Cloud Computing mis en examen : la commission Libe du Parlement a passé en revue les dangers de « l’informatique en nuage ».

La session de débats de la Commission LIBE qui s’ouvrait 29 au 30 Mai a laissé encore une fois une place très importante aux questions de la protection et des échanges de données personnelles via Internet. Parmi les thèmes abordés dans ce domaine, l’exploitation du potentiel du « cloud computing » en Europe a été une question majeure.

Le « cloud computing », ou « informatique en nuage », est une nouvelle forme de gérance de l’informatique, qui tend à prendre le pas sur les autres méthodes de services internet. Notion très complexe, difficile à définir (ce qui pose des problèmes pour rendre des avis parlementaires sur le sujet comme l’a signalé Kyriacos Triantaphyllides), elle résume une forme d’échanges numériques dans lesquels les entreprises et les particuliers utilisent des servers à distance d’autres entreprises pour le traitement et le stockage de certaines de leurs informations. « Les données ne sont plus chez moi, mais sont stockés dans des « server farms » partout dans le monde », explique Birgit Sippel (S&D-GE). Toutes ces interconnections forment un « nuage » (cloud) très complexe ou les données s’échangent très rapidement entre des millions d’appareils. Cette nouvelle gouvernance est très pratique pour les consommateurs, qui peuvent accéder aux fichiers sauvegardés sur le cloud depuis n’importe quel appareil, mais aussi pour les entreprises, qui peuvent réduire leur cout de servers de stockages.

La Commission a souligné l’avantage du « computer clouding » au niveau économique. L’avis Sargentini de la Commission LIBE a cependant décidé, lors de la session dernière, d’en présenter les dangers concernant les données personnelles. Le rapport constate en effet que si le cloud computing « est une bonne contribution à l’économie européenne, il faut vérifier que le nuage européen soit sûr et sans fuite possible ». De nombreuses données circulent sur le cloud en Europe, de personnes comme d’entreprises, qui concernent des informations à hauts risques comme des données bancaires, scolaires, fiscales ou encore personnelles. Parce que le « cloud computing »est complexe, multiplie les connections et est d’une nature très ouverte, ce genre de données est plus facilement accessible à des acteurs très divers.

La rapporteur Judith Sargentini (Green-NE) a rappelé que la priorité de l’Union dans sa politique sur le « cloud » devrait être de protéger les données des individus et des entreprises contre le « glanage » de cybercriminels , d’états ou d’entreprises issus de pays extérieure à l’UE. Une telle protection rendrait l’espace européen très séduisant pour de grosses entreprises à données « à risque », et aiderait donc à la croissance tout en protégeant les citoyens de manière efficace. Judith Sargentini suggère une limitation du cloud en utilisant une directive de 1996 interdisant aux entreprises européennes de se compromettre avec d’autres entreprises versant dans des activités illégales selon les normes européennes. L’application de cette directive dans le domaine du « cloud computing » permettrait de limiter le transfert de données d’entreprises européennes vers d’autres acteurs aux objectifs dangereux. Elle a également rappelé l’importance cruciale de la modification de la directive sur la protection des données personnelles pour une sureté optimale du nuage.

Tout particulièrement, les Etats-Unis, seul pays capable de suivre le « cloud » dans son ensemble, ont été visé à plusieurs reprises par Sophie In’t Velt (ALDE-NL) et Kyriacos Triantaphyllides (GUE-CY), qui ont signalé que sous prétexte de « lutte contre le terrorisme », le gouvernement américain utilise sa capacité de tracking sur le nuage informatique pour collecter des données sur les européens sans avoir à rendre des comptes à une quelconque instance judiciaire ou à un quelconque tribunal. Tous deux ont reproché à la Commission son manque d’activité pour protéger le cloud européen des politiques américaines, le représentant de la Gauche Unitaire,Triantaphyllises, accusant la Commission de « partialité dans sa présentation du cloud, en soulignant les effets positifs de l’informatique en nuage mais pas ses dangers […] face aux Etats-Unis qui accumulent des données européennes sans justification », et l’eurodéputée de la ALDE, Sophie In’t Veld enjoignant la Commission à engager un dialogue ferme avec l’allié Outre-Atlantique le plus vite possible, avant même la législation sur la protection des données personnelles.

La Commission s’est voulue rassurante : des démarches envers les Etats-Unis ont déjà lieu sur ce sujet, démarches qui devraient encore s’intensifier à l’orée des prochaines négociations sur le marché transatlantique. De manière générale, la Commission a reconnu que l’utilisation du cloud par les états était un problème, qu’il fallait impérativement légiférer sur le sujet, et que des travaux devraient débuter très tôt sur le sujet en consultation avec une multitude d’acteurs publics et privés. Elle a d’ailleurs rappelé que des outils pour réguler l’usage de données dans le cloud par des états, membres ou non de l’Union Européenne, existent déjà : la Convention de Budapest, une initiative du Conseil de l’Europe en matière de cybercriminalité, pose des limites dans l’accumulation des données par les services publics. Elle a également rappelé le caractère transversal du sujet du rapport, qui traite à la fois de la neutralité d’internet, de cyber-sécurité et de protection des données, et que des solutions au problème du cloud seront proposés par d’autres rapports sur ces différentes sujets.

La discussion s’est conclue sur un des sous chapitres de l’avis rendu par le Parlement concernant le risque de panne dans le « cloud », qui serait une porte ouverte vers les données personnelles pour les cybercriminels. La Commission n’a pas semblé très enthousiaste à l’introduction de mesures relatives à ce sujet, jugeant le risque de panne très minime, plus improbable encore que dans les autres formes de gouvernance internet. L’informatique en nuage a l’intérêt d’être une interconnexion et non un seul ordinateur, rendant le dysfonctionnement de l’ensemble en théorie impossible. Judith Sargentini insiste cependant sur l’utilité de telles mesures, même si elles pourraient sembler inutile : « rien n’est « too big to fail » », insiste l’eurodéputée, qui rappelle pour appuyer ses propos l’attaque de cybercriminels contre tous les comptes de la banque IGN, et la panne de quelques jours qui s’en est suivi.

La politique européenne sur le « cloud computing » est très liée au rapport Albrecht sur la protection des données personnelles. L’informatique en nuage est un des problèmes à la source de la modification de la directive de 1995 sur la protection des données, et Axel Voss (PPE-DE) a rappelé que les avancées du parlement sur ce sujet devraient résoudre en soit une grande partie des défauts du nuage européen, en garantissant de meilleurs droits aux consommateurs, en donnant des obligations aux entreprises et aux agences publiques, et des limitations d’accumulation de données pour ces deux acteurs. Il reste néanmoins selon lui à ajouter à ce texte la protection de données non-personnelles mais risqués, et une liste de recours pénaux possibles pour effraction à la sécurité de ces données dans le nuage.

Yoann Fontaine

Pour en savoir plus

– Enregistrement de la réunion

http://www.europarl.europa.eu/ep-live/fr/committees/video?event=20130529-1000-COMMITTEE-LIBE

– Définition scientifique de l’informatique en nuage.

http://www.futura-sciences.com/fr/definition/t/informatique-3/d/cloud-computing_11573/

Projet de rapport de Jan Philipp Albrecht

(FR)

http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387fr.pd

(EN) http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387 fr.pd

– Projet de rapport de Dimitrios Droutsas

(FR) tp://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dt/915/915162/915162en.pdf