Mots-clés

, ,

Dans le cadre de notre projet de recherche de Master, nous évaluons des outils open source pour la gestion des données de la recherche. Dans le domaine de la recherche comme dans celui de la vie privée, stocker des données dans le cloud est en passe de devenir la norme. Ce système comporte de nombreux avantages : disponibilité des données, élasticité des espaces de stockage, synchronisation, travail collaboratif, ou encore accessibilité1. Alors que l’utilisation de la plupart des outils en ligne disponibles sur le marché implique un stockage dans le cloud, nous nous sommes aperçues en consultant les politiques de confidentialité qui s’y rapportent qu’il est souvent bien difficile d’identifier où ces données sont hébergées. L’une des conditions de notre mandat est que les données traitées par les outils évalués soient hébergées en Suisse. Nous nous sommes ainsi demandé quel était l’avantage de garder ses données de recherche dans notre pays, plutôt que sur une plateforme hébergée hors de notre territoire.

Nous retraçons dans ce billet notre propre expérience d’étudiantes, et y abordons certains risques du stockage dans le cloud.

Utilisatrices lambda

Au début de notre travail de recherche, nous avons utilisé Dropbox, puis Google Drive pour le stockage, le partage de nos fichiers et le travail collaboratif. Ces options nous offraient suffisamment d’espace de stockage et comblaient nos besoins. Nous ne pensions pas alors à leurs inconvénients.

En effet, il faut garder à l’esprit qu’en utilisant ces services, nos données ne sont plus sous juridiction suisse, mais américaine. Or, le droit américain, moins restrictif que le droit suisse en termes de protection des données, ne met pas à l’abri d’une éventuelle surveillance étatique, ni n’empêche les entreprises d’exploiter les données à des fins commerciales.

Pour ce qui concerne Google Drive, il faut savoir que son règlement stipule que les utilisateurs qui stockent leurs données sur cette plateforme lui en cèdent la propriété.

Enfin, les hébergeurs étant éparpillés dans le monde entre différents data centers, la localisation des données en est rendue difficile, comme le rappelle le préposé fédéral à la protection des données et à la transparence. Cette dispersion implique qu’il est malaisé de distinguer les parties prenantes, et par conséquent de savoir quel est le droit en vigueur.

Or, malgré ces inconvénients, nous sommes nombreux à utiliser ce type de services en ligne. Qu’en est-il donc de la réglementation à ce sujet ?

Du côté des institutions…

Tandis que notre étude porte sur les données de la recherche du domaine Economie et services de la HES-SO, nous nous sommes demandé dans un premier temps si des prescriptions ou des recommandations en matière d’hébergement des données existaient au sein de l’institution et du principal bailleur de fonds national, le FNS. Or, cette question n’est nulle part abordée par les réglementations en vigueur, qui ne spécifient pas où les données traitées, en particulier avant publication, devraient être stockées.

… et du côté de la loi

Il faut donc se tourner vers la loi sur la protection des données pour trouver une réponse à cette question. Dans le cas genevois, il s’agit de la LIPAD et de la RIPAD.

Nous avons contacté le préposé genevois à la protection des données et à la transparence pour en savoir plus.

Ce dont il faut être conscient, c’est que la réglementation en matière d’hébergement des données sensibles des institutions a changé cette année. Selon la fiche Cloud computing rédigée en 2015, le traitement de ce type de données devait être effectué sur territoire suisse. De même, il y a deux ans, il était interdit de faire appel à des tiers pour leur traitement. Or aujourd’hui, la loi s’est assouplie et permet de faire appel à des sous-traitants sous certaines conditions, notamment celle de sécuriser les données et de conclure un contrat avec le fournisseur de services.

Dans la pratique, de nombreuses institutions publiques hébergent leurs données à l’étranger. C’est pourquoi les préposés fédéral et cantonal ont établi une liste des pays disposant d’une législation suffisamment rigoureuse en matière de protection des données. En plus d’utiliser cette liste pour le choix d’un hébergeur, les chercheurs devraient apprendre à chiffrer les données personnelles qu’ils traitent.

La raison pour laquelle de nombreuses institutions stockent leurs données dans le cloud à l’étranger est la cherté des solutions suisses.

S’être posé des questions sur l’hébergement des données nous a amenées à être plus attentives à la question de leur localisation. Tandis que l’utilisation du cloud est très récente, bien souvent, nous avons tendance à imaginer que nos documents se situent là où nous sommes. Or il n’en est rien. Nous parlerons dans un prochain billet d’une alternative suisse.

1 P. CUNNINGHAM, 2016. Another walk in the cloud. Information Management, pp. 22-23.

Publicités