Données personnelles : quelle responsabilité dans le Cloud ?
En France, la protection des données personnelles est garantie par la loi dite informatique et liberté qui transpose une directive européenne datant de 1995. Aujourd’hui les avances technologiques sont telles que ce texte commence à montrer ses limites.
Le Cloud, en particulier le Cloud public, nous amène à repenser les qualifications de responsable de traitement et de sous-traitant dont les relations relèvent souvent du rapport de force entre client et prestataire.A la lumière de la lecture de l’article 3 I de la loi de 1978 modifiée, le responsable de traitement des données personnelles est la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. A ce titre, dans le Cloud, le client de service Cloud apparait à priori comme ce responsable de traitement. En collectant les données puis en décidant de les externaliser pour les confier à un prestataire, il agit en qualité de responsable de traitement. Cependant, cette qualification peut souvent s’éloigner de la réalité.
Qu’en est-il lorsque le client signe un contrat d’adhésion [1] dans lequel il ne peut pas fixer les moyens mis en œuvre pour le traitement ?
Le vrai Cloud [2]est plus complexe que ne laisse à penser l’image parfois trompeuse de la publicité. Pour cette raison la qualification du responsable de traitement est un des principaux problèmes que soulève le Cloud [3]. De cette qualification en découlent des obligations de prendre des mesures d’encadrement juridique et des mesures de sécurité afin de limiter les risques liés au type de service Cloud.
Si dans le Cloud privé le prestataire se contente de mettre à la disposition du client un espace de stockage et de suivre à la lettre des instructions de ce dernier, dans le Cloud public (surtout pour le PaaS et le SaaS) [4], où le prestataire détermine lui-même le fonctionnement des applications accessibles à l’ensemble de ses clients, la situation est loin d’être aussi évidente.
En confiant ses données au prestataire de Cloud public, le responsable de traitement court un véritable risque juridique
L’informatique en nuage a modifié les liens juridiques classiques. Traditionnellement, la question de la protection des données ne concernait que la personne concernée par le traitement et le responsable de traitement. Avec le Cloud, apparait un troisième acteur sans lien juridique avec la personne concernée, qui est le prestataire sous-traitant.
Au dire de la loi de 1978, en recourant à un service de Cloud, le Client reste responsable de toute violation des dispositions de cette loi. Pourtant le prestataire peut être à l’origine de négligence, de mesures de sécurité déficientes ou d’une malveillance. A titre d’exemple, l’article 26 de la directive de 95/46/CE transposée dans la loi de 1978 prévoit qu’en matière de transfert des données personnelles hors Union européenne le responsable de traitement doit avoir l’accord de la personne concernée. Toutefois, par un manque de transparence le sous-traitant peut sous-traiter à un autre sous-traitant établi hors union. Considérer alors le sous-traitant principal comme un tiers au traitement des données ne fait qu’accentuer les risques à l’égard des données personnelles et du même coup mettre le responsable de traitement dans une situation d’impasse pouvant engager sa responsabilité.
La qualification du véritable statut du prestataire est loin d’être aisée
Le Cloud reste multiple, il existe autant de services que de procédures de déploiement. Puis les contrats d’adhésion proposés par plusieurs prestataires ne permettent pas de déterminer avec certitude ce statut du prestataire. Et pourtant, la vraie qualification du prestataire se montre essentielle dans ce sens qu’elle permet de déterminer les responsabilités du prestataire.Pour déterminer le statut du prestataire, la CNIL [5] a recommandé de recourir à des faisceaux de critères pouvant aller jusqu’à requalifier le prestataire en responsable conjoint :
- Analyser le niveau d’instructions données par le client au prestataire. Est-ce que ce dernier jouit d’une autonomie dans la réalisation de son travail ?
- Ausculter le degré de contrôle de l’exécution de la prestation du fournisseur de Cloud par le client.
- Vérifier la valeur ajoutée fournie par le prestataire sur le traitement des données du client. Maîtrise-t-il l’exploitation des données ? Est-il à même de déterminer les moyens de traitement à mettre en place ?
Cette requalification doit s’accompagner d’une délimitation contractuelle des obligations à charge de chaque co-responsable.
Les rédacteurs du projet de règlement l’ont compris. L’article 24 de ce projet dispose que « lorsqu’un responsable du traitement définit, conjointement avec d’autres, les finalités, conditions et moyens du traitement de données à caractère personnel, les responsables conjoints du traitement définissent, par voie d’accord, leurs obligations respectives afin de se conformer aux exigences du présent règlement, en ce qui concerne notamment les procédures et mécanismes régissant l’exercice des droits de la personne concernée ».
On l’aura compris, la détermination du statut du prestataire est capitale. En attendant l’adoption du projet de règlement sur la protection des données, nous recommandons aux entreprises de toujours évaluer leurs rapports avec leurs prestataires et surtout de mettre en place des clauses d’audit de conformité pour contrôler ce traitement des données de bout en bout.
-----------------------
[1] Une étude a montré que la majorité des contrats Cloud sont des contrats d’adhésion
[2] Il faut entendre par vrai Cloud, le Cloud public
[3] Cf. Avis 1/2010 du G29 qui souligne « la difficulté d’appliquer les définitions de la directive ».
[4] La question de l’IaaS étant discutable.
[5] Commission Nationale Informatique et Liberté, cfr Synthèse des réponses à la consultation publique sur le Cloud Computing lancée par la CNIL d’octobre à décembre 2011 et analyse de la CNIL