Cloud computing : la CNIL se prononce

Publié le par - 2356 vues

Le 25 juin 2012, la CNIL a publié la synthèse des réponses à la consultation publique sur le cloud computing, qui avait été ouverte entre octobre et décembre 2011, ainsi qu’une série de recommandations à destination des entreprises qui envisagent de souscrire à des services de cloud computing. Première analyse.

Le cloud computing peut se définir comme un mécanisme de sous-traitance informatique, comportant des caractères qui n’existaient pas dans l’externalisation informatique jusqu’à présent, en particulier : un service rendu au client sur base de ressources et d’équipements dont le client peut ignorer la localisation précise (le fameux nuage) ; et un service fourni et facturé à la demande, capable de s’adapter immédiatement à l’évolution des besoins du client.

Bien qu’il ne se limite pas aux questions de protection des données personnelles (voy. par exemple l’affaire Mégaupload : https://www.droit-technologie.org/actuality-1455/l-affaire-megaupload-mettra-t-elle-en-peril-le-modele-du-cloud.html), les instances de protection des données personnelles se sont activement saisies du phénomène du cloud computing car les questions de vie privée y sont « particulièrement délicates » selon les termes de la CNIL. Dans cette tendance, les autorités européennes lient étroitement la modernisation de la réglementation relative à la protection des données personnelles, avec l’essor des réseaux sociaux et du cloud computing (voy. à ce sujet le projet de règlement européen publié le 25 janvier 2012 et destiné à remplacer la directive actuelle de 1995 : Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) du 25 janvier 2012 http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf).

La CNIL avait mené fin 2011 une consultation publique à l’occasion de laquelle elle avait déjà donné les grandes orientations de ses travaux : définition, qualification des parties de responsable de traitement ou sous-traitant, droit applicable, encadrement des transferts internationaux de données, sécurité des données. Elle avait livré dans le document de consultation certaines pistes d’analyse. Il ressort de l’analyse complète des 49 réponses reçues, la CNIL a élaboré une synthèse et des recommandations.

Sur la définition : une diversité d’offres qui ne génèrent pas toutes les mêmes questions

La CNIL fait remarquer avec raison que, avant même l’apparition du cloud computing en tant que tel, le réseau Internet était fréquemment désigné ou représenté comme un nuage. Le mécanisme de cloud computing, issu de cette représentation, désigne aujourd’hui des services informatiques qui recouvrent des prestations variées (services, plateforme, infrastructures pour reprendre une typologie habituellement rencontrée), selon des modalités diverses (cloud public, privé, hybride) et surtout dans le cadre d’une relation contractuelle plus ou moins standard et selon des clauses contractuelles plus ou moins négociables.

Sur la qualification des parties : la qualification de responsable de traitement du prestataire de cloud ne doit pas être exclue

La réglementation sur les données personnelles définit le responsable du traitement comme celui qui en détermine les moyens et les finalités – en d’autres termes, le maître et responsable du fichier. Le sous-traitant ne peut agir que sur instructions du responsable du traitement. Vu cette absence de maîtrise, il ne supporte pas de responsabilité réglementaire et jusqu’à présent les textes ne lui appliquent pas d’obligation détaillée – ce que fait le projet de règlement européen.

La CNIL avait initialement proposé de présumer la qualité de sous-traitant du prestataire de cloud, ce qui s’accorde bien avec le renforcement à venir des obligations des sous-traitants.

L’analyse des contributions montre que, là encore, l’analyse ne peut être générale. La qualification de sous-traitance pourrait être inadaptée en présence de prestataires de cloud qui ont un fort degré de maîtrise sur les données, maîtrise qui est alors perdue pour le client. Dans ces situations, le prestataire de cloud devrait être qualifié de responsable de traitement, conjointement avec le client voire responsable autonome d’un traitement différent de celui du client, s’il en modifie la finalité. Il devrait alors se conformer à toutes les obligations d’un responsable de traitement.

Sur la loi applicable : le ciblage

La réglementation relative aux données personnelles est d’application impérative, et ne peut être écartée par contrat. Cependant, il convient d’abord de déterminer à quels traitement la réglementation s’applique, en présence de traitements internationaux.

La consultation de la CNIL reprend le critère présent dans le projet de règlement européen, à savoir la loi du territoire que le responsable du traitement cible. Malgré son utilisation répandue pour régler les conflits de loi et de juridictions dans les espaces virtuels, ce critère est d’utilisation malaisée dans sa mise en œuvre. Il repose en général sur une série d’indices qui ne sont pas toujours déterminants (langue, devise, etc.) et peut être complété par des nuances aussi incertaines (attitude « active » ou « passive » dans le ciblage d’un territoire, …).

La CNIL n’aborde pas ici la question de l’application du Patriot Act, mais en tant qu’élément à prendre en compte dans l’analyse de risque sur la sécurité du traitement.

Sur les transferts internationaux de données : vers des règles d’entreprise spécifiques

La CNIL rappelle l’existence de solutions techniques permettant d’empêcher le transfert de données dans des pays prédéterminés et la nécessité de se conformer aux dispositions impératives telles que signature de clauses contractuelles, règles d’entreprise contraignantes (ou « binidng corporate rules », BCR). L’adoption de BCR serait une hypothèse jugée pertinente par les contributions étudiées par la CNIL et pourraient donc être développées à l’avenir.

Sur la sécurité : une question contractuelle

Selon la CNIL, la sécurité doit être traitée par contrat. La Commission livre une liste de clauses qui devraient figurer dans les contrats de cloud telles que les clauses de responsabilité en cas de perte de données, les engagements de qualité de service, – la limite de l’exercice étant reconnue puisque toutes les offres cloud ne permettent pas une négociation contractuelle effective entre le client et le prestataire de cloud.

Les recommandations de la CNIL pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Les recommandations de la CNIL visent à permettre aux entreprises de disposer d’une grille de référence au moment de l’étude d’offres de cloud computing. Elles comprennent :
– Une liste des éléments à auditer en interne avant de souscrire à une offre cloud : identifier les données à mettre dans le cloud, le niveau de sécurité nécessaire pour le traitement en cause, les caractéristiques de la prestation de cloud adaptées au traitement, les prestataires offrant des garanties suffisantes, etc.
– Un rappel des éléments essentiels à examiner : conformité à la réglementation européenne, garanties, localisation et transferts, sécurité, etc.
– Une présentation du suivi à assurer en cours d’exécution du contrat, notamment pour tester la solution au regard des évolutions techniques, contractuelles et réglementaires présentes sur le marché,
– Des exemples de clauses de base permettant d’assurer un socle contractuel pour négocier un contrat de cloud computing.

La question majeure reste de déterminer un levier de négociation – où l’on retombe sur les questions classiques de négociation contractuelle… gageons cependant que ce travail d’analyse et de pédagogie permettra de diffuser une culture générale des données personnelles et de la sécurité dans les entreprises, sujets qui ne peuvent que prendre une importance primordiale dans les années à venir.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK