Recommandations de la Commission Technologie de l’information et de la communication de la CNA
L’utilisation fréquente, par de nombreux confrères, des services gratuits proposés sur Internet, nous amène à vous présenter nos réserves et recommandations quant aux risques de sécurité et de confidentialité encourus.
L’externalisation d’un service tel que celui de la messagerie ou de la sauvegarde de ses données doit se faire conformément à la législation européenne afin de garantir un niveau de sécurité et de confidentialité indispensables dans notre activité professionnelle.
Or, après un bref audit, nous avons constaté que la mention « avocat » est faite dans l’identifiant de nombreuses adresses électroniques gmail.com donc hébergées par la société américaine Google (ci-après « Google »).
Ce constat nous incite à attirer votre attention sur les risques relatifs à l’usage de la messagerie Gmail proposée par Google. Et ce, d’autant plus que Google a modifié ses conditions générales d’utilisation en mars 2012 en procédant à la refonte de ses 60 politiques de confidentialité, pour ses 60 services, en une seule.
Google ne semble pas prête à répondre de manière favorable aux demandes de mise en conformité des régulateurs nationaux européens pour assurer un niveau de confidentialité satisfaisant et un traitement des données transparent dans le délai de 3 à 4 mois imparti par la Commission Nationale de l’Informatique et des Libertés (CNIL). Ledit délai a, en effet, expiré à la mi-février 2013.
Les autorités de protection des données européennes ont donc constaté le 18 février dernier que Google n’a pas apportée de réponse précise et opérationnelle à leurs recommandations. Par conséquent, elles ont proposé de constituer un groupe de travail piloté par la CNIL présidée par Madame Falque-Perrotin, afin de coordonner la mise en place d’une stratégie contentieuse au niveau européen.
Tant que Google ignorera les demandes de mise en conformité de la CNIL, nous ne pourrons qu’attirer votre plus grande vigilance quant à l’utilisation de ses services à titre professionnel.
En effet, les risques sont importants car Google ne délivre pas d’information suffisante à ses utilisateurs sur l’objet des collectes et des catégories de données traitées.
Nous souhaitons attirer votre attention sur plusieurs risques résultant de ces nouvelles conditions générales d’utilisation et conditions additionnelles de confidentialité.
Ainsi, il est seulement précisé dans les conditions d’utilisation que « toute donnée, issue de tout service » peut être utilisée « pour n’importe quel objectif », sans que Google ait à se justifier.
Le premier risque est celui du « profilage » pour reprendre le terme utilisé par la Présidente de la CNIL. Vos données à caractère personnel et celles qui transitent via et entre les divers services proposés par Google sont collectées pour constituer un profil afin de cibler les publicités qui vous sont adressées.
Au-delà de ce risque de profilage non négligeable, il y a un deuxième risque qui nous préoccupe plus, celui du risque d’accès et de traitement de vos données, celles de vos correspondants, dont celles de vos clients qui transitent lors de l’utilisation de la messagerie Gmail.
A ce jour, il n’est pas demandé aux utilisateurs de ces services gratuits leur consentement en cas de transfert de leurs données. Il ne précise pas non plus les objectifs du traitement.
Notons que le risque est accru avec le service de stockage et de partage de fichiers dans le Cloud, ou nuage, lancé par Google, le 24 avril 2012, Google Drive. L’espace ouvert sur ce nouveau service sert aussi sur la messagerie Gmail et vous permet donc de stocker et d’utiliser des fichiers image, vidéos, textes (.txt, .pdf, .pages, xls…) mais sans garantie quant à la confidentialité et/ou à la sécurité des données.
Concernant la confidentialité, sachant que plusieurs clients peuvent partager un même nuage, il est risqué de ne pas avoir de garantie de la part de Google relative à la séparation hermétique entre les données appartenant à chaque client.
Enfin, Google est une société américaine qui est soumise aux lois de l’Etat de Californie. Or, il faut savoir que la législation américaine et plus particulièrement celle résultant de l’USA PATRIOT ACT du 26 octobre 2001, applicable jusqu’en juin 2015, impose aux entreprises de droit américain et à leurs filiales, quelque soit la nationalité des entreprises, qui exploitent et hébergent des données en Europe, de permettre aux services de sécurité américains d’y accéder. Il en résulte que malgré le dispositif mis en place au niveau européen dit « Safe Harbour », la confidentialité des données hébergées par des sociétés américaines, y compris sur des plateformes de Cloud, ne peut être garantie.
La commission Technologies de l’Information et de la Communication de la CNA formule les recommandations ci-après concernant l’utilisation de Gmail et des services connexes proposés par Google :
1- Nous préconisons de ne pas utiliser les services de messagerie Google à titre professionnel ;
2- Nous préconisons de ne pas utiliser Google Drive pour stocker vos fichiers professionnels ;
3- Nous préconisons de ne pas utiliser Google Agenda pour vos réunions professionnelles;
4- Nous émettons des réserves quant à l’utilisation de Google Analytics comme outil d’audience de votre site Web qui permettent de collecter des informations sur vos visiteurs (adresse IP, date et heure, navigateur utilisé…) ;
3- Nous vous recommandons de faire le choix d’un prestataire européen pour effectuer un hébergement des données conformément à la législation européenne en matière de données à caractère personnel et aux normes techniques ISO ;
4- Nous vous recommandons de faire le choix d’un prestataire qui s’engage à rendre accessible les données au moment souhaité[1] et donc d’avoir mis en place une politique de sécurité. Il convient d’étudier la clause ou l’annexe relatif aux niveaux de services (Service Level Agreement) afin de faire le bon choix.
En cette période de crise, il peut être attractif d’avoir recours à ces services gratuits proposés par Google afin de faire des économies budgétaires mais, vous l’avez compris, ce n’est pas sans risque.
Un forum sur les risques du Cloud computing sera organisé fin mai 2013[2] par la CNA-Paris afin notamment de vous proposer des solutions sécurisées. D’ores est déjà pour ceux qui souhaitent avoir des informations complémentaires détaillées sur les risques liés au Cloud computing, nous vous communiquons, ci-après, le lien vers le rapport[3] rendu le 14 février dernier par l’ENSA[4], qui est l’agence européenne de cyber-sécurité .
https://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/critical-cloud-computing/
Votre bien dévoué,
Paris, le 22 février 2013.
Anne-Katel MARTINEAU
Vice-Présidente de la CNA, chargée de la Commission Technologies de l’Information et de la Communication
Présidente de la CNA, section Paris
[1] Rappelons nous les pannes importantes courant 2009 touchant quasi tous les services de Google et qui rendait l’accès à ses données stockées impossible ou irrégulier.
[2] La date exacte sera fixée lors du prochain bureau et sera communiquée via le site Internet.
[3] Rapport rédigé exclusivement en anglais.
[4] European Network and Information Security Agency.