Juridique & Légal : Messagerie externalisée… ce que vous devez savoir

Depuis quelques temps déjà, le concept de SaaS (Software as a Service ou Logiciel en tant que service en français) et de Cloud (Service dans le « nuage » internet) prend de l’ampleur et séduit de plus en plus de sociétés.

Soucieuses de disposer d’un service de qualité tout en s’affranchissant de la maintenance, les sociétés « externalisent » leur messagerie chez un prestataire. Des avantages certains s’offrent alors à l’entreprise cliente : aucune maintenance, mise à jour automatique, déploiement rapide, flexibilité technologique, prix attractifs, accès nomade, etc. Cependant, bien qu’un service externalisé puisse être tout à fait pertinent techniquement et fonctionnellement, il est primordial de s’assurer qu’aucune faille de sécurité et de confidentialité ne soit à déplorer.

Quelles garanties juridiques vous offre votre fournisseur de service ?

Pour le choix d’un fournisseur, outre les aspects techniques, les aspects légaux et juridiques doivent être au cœur du processus de décision. Techniquement, il est important de vérifier les SLA (Services Level Agreement , c’est à dire les niveaux de service garantis sur les fonctions attendues : disponibilité qualité de filtrage, temps de traitement, engagement de protection antivirus, etc…), tant en terme de pertinence, que d’outils de mesure ou de pénalités associées. Nous traiterons ces aspects dans une prochaine newsletter. Intéressons-nous ici aux aspects juridiques et légaux liés à la protection des données de l’entreprise. Internet permet de délocaliser des données partout dans le monde et, en conséquence, de diminuer sensiblement les coûts d’exploitation. Il est courant de trouver des fournisseurs qui n’ont aucune infrastructure dans le pays où ils commercialisent leurs solutions.

Bien sûr, ces acteurs (pourtant très prolixes en terme de communication et de marketing) s’en cachent bien, et il est souvent difficile de connaître la position géographique exacte où les données sont hébergées. Les entreprises doivent alors se questionner sur les problématiques légales, juridiques et de confidentialité. En effet, les lois qui s’appliquent ne sont pas celles du pays de résidence de l’entreprise, mais bien celle du pays où sont hébergées physiquement les données. Il faut savoir que la confidentialité des échanges est appréciée différemment d’un pays à un autre selon leur législation.

Le cas de la France

En France, des autorités administratives indépendantes comme l’ARCEP (Autorité de régulation des communications électroniques et des postes) et la CNIL (Commission nationale de l'informatique et des libertés) s’assurent que les différentes lois et décrets, relatifs entre autres aux échanges électroniques, soient bien respectés.

Dans la loi française, un email est considéré comme une correspondance. La loi garantie le secret de la correspondance privé et uniquement l’autorité publique peut y porter atteinte. La divulgation ou la consultation par un tiers est donc absolument interdite depuis cette loi 91-646 du 10 Juillet 1990. La loi 86-1067 du 30 septembre 1986 précise qu’une correspondance est considérée comme privé dès lors que le message est exclusivement adressé à une ou plusieurs personnes, physiques ou morales, déterminées et individualisées.

En entreprise, les emails sont considérés comme un outil de travail et la plupart des employeurs le rappellent d’ailleurs dans les règlements intérieurs ou les conventions collectives. Cependant, l’employeur n’est pas autorisé à surveiller et vérifier si l’employé utilise exclusivement l’email dans un cadre professionnel, à moins qu’il ne soit préalablement prévenu. Ce dispositif de surveillance sera validé ou non par le Comité d’Entreprise qui jugera de sa pertinence. Enfin, la surveillance doit être signalée à la CNIL. Ceci n’empêche pas l’employeur de mettre en place des dispositifs ou services de filtrage et de protection de son système informatique : Mentions Légales automatiques, filtrage Antivirus, filtrage antispam, etc…

Cependant, même dans ce cas, l’employeur a interdiction de consulter des messages identifiés comme personnel, qu’ils soient émis ou reçu par le salarié. Il est donc important que l’employé saisisse la mention « personnel » dans l’objet de ces messages, ainsi que ses correspondants.

Depuis le 1er Mars 2011, la loi pour la confiance dans l'économie numérique (LCEN) oblige les fournisseurs d’accès (FAI), les hébergeurs et les éditeurs de services sur Internet à conserver pendant 1 an l’ensemble des informations de connexion (identifiants, mot de passe, dates des échanges, etc.) Les données seront uniquement accessibles après une requête des autorités judiciaires, de la gendarmerie ou de la police national dans le cadre de la lutte anti-terroriste.

Un des autres enjeux juridiques à ne pas négliger avant de s’engager, est la récupération des données ou désigné par « clause de réversibilité ». A la fin de votre contrat, que devienne les données ? Comment les récupérer ? Sous quel format ? Malheureusement, les fournisseurs ne prévoient pas toujours les clauses correspondantes. Aussi, avant de s’engager, le client doit s’assurer que le contrat décrit précisément le rôle de chaque acteur (accès et format des données, collaboration à la migration, prix éventuelle de la réversibilité, etc.) pour ainsi éviter les complications et garantir la pérennité de l’information et la continuité de l’activité de l’entreprise.

Quid de la législation à l’étranger

Les lois françaises sont parmi les plus favorables au respect des correspondances et à la protection des données. Seule une société française, possédant ses centres de traitement en France (c’est le cas de Secuserve), peut garantir une confidentialité totale à ses clients et un respect complet des textes législatifs français et européens.Quid de la législation à l’étranger ?

Comme expliqué précédemment, si les données ne sont pas hébergées en France, ou si le fournisseur n’est pas français, la CNIL, l’ARCEP et la LCEN n’ont pas les mêmes champs d’action.

Le cas Google illustre bien la différence de perception de la vie privée entre les lois françaises et américaines. En France, l’interception de message n’est licite qu’après la décision d’une autorité judiciaire compétente. Afin d’afficher des publicités toujours plus ciblés, Google analyse le contenu des messages mais peut également les dupliquer et les stocker (même si les données sont effacées du compte), comme le précise sa charte de « protection » de la vie privée. Bien que Google précise qu’aucun humain ne lit les courriels et que l’interception est réalisée par des robots, aux yeux de la loi française, il s’agit d’une interception de correspondance privée, normalement sanctionnée par le code pénal. Malheureusement, l’intérêt économique des informations prend le dessus au détriment des droits individuels et fondamentaux de chacun. L’utilisateur partage la propriété de ses données avec une multinationale qui a pour seul objectif la monétisation maximale de ces informations personnelles.

Autre histoire, autre différence de point de vue : à la base créé pour la lutte anti-terroriste, le Patriot Act permet au gouvernement américain et à ses organismes d’avoir accès à l’ensemble des données utilisateurs. Ceci est possible sans mandat et donc sans même la suspicion d’appartenance à un groupe terroriste.

Cette loi bien qu’américaine, a été également étendue à l’Europe et à l’ensemble du monde, pour les sociétés américaines (Google, Microsoft, IBM, etc…). Depuis 2005, même si les données sont situées physiquement en Europe, les fournisseurs de service de cloud computing doivent transmettre l’ensemble des données des utilisateurs concernés. Cette information a été publiquement confirmée par un des responsables Office365 (incluant entre autres Microsoft Exchange Online), Monsieur Gordon Frazer de Microsoft Royaume-Uni. Récemment, l'allemand Deutsche Telekom a demandé à l’Union Européen d’agir en délivrant des certificats qui garantissent la confidentialité des données dans le cloud. Les Pays-Bas quant à eux envisagent une loi interdisant aux administrations de souscrire à un service Cloud non-européen. Deux initiatives qui visent directement le Patrioct Act.

En optant pour un fournisseur de service américain, une entreprise ou une administration française s’expose alors à un haut risque d’espionnage et de diffusion incontrôlable de ses données. De plus, une entreprise ou un freelance qui a des accords de confidentialité avec ses clients, peut être tenu responsable de ne pas avoir pris suffisamment de précaution si l’information a été consultée par un tiers.

Pour choisir un fournisseur, quels sont les bonnes questions à se poser ?

Le passage au Cloud Computing permet à de nombreuses entreprises d’accéder à des ressources auparavant hors d’atteinte et ainsi augmenter leur productivité de manière significative. Cependant, avant de signer le contrat, il est important de se poser les bonnes questions afin d’éviter toutes mauvaises surprises. 

Voici donc 5 questions essentielles avant de « déposer » ses données chez un fournisseur de service externalisé :

  • Où sont hébergées les données ?
  • Restez-vous propriétaire des données ?
  • À quelles autorités judiciaires vos données sont-elles assujetties ?
  • Combien de temps vos données sont sauvegardées ?
  • Pouvez-vous facilement récupérer vos données ?

Comme le souligne Philippe Scoffoni, spécialiste français des logiciels open-source, sur son blog (http://philippe.scoffoni.net/), en informatique comme dans l’alimentation, il est conseillé de privilégier quand c’est possible une solution locale. Premièrement, parce que la juridiction est semblable et un recours de votre part pourra toujours être entendu par les autorités judiciaires. De plus, la langue et la proximité de vos fournisseurs humanisent les échanges et facilitent la collaboration. Enfin, choisir de travailler avec un fournisseur local, c’est aussi contribué au développement économique de votre région et de votre pays.

Stéphane Bouché, Président de SECUSERVE de conclure : « J’ai toujours été étonné de voir notamment des Collectivités Territoriales et autres Administrations françaises confier leurs services de filtrage ou de messagerie à des sociétés informatiques américaines de renom, sans jamais considérer ni les aspects juridiques, ni l’impact économique local et national de ces choix. Il est évident, tant en termes de proximité, d’innovation, de réactivité, de confidentialité et de réductions des coûts que les acteurs du cloud français en particulier et européens en général, devraient très rapidement jouer un rôle beaucoup plus significatif dans la rigueur budgétaire à venir. La société SECUSERVE, entre autres, est en tout cas prête à accompagner les entreprises et organisations françaises et européennes les plus exigeantes.»

Nos actus

  • « Les interfaces d’administration du service e-securemail disposent d’une richesse fonctionnelle et d’une granularité adéquate, qui nous a permis des prendre en charge nos spécificités facilement, sans baisser le niveau de sécurité et la qualité de service. »

    Mr FARRUGIA,
    Louis Dreyfus Armateurs

Clients

  • Louis Dreyfus
  • Groupe Moniteur
  • Versailles
  • Aura