Or, ce n’est pas parce que les données sont dans les nuages que la responsabilité en la matière doit s’évaporer dans les airs. Qui est responsable ? Le client qui stocke les données qu’il a lui-même collectées dans cet espace ? Ou le prestataire qui fournit justement ce service ?
Les entreprises doivent garder à l’esprit qu’elles agissent en tant que responsable de traitement puisqu’elles sont clientes du fournisseur de cloud, ce dernier n’étant en principe que le sous-traitant. Au responsable incombe donc toutes les obligations prévues par la loi : il doit choisir des prestataires garantissant la mise en place de mesures de sécurité et de confidentialité appropriées, et qui soient transparents sur les moyens employés pour exécuter leurs prestations (transfert de données à l’étranger, recours à des sous-traitants, politiques et mesures de sécurité…).
Cependant, l’entreprise cliente du service n’est pas toujours en mesure de donner des instructions et de contrôler l’effectivité des garanties de sécurité et de confidentialité apportées par les prestataires : ceci peut être dû notamment à des offres standardisées, non modifiables, et à des contrats d’adhésion qui ne laissent aucune possibilité de négociation. Dans ce cas, le fournisseur participe à la détermination des finalités et des moyens des traitements des données à caractère personnel(1).
Autrement dit, dans l’environnement du Cloud, le fournisseur n’est pas seulement un sous-traitant, en pratique il peut également agir en tant que responsable conjoint du traitement, engageant à ce titre sa responsabilité aux côtés de celle de son client.
Seule une analyse empirique peut déterminer, si au cas d’espèce, le fournisseur est considéré comme un simple sous-traitant ou comme responsable conjoint du traitement :
- si le prestataire se contente de fournir un espace de stockage, il agit comme un sous-traitant (ce qui est en général le cas des cloud privés, dédiés à un client donné) ;
- s’il propose des services additionnels (comme le cloud public, partagé et mutualisé entre plusieurs clients), il est alors considéré comme responsable conjoint du traitement.
Ces éléments sont à prendre en compte lorsqu’il s’agit d’aller dans les nuages…
Lire également notre billet :
———–
(1)Au sens de l’article 2 de la directive 95/46 et des articles 4 et 24 de la proposition de règlement européen