| Les deux révisions précédentes
Révision précédente
Prochaine révision
|
Révision précédente
|
personnels:securite:donnees [2018/03/12 11:38]
buteaud-jb [Stockage des données, où en est on?] |
personnels:securite:donnees [2018/06/07 14:32] (Version actuelle)
leblin-jy [3 - Tribunal compétent en cas de conflit] |
| ==== Stockage des données, où en est on? ==== | |
| |
| | ====== Stockage des données ====== |
| |
| La cours surprème des US se penche, à la demande de Microsoft, sur la juridiction appliquable aux données des sociétés américaine hébergées en Europe. Ce jugement attendu dans les mois qui viennent est particulièrement interessant parce qu'actuellement la juridiction géographique est appliquée. Si Microsoft perd et que la cours suprème indique que les données des sociétés US tombent sous le coup de la loi US, il sera donc désormais interdit pour les administrations européennes d'utiliser leurs services même si l'hébergement se fait en Europe. | Jusqu'à présent, l'Université n'avait pas de solution équivalente à Dropbox ou autre "drive". Il était difficile de limiter les usagers dans leur pratique de partage ou sauvegarde de données, bien que déjà, cela consistait en une "fuite" de données dont ils n'avaient pas forcément conscience. |
| |
| Un article sur le sujet (en anglais): | Mais aujourd'hui, **__plus rien ne justifie l'utilisation de solution de stockage externe__** : |
| |
| https://arstechnica.com/tech-policy/2018/02/microsoft-doesnt-want-to-turn-over-foreign-server-data-scotus-to-weigh-in/ | ==== 1 - Stockage à l'université de Nantes ==== |
| |
| ==== Directive des archives nationales et Google ==== | L’Université de Nantes propose un outil permettant le stockage et le travail collaboratif avec [[https://uncloud.univ-nantes.fr|Uncloud]]. C'est une alternative crédible aux solutions de stockages et de partages externes (Google drive, Dropbox, OneDrive, etc). |
| |
| Quant à la valeur de la directive d'avril 2016 relative aux archives nationale (Voir ci-aprés), nous avons recemment contacté Google dans le cadre du projet SDN "travail collaboratif" et leur réponse a été très claire: | <box #fff> |
| | {{:securite:dropbox-64-gray-no.png?nolink|}} {{:securite:google_drive_64-gray-no.png?nolink|}} {{:securite:skydrive-64-gray-no.png?nolink|}} {{:logos:fleche-d.png?nolink|}} [[https://uncloud.univ-nantes.fr/|{{:uncloud:uncloud-stocker-partager.png|}}]] |
| | </box> |
| |
| "Dans la mesure où l'interprétation des dispositions du code du patrimoine relative aux archives publiques par la note d'information du 5 avril 2016 concernant l'informatique en nuage (n°NOR 0001614354C) par les Ministères de l'intérieur et de la culture suscite de réelles inquiétudes sur la validité de votre utilisation de nos services, Google se voit en conséquence contraint de suspendre, pour l'instant, ses négociations contractuelles avec les établissements publics en France." | |
| |
| Nous savons désormais que cette directive s'applique bien à toutes les administrations et qu'elle a une valeur contraignante: Il est interdit aux administrations d'héberger leurs données à l'exterieur du territoire européen. Donc nos chercheurs ne sont pas autorisés à utiliser les services de cloud public pour leur usage professionnel. | ==== 2 - Responsabilités des usagers ==== |
| |
| | Si "aucune loi" n’interdit aujourd'hui (mais lire le paragraphe 4 ci-après) d'utiliser des outils à l’extérieur de l'Université pour des besoins professionnels (hébergés chez des sociétés privées), cependant les usagers ayant recours à ces services sont responsables des conditions d'utilisation de ces systèmes extérieurs (les lois locales ne garantissent pas la confidentialité des données). |
| |
| ==== Que dit la directive des archives nationales ==== | |
| "L'utilisation d'un cloud non souverain, qui, par définition, ne permet pas de garantir que l'ensemble des données sont stockées et traitées sur le territoire français, est donc illégale pour toute institution produisant des archives publiques, dont les collectivités territoriales, leurs groupements et leur établissements publics." | |
| |
| Elle est ici : http://www.xdemat.fr/wp-content/uploads/2016/06/cir_40948.pdf | ==== 3 - Tribunal compétent en cas de conflit ==== |
| |
| ==== Pour ce qui concerne l'Université de Nantes ==== | En particulier, il suffit de lire les conditions d'utilisation de tels systèmes : |
| Jusqu'à présent, l'université n'avait pas de solution équivalente à Dropbox ou autre "drive". Il était difficile de limiter les usagers dans leur pratique de partage ou sauvegarde de données, bien que déjà, cela consistait en une "fuite" de données dont ils n'avaient pas forcement conscience. | |
| | <box orange 75%|Extrait des conditions d'utilisation de Dropbox :> |
| | |
| | Nos droits |
| | |
| | Les Services sont protégés par la législation des États-Unis et d'autres pays relative |
| | au copyright et aux marques commerciales, ainsi que par d'autres textes législatifs. |
| | Ces Conditions ne vous accordent aucun droit, titre ou intérêt à l'égard des Services, |
| | du contenu d'autres personnes dans les Services, des marques commerciales, des logos |
| | et d'autres éléments d'identité de marque de Dropbox. |
| | |
| | |
| | Résolution des litiges |
| | |
| | ...\\ |
| | Instance judiciaire de règlement des conflits. Vous et Dropbox acceptez que toute |
| | procédure judiciaire concernant les présentes Conditions ou les Services soit déferrée |
| | aux tribunaux fédéraux ou aux tribunaux d'État du comté de San Francisco en Californie, |
| | sous réserve des dispositions contraignantes relatives à l'arbitrage énoncées ci-après. |
| | Vous et Dropbox acceptez de vous soumettre à la compétence de ces tribunaux. Si vous |
| | résidez dans un pays (par exemple, un pays membre de l'Union européenne) dont la |
| | législation autorise les consommateurs à porter des litiges devant leurs tribunaux |
| | régionaux, ce paragraphe n'a pas d'effet sur ces conditions. |
| | |
| | </box> |
| | |
| | |
| | De plus, l'utilisation de services d'hébergement proposés par des sociétés privées ayant leur maison mère aux USA, même ayant leur hébergement en France ou en Europe, donne de fait accès aux données aux instances gouvernementales américaines (NSA via le Patriot Act, DOJ via le Cloud Act: https://www.channelnews.fr/rgpd-contre-cloud-act-qui-est-le-plus-fort-81200). |
| | |
| | |
| | ==== 4 - Circulaire des Ministères de l'intérieur et de la culture ==== |
| | |
| | |
| | La [[https://francearchives.fr/circulaire/DGP_SIAF_2016_006|circulaire du 5 avril 2016 sur l’utilisation du cloud]] rappelle : |
| | |
| | <box red 75%> |
| | \\ |
| | //L'utilisation d'un cloud non souverain, qui, par définition, ne permet pas de garantir que l'ensemble des données sont stockées et traitées sur le territoire français, est donc illégale pour toute institution produisant des archives publiques, dont les collectivités territoriales, leurs groupements et leurs établissements publics.// |
| | \\ |
| | \\ |
| | </box> |
| | |
| | La réponse de Google quant à l'utilisation de leur service dans un cadre institutionnel est sans équivoque : |
| | |
| | <box orange 75%> |
| | \\ |
| | Dans la mesure où l'interprétation des dispositions du code du patrimoine relative aux archives publiques par la note d'information du 5 avril 2016 concernant l'informatique en nuage (n°NOR 0001614354C) par les Ministères de l'intérieur et de la culture suscite de réelles inquiétudes sur la validité de votre utilisation de nos services, Google se voit en conséquence contraint de suspendre, pour l'instant, ses négociations contractuelles avec les établissements publics en France. |
| | \\ |
| | \\ |
| | </box> |
| | |
| | |
| | De même, la cour suprême des US s'est penchée, à la demande de Microsoft, sur la juridiction applicable aux données des sociétés américaines hébergées en Europe. Ce jugement aurait été particulièrement intéressant parce qu'actuellement la juridiction géographique est appliquée. Malheureusement Microsoft a annoncé avoir retiré sa demande auprès de la cour suprême et désormais obéir aux injonctions du département de la justice US. **Cela remet ainsi en cause la juridiction géographique qui primait jusqu'à maintenant.** |
| | |
| | |
| | ===== Quelques références ===== |
| | |
| | * https://www.ssi.gouv.fr/uploads/IMG/pdf/2010-12-03_Guide_externalisation.pdf |
| | * https://francearchives.fr/circulaire/DGP_SIAF_2016_006 |
| | * [[https://arstechnica.com/tech-policy/2018/02/microsoft-doesnt-want-to-turn-over-foreign-server-data-scotus-to-weigh-in/|Article (en anglais) sur la décision à venir de la cours suprême américaine.]] |
| |
| Mais, aujourd'hui l’Université de Nantes propose un outil permettant le stockage et le travail collaboratif avec Uncloud. C'est une alternative crédible à Google drive ou dropbox. | |
| |
| |
| |
