Que recommande la Cnil quant aux responsabilités liées au cloud computing ?

La Cnil a publié ses recommandations sur l’encadrement juridique du cloud computing. Voici une synthèse basée sur deux axes : l’évolution de la notion de responsable du traitement et la nécessité de bâtir la confiance entre prestataires et clients.

Les services de Cloud computing sont en fort développement, tirés par des aspects économiques et de flexibilité de service, possibles grâce à la mutualisation des ressources entre les clients. Le recours au Cloud computing pose cependant plusieurs questions et problèmes liés notamment à la localisation des données, à leur sécurité, à leur accessibilité, au droit applicable, à la réversibilité. (1)

La CNIL avait publié une consultation publique fin 2011, demandant aux entreprises qui le souhaitaient de fournir leurs réflexions, dans le cadre des questions posées, avec pour finalité la publication d’un rapport pour améliorer l’encadrement juridique du Cloud computing. Pour rappel, la consultation portait sur cinq séries de questions : 1) qu'est-ce qui caractérise un service de Cloud computing ? 2) Le statut et les responsabilités du sous-traitant des données, applicables au prestataire Cloud, doivent-ils évoluer ? 3) Quels critères utiliser pour déterminer la loi applicable aux services Cloud ? 4) Quels outils juridiques permettraient de mieux encadrer les transferts de données vers des pays ne disposant pas d'un niveau de protection adéquat ? 5) Quelles mesures de sécurité devraient être adoptées (mesures techniques et gestion des accès aux données) pour garantir la confidentialité des données ?

Après analyse des contributions, la CNIL a publié ses recommandations le 25 juin dernier. (2)

Nous faisons ci-après une synthèse des principaux points couverts par la CNIL, sur la base des deux axes suivants : l’évolution de la notion de responsable du traitement et la nécessité de bâtir la confiance entre prestataires et clients, via des engagements forts en matière de sécurité et de transparence dans les procédures déployées.


1. L’évolution de la notion de responsable de traitement induite par le développement des services de Cloud computing

En matière de traitements de données à caractère personnel, le responsable de traitement est en principe le client. En effet, le client, en qualité de collecteur des données à caractère personnel, en détermine les finalités et les moyens de traitement. (3) Cependant, hors Cloud privé, le client ayant recours à un service de Cloud computing n’a plus la maîtrise effective du traitement. Il est donc nécessaire de réfléchir à l’évolution de la notion de responsable de traitement au regard des rôles effectifs joués respectivement par le client et par le prestataire.

    1.1 Service Cloud et maîtrise des traitements de données à caractère personnel
Dans le cadre des Cloud publics, le fonctionnement et les objectifs du service sont définis par le prestataire, autour d’une prestation standardisée. Le rôle du prestataire ne se limite plus à celui d’un simple sous-traitant qui ne ferait que traiter les données personnelles pour le compte du client et selon ses instructions.

Les conditions posées par l’article 3 de la loi Informatique et Libertés, qui définit la notion de responsable de traitement, ne sont donc plus nécessairement réunies. Afin de déterminer les rôles respectifs du client et du prestataire, la CNIL préconise d’appliquer un faisceau d’indices. Selon les résultats de ce test, les rôles de responsable de traitement et de sous-traitant peuvent être amenés à évoluer et être revus.

Ce faisceau d’indices comprend les quatre critères suivants :
    - l’évaluation du niveau d’instruction donné par le client au prestataire. Plus le degré d’autonomie du prestataire dans la réalisation de la prestation sera élevé, plus la tendance sera de le considérer également comme responsable de traitement ;
    - le degré de contrôle de l’exécution de la prestation du prestataire par le client ;
    - la valeur ajoutée fournie par le prestataire sur le traitement des données du client, et donc, le niveau de maîtrise du traitement de données par le prestataire ;
    - le degré de transparence du client sur le recours à un prestataire Cloud.

Ainsi, plus le client sera passif, et en contrepartie, plus le prestataire s’impliquera dans le traitement, plus la tendance sera de considérer ce dernier également comme responsable de traitement. L’application des critères définis ci-dessus aux offres de service Cloud standardisées, soumises à la maîtrise du service par le prestataire et entraînant une moindre implication du client, devrait permettre de retenir la qualification de responsable de traitement pour le prestataire dans la mesure où celui-ci participe de manière effective à la détermination des finalités et des moyens des traitements de données personnelles.

    1.2 Responsable ou co-responsables du traitement
Cependant, même si le prestataire peut être considéré comme responsable de traitement et non plus comme simple sous-traitant du client, cela ne signifie pas pour autant que le client sera dégagé de toute responsabilité concernant les traitements mis en oeuvre.

Le client reste en effet celui qui collecte les données à caractère personnel et qui les utilisera (par exemple dans le cadre de ses activités de gestion de la relation clients, ou de ses campagnes de marketing, ou encore de gestion des RH). En revanche, le client n’aura plus la maîtrise des moyens mis en oeuvre, de l’accès aux données, ou des mesures de sécurité appliquées auxdits traitements.

En d’autres termes, le fait de déclarer que le prestataire peut également être considéré comme responsable de traitement ne signifie pas que le client perdra ce rôle en contrepartie. Doit-on alors envisager la notion de co-responsables de traitement ?

Comme le relève justement la CNIL, la co-responsabilité est source d’insécurité juridique et de dilution des responsabilités. Ainsi, plutôt que d’être globalement co-responsables de traitement et de diluer les responsabilités, la CNIL recommande aux parties d’identifier les pôles de responsabilité respectifs dans le cadre du contrat de prestation. La CNIL propose un tableau afin d’aider clients et prestataires à identifier, pour chaque étape (formalités déclaratives, information des personnes, obligation de confidentialité et de sécurité, exercice des droits des personnes concernées - droit d’accès et de rectification), qui du client ou du prestataire, sera effectivement responsable. La définition effective des étapes et des partages de responsabilités devra se faire dans le cadre du contrat de prestation de Cloud computing.

Le rôle du sous-traitant, dans le cadre des traitements de données personnelles, n’est pas pour l’instant défini de manière spécifique. Le projet de règlement européen relatif à la protection des données personnelles du 25 janvier 2012 prévoit la création d’un régime légal du sous-traitant, soumis à une liste d’obligations communes avec le responsable de traitement. (4)


2. L’avenir des services en Cloud computing passe par la confiance

Une meilleure redéfinition des rôles et des responsabilités des clients et prestataires est illusoire si, en parallèle, la question de la confiance des clients dans les prestataires et les services fournis reste en deçà des attentes. Les deux piliers de la confiance sont, d’une part les engagements relatifs à la sécurité du service, d’autre part une plus grande transparence des prestataires relative aux procédures en place.
 
    2.1 La question sensible de la sécurité du service
Bien que l’utilisation du Cloud computing se développe, l’un des freins au passage au Cloud reste la sécurité. En effet, de nombreuses entreprises sont encore réticentes à l’idée d’externaliser leurs données, que celles-ci soient de nature commerciale, protégées par le droit d’auteur, à caractère personnel ou autre.

La sécurité recouvre plusieurs questions : celle de l’accès aux données et de la disponibilité du service (les derniers incidents d’interruption de service subis récemment par des prestataires majeurs du Cloud ont encore exacerbé les craintes des utilisateurs), celle de la réversibilité en fin de contrat (question du transfert à un nouveau prestataire et de l’interopérabilité des systèmes), et surtout, celle de la sécurité du système du prestataire (imperméabilité du système aux intrusions de tiers).

Ces différentes questions passent par des contrats intégrant de réels engagements de la part des prestataires, avec SLA (Service level agreement ou engagement de service) et PLA (Privacy level agreement ou engagement de protection des données - ce concept de PLA étant en cours de développement).

La CNIL, dans sa recommandation, inclut une liste d’engagements à prendre en compte dans le contrat (tel que la responsabilité en cas de perte de données).

    2.2 Une plus grande transparence dans les procédures mises en place
L’un des avantages, et des problèmes, du Cloud computing est la possibilité pour les prestataires d’utiliser des centres serveurs délocalisés, avec une multiplication des lieux de traitement et de stockage des données. Les procédés actuellement déployés par les prestataires sont rarement décrits de manière claire et précise dans les contrats.

A ce sujet, la CNIL recommande aux prestataires d’intégrer des clauses-types dans leurs contrats de prestation et de mettre en place des règles du type BCR (Binding corporate rules, ou règles d’entreprise contraignantes).

Les clauses contractuelles types proposées par la CNIL, dont l’objet est de mieux encadrer les transferts de données hors Union européenne, diffèrent suivant que : (i) le prestataire Cloud est localisé hors UE et agit en qualité de sous-traitant, (ii) le prestataire Cloud est localisé hors UE et agit en qualité de responsable de traitement, ou (iii) le prestataire Cloud est localisé dans l’UE, agit en qualité de sous-traitant et transfère les données à un sous-traitant (de 2é niveau) situé hors UE.

Par ailleurs, les “BCR sous-traitants” sont un nouvel outil, de nature contractuelle, qui permettrait d’améliorer la transparence et la confiance dans les services proposés.

Les BCR sont des accords intra-groupes (ou codes de conduite), développés et déployés par certaines entreprises multinationales afin de faciliter les transferts de données personnelles entre les sociétés d’un même groupe, en contrepartie d’engagements forts de la part du groupe en matière de respect de la réglementation européenne sur la protection des données personnelles. Pour être appliqués, les BCR doivent avoir été validés par l’une des commissions européennes pour la protection des données. Ce concept, qui a fait ses preuves au niveau des multinationales l’ayant adopté, pourrait effectivement être reproduit pour les prestataires Cloud. Ceux-ci pourraient adopter des BCR sous-traitants applicables aux sociétés de leurs groupes afin de garantir un niveau de protection adéquat aux données personnelles des clients, transférées au sein du groupe du prestataire.

Il n’est pas encore possible de mettre en oeuvre des “BCR sous-traitants”. Cependant, cette notion de BCR sous-traitant est prévue dans le projet de règlement européen du 25 janvier 2012. Ils   intégreraient notamment une liste d’engagements techniques de la part des prestataires Cloud (tels que par exemple le recours à des metadonnées, ou le recours au chiffrement).

Les BCR sous-traitant semblent donc être un outil qui permettrait d’apporter les éléments nécessaires à l’amélioration de la confiance dans la prestation de Cloud computing.


Bien que la recommandation de la CNIL se focalise en premier lieu sur les données à caractère personnel, la réflexion vaut autant pour les données personnelles que pour les autres catégories de données transférées par les entreprises sur le Cloud. Le document comprend en fait 5 séries de recommandations, dont l’objet est d’aider les entreprises dans leur prise de décision de passage au Cloud computing : 1) identifier clairement les données et les traitements qui passeront dans le Cloud, 2) définir ses propres exigences de sécurité technique et juridique, 3) conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise, 4) identifier le type de Cloud pertinent pour le traitement envisagé et 5) choisir un prestataire présentant des garanties suffisantes. Les aspects juridiques à prendre en compte sont complétés par des clauses contractuelles types.

Le recours à une prestation de Cloud computing nécessite donc, pour le client, de procéder au choix du prestataire et de service adaptés après avoir établi une analyse des besoins et des risques, et identifié les mesures de sécurité nécessaires compte tenu du type de service contracté.


(1) La définition de Cloud computing retenue dans la recommandation de la CNIL comprend le panel des offres de services informatiques fournis en ligne par des prestataires spécialisés : SaaS (Software as a Service, ou accès à des logiciels en ligne), PaaS (Platform as a Service, ou accès à une plateforme de développement d’applications en ligne) et IaaS (Infrastructure as a Service, ou fourniture d’une infrastructure informatique - serveurs, stockage, etc. - en ligne)

(2) La recommandation de la CNIL est consultable à l’URL: http://www.cnil.fr/la-cnil/actualite/article/article/cloud-computing-les-conseils-de-la-cnil-pour-les-entreprises-qui-utilisent-ces-nouveaux-services/ ; A noter également que le Groupe de l’Article 29 (groupe de travail des commissions européennes de protection des données personnelles) a publié ses propres recommandations relatives au Cloud computing le 1er juillet 2012, dans lesquelles on retrouve les grandes thématiques et recommandations émises par la CNIL.

(3) La notion de responsable de traitement est définie à l’article 3 I de la loi du 6 janvier 1978 modifiée, dite loi Informatique et Libertés, comme suit : “Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens.”

(4) Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) du 25 janvier 2012


 

Autour du même sujet