La réglementation «cloud» de la CSSF et ses règles quant à la localisation de données…
La circulaire «cloud» 17/654 de la CSSF a encadré l’externalisation IT basée sur une infrastructure cloud qui a traduit les grands principes réglementaires luxembourgeois et de l’UE en matière d’externalisation vers la réalité du cloud. La circulaire établit des règles à respecter tout au long du cycle de vie d’un déploiement cloud. Ces règles concernent la gouvernance, l’adoption d’une politique informatique comprenant les activités cloud et une description précise des rôles et responsabilités des intervenants, la gestion des risques (notamment l’obligation de procéder à une analyse des risques préalable), la continuité des activités ou encore la sécurité d’information et du contrôle du déploiement du cloud.
La circulaire «cloud» requiert que le contrat signé avec le Cloud Service Provider (CSP) prévoie une résilience dans l’UE. Le recours à un cloud qui s’appuie sur un ou plusieurs data centres en dehors de l’UE est permis pour autant qu’au moins un centre dans l’UE puisse assurer la continuité du service. Dans le cas d’un hébergement à l’étranger et a fortiori en dehors de l’UE, la circulaire «cloud» requiert que l’analyse des risques prenne en considération les «risques géopolitiques et les lois applicables dans la juridiction étrangère, […], notamment celles relatives à l'insolvabilité en cas de défaillance d'un fournisseur de services de cloud computing». De plus, les institutions financières ne doivent pas oublier que, pour tout déploiement cloud qui ne passe pas par une entité réglementée (par exemple, un PSF de support IT), il faut également obtenir un accord du client pour faire exception au secret professionnel de l’institution. En sollicitant l’accord de leurs clients, ces institutions devraient fournir des indications quant à la localisation des données.
… qui requiert aussi explicitement le respect du RGPD
La circulaire «cloud» requiert un déploiement du cloud en conformité avec le RGPD, y compris avec ses dispositions relatives aux transferts internationaux de données personnelles. À cet égard, il faut préciser que la notion de «transfert international» de données personnelles est très large et, dans un contexte «cloud», vise tant la situation où les données sont hébergées en dehors de l’UE que la situation où les données se trouvent en réalité dans l’UE, mais où le personnel du groupe du CSP (par exemple, AWS) a accès aux données à partir d’un pays en dehors de l’UE.
Dans l’arrêt Schrems II du 16 juillet 2020, la CJUE a invalidé la décision de la Commission européenne reconnaissant l’adéquation de la protection assurée par le Privacy Shield UE-États-Unis. Cette décision donnait une base légale aux transferts de données vers des tiers auto-certifiés situés aux US, dont la plupart étaient des CSP importants, comme AWS. La CJUE a maintenu la possibilité de recourir aux Clauses Contractuelles Types qui sont un mécanisme contractuel permettant de transférer des données vers des pays en dehors de l’Espace Économique Européen et qui ne font pas l’objet d’une décision d’adéquation de la Commission européenne. Toutefois, la CJUE a estimé que ces clauses doivent être assorties de «mesures supplémentaires» lorsque nécessaire pour protéger ces transferts contre des mesures de surveillance massive. Les recommandations sur ces «mesures supplémentaires» du Comité Européen de la Protection des Données mettent l’accent sur le fait que les CSP US ne doivent pas avoir accès à partir des US aux données lisibles (non chiffrées ou non pseudonymisées), y compris lorsqu’ils font la maintenance et le support pour une filiale dans l’UE et que le contrat cloud est conclu avec cette dernière. En effet, dans ce cas, le CSP peut, dans des cas exceptionnels, être contraint à répondre à des demandes d’autorités publiques US et ainsi à transférer des données aux US. Donc un recours au cloud reste possible lorsqu’une institution financière chiffre les données, et la clé de chiffrement reste sous son contrôle (et non sous contrôle du CSP).
Pour toute question sur le sujet, veuillez contacter notre expert