Laux Lawyers publie un avis de droit sur l'utilisation du cloud public par la ville de Zurich
L’étude Laux Lawyers AG basée à Zurich a publié récemment l’avis de droit qu’elle a réalisé à l’intention de la ville de Zurich. Cet avis de droit analyse dans le détail (et en allemand) la légalité de l’utilisation de services cloud public par la ville de Zurich et, plus généralement, par des administrations communales, cantonales et fédérales.
L’avis de droit devait répondre en particulier à cinq questions :
- Une unité organisationnelle de la ville de Zurich peut-elle utiliser des services de cloud public ?
- Est-ce possible également pour les informations nécessitant une protection particulière (informations confidentielles ou strictement confidentielles) ?
- L’analyse change-t-elle en fonction de la juridiction à laquelle le fournisseur de services cloud ou l’une des sociétés de son groupe est soumis (siège à l’étranger, notamment aux États-Unis) ?
- L’analyse varie-t-elle en fonction du lieu où les données stockées dans les services de cloud public sont conservées (Data at Rest) (localisation des données en Suisse ou à l’étranger, notamment aux États-Unis) ?
- L’analyse est-elle différente selon que les données stockées dans les services de cloud public sont accessibles ou non à des personnes résidant à l’étranger (notamment aux États-Unis) ?
Les conclusions de l’avis de droit, (qui ont été publiées sur le site web de l’étude, sont les suivantes1.
L’avis de droit parvient aux conclusions suivantes après avoir examiné en détail tous les aspects du droit de la protection des données, du droit administratif et du droit du secret, ainsi qu’après avoir analysé en détail les accès par les autorités à l’étranger (notamment aux États-Unis, avec une digression spéciale sur les processus liés au CLOUD Act) :
- Les unités organisationnelles de la ville de Zurich peuvent utiliser des offres de cloud public. Pour les informations nécessitant une protection particulière, elles doivent choisir des fournisseurs matures avec des solutions techniquement avancées.
- Si des informations soumises au secret de fonction doivent être externalisées, il convient de choisir des solutions qui, selon l’expérience générale de la vie et le cours ordinaire des choses, n’entraînent pas d’accès en clair (c’est-à-dire que les informations ne seront pas consultées par les collaborateurs du fournisseur de services cloud, par exemple). La question de savoir si l’unité organisationnelle peut s’attendre à ce que cela se produise dépend de la question de savoir si cette protection des accès est suffisamment assurée par des mesures techniques et organisationnelles.
- En outre, des mesures contractuelles appropriées doivent être prises pour désigner le fournisseur de services cloud choisi comme auxiliaire. Il s’agit en particulier d’intégrer le fournisseur de services cloud en tant qu’auxiliaire. Il s’agit d’une mesure de sécurité pour le cas où des accès en texte clair pourraient avoir lieu dans des cas isolés (p. ex. dans des situations de support) malgré des mesures appropriées.
- En outre, la décision du conseil municipal agit comme une garantie institutionnelle supplémentaire de la bonne marche des affaires de la ville de Zurich ; en effet, elle a un effet d’autorisation pour les personnes agissant au sens de l’article 320 alinéa 2 du Code pénal et l’art. 25 alinéa 3 de l’IDV (Verordnung über die Information und den Datenschutz, Kanton Zürich).
- Le fait qu’une autorité de poursuite pénale suisse accède à des données de la ville de Zurich en Suisse ne constitue pas une rupture du secret de fonction. Toutefois, la ville de Zurich tentera d’abord d’attirer l’attention sur son secret de fonction et d’éviter la saisie de telles données ou un accès ultérieur.
- Il en va de même pour les menaces d’accès aux données de la ville de Zurich par les autorités de poursuite pénale aux États-Unis. L’existence du CLOUD Act et d’autres accès aux données par des autorités de poursuite pénale étrangères ne constitue pas un obstacle à l’entrée de la ville de Zurich dans le cloud, ne serait-ce que pour des raisons conceptuelles.
- Une administration comme celle de la ville de Zurich est très bien protégée aux États-Unis contre l’accès des autorités, même si elle stocke des données dans les infrastructures informatiques d’un fournisseur de services cloud américain. A cela s’ajoutent des données empiriques purement quantitatives qui montrent que le problème se pose très rarement.
- Selon le droit suisse, la ville de Zurich n’a aucune responsabilité en cas d’accès des autorités de poursuite pénale étrangères.
- En résumé, le risque de responsabilité pénale de la ville de Zurich ou de ses collaborateurs ou organes (membres des autorités) en raison d’accès des autorités étrangères peut être qualifié d’inexistant.
Ceci est une traduction libre de ma part de quelques morceaux choisis. ↩︎