Now Reading
La protection des données personnelles dans le Cloud
0

La protection des données personnelles dans le Cloud

by Cloud Guru3 octobre 2012

Etienne Wery, Avocat à Bruxelles et Paris, revient pour le site « Droit et technologie » sur une recommandation du 1er juillet dernier du groupe 29. Ce groupé, créé par la directive 95/46, rassemble les autorités de contrôle des données personnelles de tous les pays membres de l’UE.
Extraits :

(…) Le groupe se rassemble régulièrement afin de coordonner l’action des autorités au sein de l’UE, et il en profite pour adopter des textes sur des sujets d’actualité. Cet été, ce fut au tour du cloud computing de passer sous les fourches caudines du groupe, d’où une recommandation du 1er juillet que nous passons rapidement en revue. (…)

… le risque de perte de contrôle sur les données est mis en exergue, tant il est vrai que l’utilisateur qui accepte de passer en mode cloud perd tout contrôle et ignore même parfois où ses données sont transférées, stockées et traitées. De même, celui qui propose aux utilisateurs en service en mode cloud n’est pas toujours lui-même en mesure d’identifier les flux de données au point qu’il « devient plus difficile (…) de déployer les mesures techniques et organisationnelles nécessaires pour assurer la disponibilité, l’intégrité, la confidentialité, la transparence, l’isolement et la portabilité des données. » (CNIL).

Dans son analyse de la recommandation, la CNIL poursuit : « Une information insuffisante sur les modalités du traitement des données par un service de cloud pose également un risque important. En l’absence de transparence, il peut être difficile pour le client de remplir ses obligations en tant que responsable du traitement. Il est, par exemple, possible que celui-ci ne soit pas au courant que le traitement des données inclut plusieurs responsables du traitement et sous-traitants ou que les données sont transférées en dehors de l’EEE dans un pays n’assurant pas un niveau de protection adéquat. »

Un exemple concret : les factures dématérialisées fiscalement sont largement plus utilisées qu’auparavant grâce à l’assouplissement des règles de l’ancienne directive sur le sujet, mais il reste qu’elles doivent être stockées dans l’UE ou au moins dans un pays avec lequel il existe un accord de coopération. L’hébergement en cloud permet-il toujours de le garantir ? L’expérience montre que non.

La perte de contrôle s’exprime de différentes manières :

  • manque de disponibilité suite à des problèmes d’interopérabilité (…)
  • Perte d’intégrité liée au partage des ressources (…)
  • Perte de confidentialité. Risque d’un dévoilement de données privées par exemple à cause de lois, de contraintes liées à d’autres pays
  • Manque d’outils, de mesures et de reporting pour vérifier le respect de l’intégrité.

Autre difficulté relevée, celle consistant à mettre sur les intervenants techniques la bonne étiquette juridique, d’autant que la chaine d’intervenants techniques peut-être très longue. Qui est alors le « sous-traitant », le « responsable du traitement », le « client » (l’entité qui fait appel au cloud et propose un service en mode cloud à l’utilisateur final qui reste la « personne concernée »). (…)

Egalement, le groupe 29 se penche sur les transferts internationaux et particulièrement le Safe Harbor tant il est vrai que les USA se taillent la parti du lion en matière de cloud.
Pour rappel : « The United States of America is not on the list of countries ensuring an adequate level of protection (as of August 2011, the list is limited to Andorra, Argentina, Australia, Canada, Switzerland, Faeroe Islands, Guernsey, State of Israel, and Isle of Man). Because the commercial, political and personal transatlantic relationship is so crucial, it was necessary to find a solution. An ad hoc legal framework has been adopted for specific situation such as the transfer of Air Passenger Name Record (PNR) data, but it does not provide a general solution.

Businesses have three options to waive the prohibition: they may (i) adopt the Safe Harbor Principles system, (ii) sign ad hoc contracts with the recipient (model clauses), or (iii) enforce binding corporate rules at a global level (BCR).

First and third solutions ensure more freedom for the processor because the latter is deemed to comply with European standards as far as privacy is concerned and is, therefore, largely in the same situation as a European business, including for the reutilization of the data. On the contrary, the second solution is easy to put in place but the processor is bind by the contract and may not do anything else than what is provided in the contract. (Note: The Safe Harbor Principles system is specific to American businesses, while second and third solutions are opened to any data controller located outside the EU). » (…)

Pour en savoir plus :
> l’article du site « droit et technologie »

{lang: 'fr'}
About The Author
Cloud Guru

Vous souhaitez réagir sur cet article ?