Le commissaire écossais à la biométrie a adressé à la police écossaise une note d’information, exigeant que la force démontre que son déploiement d’un système de preuve numérique basé sur le cloud est conforme aux règles de protection des données spécifiques à l’application de la loi du Royaume-Uni.
Début avril 2023, Computer Weekly a révélé que le service Digital Evidence Sharing Capability (DESC) du gouvernement écossais – sous-traité au fournisseur de vidéos portées sur le corps Axon pour la livraison et hébergé sur Microsoft Azure – est actuellement en phase pilote malgré les principales préoccupations en matière de protection des données soulevées par chiens de garde sur la façon dont l’utilisation d’Azure “ne serait pas légale”.
Selon une évaluation de l’impact sur la protection des données (DPIA) de l’autorité de police sottish (SPA) – qui note que le système traitera des informations génétiques et biométriques – les risques pour les droits des personnes concernées incluent l’accès du gouvernement américain via le Cloud Act, qui donne effectivement l’accès du gouvernement américain à toutes les données, stockées n’importe où, par des sociétés américaines dans le cloud ; l’utilisation par Microsoft de contrats génériques plutôt que spécifiques ; et l’incapacité d’Axon à se conformer aux clauses contractuelles relatives à la souveraineté des données.
Il est également à craindre que le transfert de données personnelles vers les États-Unis, une juridiction dont les normes de protection des données sont manifestement inférieures, puisse à son tour avoir un impact négatif sur les droits des personnes à la rectification, à l’effacement et à ne pas être soumis à une prise de décision automatisée.
Alors que le SPA DPIA a noté que le risque d’accès du gouvernement américain via le Cloud Act était “peu probable… les retombées seraient cataclysmiques”.
À la suite des reportages de Computer Weekly sur le service DESC, le commissaire écossais à la biométrie Brian Plastow a signifié à la police écossaise (le responsable du traitement des données du système) une note d’information le 22 avril 2023, qui donne la force jusqu’à la mi-juin pour fournir des informations sur leur conformité à la protection des données.
La note d’information elle-même fait directement référence à la couverture DESC de Computer Weekly. «Je suis maintenant suffisamment préoccupé par les implications potentielles du DESC que, conformément aux dispositions de l’article 16 de la loi de 2020 sur le commissaire écossais à la biométrie, je dois maintenant exiger de la police écossaise qu’elle me fournisse des informations afin que je puisse déterminer si la police écossaise se conforme avec les éléments de protection des données de mon code de pratique statutaire », a-t-il écrit dans la mise en demeure.
Plastow a également décrit les informations spécifiques qu’il aimerait recevoir, notamment si des transferts de données biométriques ont eu lieu ; quels types ont été transférés ; en quels volumes; et dans quel pays les données sont hébergées.
“Si des données biométriques ont été échangées dans le cadre du DESC, veuillez confirmer si Police Scotland respecte pleinement la partie 3 de la loi britannique sur la protection des données de 2018 relative au traitement des forces de l’ordre et le principe 10 du code de pratique du commissaire écossais à la biométrie.” a-t-il déclaré, faisant référence à un code statutaire qui est entré en vigueur en Écosse le 16 novembre 2022 après l’approbation du gouvernement écossais.
Le principe 10 du code concerne spécifiquement la promotion des technologies de protection de la vie privée et note que la manière dont les données biométriques sont acquises, conservées, utilisées et détruites doit garantir que les données sont protégées contre tout accès ou divulgation non autorisés.
« Pour garantir le respect du code de pratique, la police écossaise doit démontrer que toute utilisation d’une infrastructure cloud à grande échelle impliquant des données biométriques est conforme aux règles de protection des données spécifiques aux forces de l’ordre », a déclaré Plastow. “La meilleure façon d’y parvenir serait d’avoir une plate-forme d’hébergement entièrement située au Royaume-Uni et qui réponde à toutes les exigences de la partie 3 de la loi sur la protection des données de 2018 sur le traitement à des fins répressives.
“Si ce n’est pas le cas avec DESC, alors pour s’assurer que la confiance du public est maintenue, Police Scotland doit expliquer aux citoyens ce que l’utilisation du cloud signifie pour leurs données personnelles. Cela signifie être ouvert avec les citoyens sur le pays dans lequel leurs données seront stockées et, si la réponse à cette question n’est pas le Royaume-Uni, expliquer les risques évidents que ces données extrêmement sensibles soient ensuite consultées de manière judiciaire ou malveillante.
Répondant à l’avis, un porte-parole de Police Scotland a déclaré: «La police écossaise prend la gestion et la sécurité des données très au sérieux et travaille aux côtés de partenaires de la justice pénale pour garantir que des processus solides, efficaces et sécurisés sont en place pour soutenir le développement du système DESC.
“Toutes les preuves numériques sur le système DESC à Dundee sont conservées en toute sécurité et ne sont accessibles qu’au personnel autorisé, comme les policiers, [Crown Office and Procurator Fiscal Service] COPFS et agents de défense. L’accès à ces informations est entièrement audité et surveillé, et des processus sont en place pour garantir que tous les risques liés aux données sont rapidement identifiés, évalués et atténués. Nous continuerons à collaborer avec le commissaire à la biométrie pour fournir l’assurance requise concernant la protection et la sécurité des données au fur et à mesure que le projet pilote à Dundee progresse.
Absence d’approbation réglementaire
Dans le cadre de l’avis, Plastow demande également des informations sur les discussions qui ont eu lieu avec le Bureau du commissaire à l’information (ICO) sur les questions de transferts internationaux et de souveraineté numérique, et pour que Police Scotland confirme si tous les problèmes ont été résolus à la satisfaction de l’ICO.
Computer Weekly a précédemment interrogé l’ICO sur la prévalence des fournisseurs de cloud américains dans le secteur britannique de la justice pénale et sur la compatibilité de leur utilisation avec les règles britanniques de protection des données, dans le cadre de sa couverture du système DESC. Le bureau de presse de l’ICO n’a pas été en mesure de répondre et a renvoyé les questions de Computer Weekly à l’équipe FOI pour obtenir des réponses supplémentaires.
Le 24 avril, l’équipe ICO FOI a répondu que bien qu’elle ait obtenu des conseils juridiques sur la question, l’affaire est en cours et qu’elle n’a pas encore pris de position officielle sur la question. L’avis lui-même a cependant été retenu, car il est soumis au secret professionnel juridique.
L’ICO a également confirmé qu’elle n’avait “jamais donné d’approbation réglementaire formelle pour l’utilisation de ces systèmes dans un contexte d’application de la loi”.
Cependant, la correspondance du SPA avec l’ICO – également divulguée sous FOI – a révélé que le régulateur était largement d’accord avec ses évaluations des risques, notant que le soutien technique des États-Unis ou l’accès du gouvernement américain via le Cloud Act constituerait un transfert international de données.
“Il est peu probable que ces transferts remplissent les conditions d’un transfert conforme”, a-t-il déclaré. “Pour éviter une violation potentielle de la loi sur la protection des données, nous vous recommandons vivement de vous assurer que les données personnelles restent au Royaume-Uni en recherchant un support technique basé au Royaume-Uni.”
Consultation préalable
Dans une correspondance séparée avec Police Scotland (à nouveau divulguée sous FOI), l’ICO a noté: “Si vous avez un risque résiduel élevé restant dans votre DPIA qui ne peut pas être atténué, une consultation préalable avec l’ICO est requise en vertu de l’article 65 DPA 2018. Vous ne pouvez pas aller avant le traitement jusqu’à ce que vous nous ayez consultés.
Alors que Plastow a salué les objectifs stratégiques du DESC de transformer numériquement la façon dont le système judiciaire écossais gère les preuves, il a confirmé que son bureau n’avait jamais été engagé ni par le gouvernement écossais ni par la police écossaise jusqu’à une réunion tenue le 29 novembre 2022.
Lors de cette réunion – que Plastow lui-même a demandée après avoir pris conscience que des données biométriques pouvaient être partagées via le système – le groupe consultatif professionnel du commissaire a demandé des assurances sur les questions de sécurité et de souveraineté des données à Police Scotland.
Après une présentation de la force, les membres du groupe consultatif ont demandé que les diapositives concernant le DESC soient diffusées par la suite. Cependant, le surintendant qui a fait la présentation a indiqué qu’il devrait examiner cette demande, car certaines des diapositives peuvent contenir des informations commercialement sensibles : “Le pack de diapositives n’a jamais été reçu.”
Un problème à l’échelle du Royaume-Uni
La publication du SPA DPIA remet également en question la légalité des déploiements de cloud par les organismes de police et de justice pénale dans toute l’Angleterre et le Pays de Galles, car une série d’autres DPIA vus par Computer Weekly n’évaluent pas les risques décrits par le SPA autour des fournisseurs de cloud américains, bien qu’ils soient régis par les mêmes règles de protection des données.
En décembre 2020, par exemple, une enquête de Computer Weekly a révélé que les forces de police britanniques traitaient illégalement les données personnelles de plus d’un million de personnes – y compris les données biométriques – sur le service de cloud public à grande échelle Microsoft 365, après avoir omis de se conformer aux principales exigences contractuelles et de traitement au sein de La troisième partie de la loi de 2018 sur la protection des données, telles que les restrictions imposées aux transferts internationaux.
En particulier, les DPIA divulguées à Computer Weekly via des demandes d’accès à l’information ont montré que les risques d’envoi de données personnelles sensibles à une entreprise basée aux États-Unis, qui est soumise au régime de surveillance intrusive du gouvernement américain, n’ont pas été correctement pris en compte.
Parmi les autres utilisations des fournisseurs de cloud américains dans l’ensemble du secteur de la justice pénale au Royaume-Uni, citons l’intégration de la base de données d’empreintes digitales Ident1 avec Amazon Web Services (AWS) sous la plateforme cloud Police Digital Services (PDS) Xchange ; et la plate-forme vidéo cloud de HM Courts and Tribunals, qui est en partie hébergée sur Azure et traite les informations biométriques sous la forme d’enregistrements audio et vidéo des procédures judiciaires.
À la mi-avril 2023, le commissaire à la biométrie pour l’Angleterre et le Pays de Galles, Fraser Sampson, a déclaré à Computer Weekly que les organes de police et de justice britanniques doivent être en mesure de prouver que leur utilisation croissante de l’infrastructure de cloud public est conforme aux règles de protection des données spécifiques à l’application de la loi.
Parlant spécifiquement de l’utilisation de fournisseurs de cloud public à grande échelle pour stocker et traiter des données biométriques sensibles, Sampson a déclaré que «la charge de la preuve incombe à la police en tant que [data] responsables du traitement, non seulement pour fournir les informations et les assurances, mais également pour démontrer que leur traitement est conforme à toutes les [data protection] exigences”. Il a ajouté que la charge de la preuve n’était pas seulement une question de droit, mais de gouvernance, de responsabilité et de renforcement de la confiance du public dans la manière dont la police utilise les nouvelles technologies.
Lors d’une comparution devant la commission mixte des droits de l’homme du Parlement en février 2023, Sampson a noté qu’il existait une «culture de non-suppression» dans la police britannique en ce qui concerne la conservation des informations biométriques.
