des services open source dont l'audit de sécurité est plus facile à faire. Ne pas oublier que la sécurité a un prix et qu'un abonnement à une plateforme ou un service sécurisé n'est pas forcément un mauvais choix.
3. N'hébergez pas toutes vos données sur le Cloud. Certaines données confidentielles (notamment des données personnelles issues d'enquêtes, des extraits de fichiers médicaux ou des projets de dépôt de brevet) n'ont pas à y figurer. Dans ce cas, confiez-les plutôt aux serveurs de votre laboratoire ou de votre université, par exemple en utilisant le Cloud Recherche du CNRS si vous êtes affilié-e à cet organisme.
4. Choisissez un bon mot de passe pour accéder à votre espace personnel: bannissez les 123456 ou les Laura1980 ou encore les Armstrong69. Un mot de passe correct ressemble à peu près à ça : 4ùj2h%U$!-7 et se conserve grâce à un gestionnaire de mots de passe. Changez de mot de passe dès que vous êtes alerté-e d'une fuite de données par le prestataire ou par la presse.