Cloud Computing : l’externalisation rencontre les données personnelles

Publié le 11 juillet 2012 par Gerardhaas

Sujet d’actualité, le Cloud Computing est au cœur des discussions de nombreuses entreprises qui y ont recours ou qui y réfléchissent.

Sur le plan terminologique

Le Cloud Computing est une forme évoluée d’externalisation, dans laquelle le client ou l’utilisateur dispose d’un service en ligne dont l’administration et la gestion opérationnelle sont effectuées par un sous-traitant.

Le 25 juin 2012 la CNIL a proposé sa définition du Cloud Computing : « le déport vers « le nuage Internet » de données et d’applications qui auparavant étaient situées sur les serveurs et ordinateurs des sociétés, des organisations ou des particuliers. Le modèle économique associé s’apparente à la location de ressources informatiques avec une facturation en fonction de la consommation ».

Sur le plan technique

Le Cloud Computing peut être réalisé via différents services tels que Iaas (Infrastructure as a service), Saas (Software as a service), ou Paas (Plateforme as a service).

Sur le plan juridique

Les choses se compliquent. En effet, dépassé par une pratique internationalement répandue, le droit français, et notamment la loi Informatique et libertés, peine à s’appliquer.

L’article 5 de la loi Informatique et libertés pose les critères deux critères non cumulatifs d’applicabilité de la loi Informatique et libertés, soit le responsable du traitement :

  • est établi en France. Autrement dit, le responsable du traitement doit exercer une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique
  • a recourt à des moyens de traitement en France. Autrement dit il traite les données en France, ne sont donc pas concernés les traitements à des fins exclusives de transit.

Dans le cas où la loi française est bien déterminée comme applicable, il convient de préciser que les données traitées à partir de la France, dans le cadre du Cloud Computing traversent les frontières non seulement de la France mais également de l’Europe dans la majorité des cas.

Il fallait donc encadrer ces flux transfrontières de données à caractère personnel. C’est dans ce contexte que la Commission Européenne a adopté, par décision du 5 février 2010, de nouvelles clauses contractuelles types pour encadrer juridiquement au mieux le recours croissant à l’externalisation et au « Cloud Computing » et ainsi les transferts depuis un sous-traitant en Europe vers un sous-traitant localisé dans un pays dont la législation n’assure pas un niveau de protection adéquate des données au regard du droit européen.

Mais le problème qui survient régulièrement est la détermination des pays dans lesquels les données sont transférées. En effet, le prestataire de Cloud Computing lui-même ne sait pas toujours où voyagent les données à bord du « nuage informatique ».

Afin de comprendre les enjeux et de garantir au mieux les intérêts des sociétés confiant leurs données à des prestataires de Cloud Computing, la CNIL a lancé une consultation et a notamment dégagé un nouveau grand principe : l’instauration de BCR pour les prestataires de Cloud Computing.

Les BCR sont les « Binding Corporate Rules » ou « Règles internes » spéciales pour les prestataires de Cloud Computing. Encore à l’état de projet, ces « BCR Prestataire » ont vocation à rassurer les clients de ces prestataires sur leur politique de gestion des données dans le respect de la loi Informatique et libertés et des standards européens de protection des données.

Cette solution aura l’avantage de recentrer la responsabilité des données sur le prestataire qui sera alors garant de sa technologie. L’inconvénient est qu’il sera difficile pour le prestataire de garantir pleinement une technologie de Cloud Computing…

En effet, on observe que de nombreuses inquiétudes planent sur le « Cloud Computing » que ce soit en termes de sécurité des données ou même de performance. Par exemple, l’ « European Network and Information Security Agency » a décelé pas moins de 24 risques liés au « Cloud Computing » qu’ils soient d’ordre technique, légal ou en terme de gouvernance.

Les régulateurs cherchent donc à encadrer précisément le rôle des sous-traitants au regard des pratiques du « Cloud Computing ». En ce sens, la CNIL a rendu un avis sur le « Cloud Computing » le 25 juin 2012 et les institutions européennes poursuivent leurs investigations en la matière.

A ce jour, il est recommandé de mettre en place les clauses contractuelles cohérentes avec ces nouvelles recommandations et une veille juridique sur ces problématiques afin d’être avisé des bonnes pratiques et des obligations légales en matière de Cloud Computing.

Pour tout renseignement à ce sujet, vous pouvez nous contacter en cliquant ici.