Now Reading
Question éclair n°6 : encadrement européen du Cloud computing ?
0

Question éclair n°6 : encadrement européen du Cloud computing ?

by Cloud Guru17 juin 2013

Par Olivier ITEANU,
Avocat à la Cour d’Appel de Paris,
Chargé d’enseignement à l’Université de Paris I

On dit que l’Europe est en passe d’encadrer le Cloud computing. Y a-t-il un projet en cours ?

Le constat est le suivant. Une directive du 24 octobre 1995 « Relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » représente le seul cadre juridique européen en matière de protection des données à caractère personnel mais elle ne correspond plus à l’environnement numérique actuel.
Elle est notamment obsolète face au phénomène d’internationalisation des échanges de données qui sont désormais mondialisés en particulier par le recours, de plus en plus fréquent, au Cloud coumputing. Ainsi, le 25 janvier 2012, la Commission a proposé un nouveau cadre juridique, qui serait décliné en un volet civil (Règlement) et un volet pénal (Directive).
A ce jour, le volet civil, à savoir le projet de Règlement, est le plus avancé. Il traite des thèmes suivants, notamment :
– Création d’un Comité européen de la protection des données et d’Autorités de contrôle indépendantes dans chaque Etat membre. La Cnil française n’est cependant pas en sdanger, elle cohabiterait avec ces nouvelles institutions.
– La promotion du droit à l’oubli numérique, souvent demandé, et du droit à la portabilité des données qui impacterait directement le Cloud computing, car, au final, cela revient à donner aux utilisateurs le droit de changer de prestataire Cloud plus facilement.
– L’encadrement du profilage on line. Il s’agit de limiter le tracking sur les réseaux qui prend une ampleur parfois inquiétante.
– L’obligation pour les responsables de traitement de notifier les violations de données à l’Autorité de contrôle et à la personne concernée (sous conditions). Cette obligation existe en France depuis Août 2011. Il semblerait qu’elle serait dans le Règlement généralisée et renforcée.
– L’encadrement des transferts de données hors UE.

Le calendrier de la mise en place de ce dispositif légal est difficile à établir : le projet a été soumis à la Commission Libertés civiles, justice et affaires intérieures du Parlement européen, pour examen. Le 8 janvier 2013, son rapporteur, Jan Philipp Albrecht, a publié un « Projet de rapport sur la proposition de règlement du Parlement Européen et du Conseil » qui propose pas moins de 350 amendements au projet de règlement. Le principal point d’achoppement concerne le traitement de données intervenant dans le cadre des activités d’un responsable de traitement ou d’un sous-traitant établi dans plusieurs États membres ou lorsque des données personnelles traitées concernent des résidents de plusieurs États membres.

Le projet de règlement de la Commission propose la mise en place d’un guichet unique : sera ainsi seule compétente l’autorité du pays dans lequel l’entreprise en cause a son établissement principal.
Le rapporteur propose quant à lui de désigner comme point de contact unique une autorité chef de file, qui ne dispose pas de compétences exclusives pour traiter des plaintes introduites par les citoyens, mais dont le rôle est d’instruire ces situations transfrontalières au nom et pour le compte des autorités compétentes et d’assurer leur coordination avant de prendre toute décision.
L’examen du projet de règlement de la Commission devrait connaître un certain nombre de rebondissements à l’avenir, de nombreuses commissions devant encore donner leurs avis sur ce texte. Une fois adoptés à l’issue des débats, le règlement et la directive devraient ensuite entrer en vigueur deux ans après leur adoption ; c’est-à-dire peu probablement avant 2015.

{lang: 'fr'}
About The Author
Cloud Guru

Vous souhaitez réagir sur cet article ?