Le Cloud computing : un défi pour la loi « Informatique et Libertés » ?

Le Cloud computing, qui offre d’extraordinaires opportunités en termes d’économie et de facilitation, se traduit aussi par une perte de la maîtrise des données. Ces données qui circulent et que l’on peine à localiser posent incontestablement un problème au regard de la loi.

Pour la CNIL, garante de l’application de la loi « Informatique et Libertés », le Cloud devient ainsi un défi, surtout s’il s’agit de faire de la protection des données personnelles un argument commercial.

Voici quelques éléments tirés d’une réflexion menée à la CNIL, présentée et commentée le 2 décembre 2010,  lors du 3ème atelier de l’Association pour le développement de l’informatique juridique (ADIJ) [1] consacré au Cloud computing.

Consulter les comptes rendus des ateliers précédents : Le Cloud Computing : révolution ou évolution informatique ?, 25 septembre 2010 ; Le Cloud computing, une révolution contractuelle ? 24 octobre 2010

Où l’on constatera que les définitions, en droit, et ailleurs, représentent le point essentiel, mais aussi que, dans l’environnement numérique, les frontières sont toujours floues. Restent les « faisceaux d’indices »  pour tenter de clarifier le paysage et, comme on le verra aussi, la nécessité de simplifier certaines formalités.

  • Définir le Cloud et son marché

Telle est la première obligation. Lors du premier atelier de l’ADIJ, on avait retenu que le Cloud devait être une infrastructure virtuelle, répondant à la demande, accessible n’importe où, et flexible en termes de capacité de stockage.

Même si  le Cloud est apparu avec le monde non professionnel, pour l’ADIJ, le Cloud ne peut être que du BtoB [2].

Par ailleurs, si les TPE et les PME sont les premières  entreprises à avoir adopté le Cloud, et que ceux-ci recourent aux services proposés par de gros prestataires, cette configuration  est amenée à changer.

Pour mener une réflexion juridique, il serait de ce fait dangereux de se focaliser sur l’aspect actuel du marché. Car si aujourd’hui l’offre Cloud émane surtout de gros prestataires comme Google ou Microsoft, d’autres acteurs vont se présenter prochainement, et ceux-ci seront plus souples dans l’offre proposée à des entreprises de plus grande importance, désormais prêtes à se lancer et qui auront plus de poids pour négocier.

  • Définir le responsable du traitement

C’est la question à régler en priorité. Il faut alors distinguer le responsable du traitement, qui dispose des moyens du traitement et en définit la finalité, et son sous-traitant avec qui il signe un contrat, créant ainsi une chaîne de responsabilités.

Voilà qui semble simple, si ce n’est que l’on a constaté que le prestataire disposait aussi de marges de manœuvres. C’est le cas aujourd’hui avec Google et d’autres prestataires semblables, qui imposent à des petites entreprises des conditions non négociables, sans se percevoir pour autant comme responsables d’un traitement.

C’est  un  faisceau d’indices qui va déterminer le degré de responsabilité de chaque acteur, à partir de critères que sont le niveau des instructions données, le niveau de contrôle de l’exécution des prestations, la transparence [3] et l’expertise.

Deux responsabilités et non une responsabilité partagée

Telle est la conclusion étonnante de prime abord à laquelle on est parvenu. Il y a deux  responsables, chacun pour le service qu’il effectue et pour des finalités différentes, alors que dans un schéma de coresponsabilité chacun partage la responsabilité d’un même traitement.

La situation serait différente si la marge de négociation du client était plus forte, ce qui est rarement le cas aujourd’hui où certains prestataires seront immanquablement qualifiés de responsables du traitement. Mais comme le client collecte des données, choisit le prestataire et détermine les moyens de traitement, il assume aussi un niveau de responsabilité.

Même ainsi, il restera nécessaire, dans chaque cas, de déterminer la frontière entre les deux responsabilités en répondant à une série de questions :   Qui décide quoi ? Qui définit les processus de sécurité  à respecter ?  Qui traite les données ? Est-ce que le service est  personnalisé[4] ? etc.

  • Définir le droit applicable

Dans le Cloud, les données circulant, divers droits sont susceptibles de s’appliquer dans les territoires qui émaillent leur pérégrination dans le monde.  Par ailleurs, la loi « Informatique et Libertés » ne s’applique qu’aux responsables du traitement résidant sur le territoire français ou lorsque le traitement est effectué sur le sol français.

Pour répondre à cette question, on s’appuiera à nouveau sur des faisceaux d’indices pour déterminer si le responsable des moyens de traitement entend viser un public français.

On s’est inspiré, en effet,  des règles observées en matière de litiges  sur la  contrefaçon sur Internet pour laquelle on dispose d’une jurisprudence abondante. Ceci serait « loin de la lettre de la directive et de la loi », mais les juges seraient prêts à suivre cette interprétation.

Il faudra donc qu’il y ait un lien suffisant, substantiel ou significatif entre le service proposé et le client  pour définir[5] que l’on s’adresse à un public français et que la loi applicable sera française [6].

  • Simplifier les formalités administratives

Tel est l’impact intéressant que pourrait avoir à terme le Cloud computing. Aujourd’hui, même si l’on a appris que la révision de la directive européenne entend les simplifier, les formalités sont très lourdes et il appartient de définir qui en est chargé.

La déclaration

Les traitements. S’il y a deux responsables de traitement, le fournisseur et le client vont déclarer chacun les traitements qu’ils effectuent[7], ce qui suppose que ceux-ci soient clairement définis.

L’information des personnes objets du traitement : Le client du prestataire semble plus légitime pour effectuer cette opération car il est  plus proche des personnes concernées. Mais le prestataire doit informer son propre client et, s’il y une demande de rectification, elle doit se faire sur toute la chaîne.

Les transferts hors de l’Union européenne

Les  transferts de données sont interdits hors de l’Union européenne, sauf si le niveau de protection adéquat. Ils peuvent se faire lorsqu’ils sont encadrés par des clauses contractuelles type reconnues par la Commission européenne, dans le cadre du Safe Harbor [8] (qui lie la Commission européenne et la Federal Trade Commmision aux États-Unis), des Binding Corporate Rules (BCR), soit des codes de bonne conduite définis au sein d’une entreprise, et dans les quelques cas exceptionnels mentionnés dans la loi «Informatique et Libertés ».

Mais ces instruments sont inadaptés. Les clauses contractuelles qui conduisent à créer une « toile » d’araignée » de contrats, ne donne aucune sécurité car on n’est jamais certain qu’un contrat soit signé pour chaque transfert, et elles deviennent très vite obsolètes. Inadaptées aussi sont les exceptions. Puisque la CNIL en  fait une  interprétation restrictive, elles ne concernent dans les faits que des transferts ponctuels d’un petit nombre de données. Quant au  Safe Harbor, il n’offre de garantie qu’aux grosses entreprises, et les BCR  ne créent de zones de sécurité qu’au sein d’un groupe  ou lorsque ils sont adoptés par toutes les entreprises sous-traitantes [9].

  • Et maintenant ?

Il serait opportun de redonner le pouvoir au client responsable du traitement, de recourir à des outils comme les métadonnées, des « post-it » placés sur  les données pour empêcher les données d’aller dans certains pays[10], et de s’orienter vers des standards internationaux, largement préconisés mais qui n’ont pas encore vu le jour.

Pour l’ADIJ, il convient lors d’un prochain atelier de faire le point sur les meilleures pratiques en matière de gestion des données personnelles.


Illustr. Electric City comes alive. Stucks in Customs. CC2.0 by-nc-nd. Sur Flickr. Et s’il s’agissait de silos de données ?

 

Quelques références

Blog de l’atelier Cloud computing de l’ADIJ

Loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (1). Sur le site Légifrance

 

Le site de la CNIL

Notes

[1] Comptes rendus des ateliers précédents : Le Cloud Computing : révolution ou évolution informatique, Paralipomènes, 25 septembre 2010 ; Le Cloud computing, une révolution contractuelle ?   Paralipomènes, 24 octobre 2010.

[2] Lorsqu’il s’agit d’une relation BtoC, on devrait parler de webservices,  etc.

[3] Il y transparence lorsque l’on s’adresse à un interlocuteur « réel » et non  à un intermédiaire. Dans ce cas,  le prestataire est responsable du traitement. L’intermédiaire « caché » serait s/traitant

[4] Le Cloud a vocation à être  standard,  mais il reste paramétrable.

[5] A partir d’éléments concrets : un nom de domaine en .fr, des prix en euros, la langue française, etc

[6] Alors certes, en matière de contrat BtoB, les parties peuvent définir librement la loi applicable, il  n’en reste pas moins que la loi qui s’applique aux données personnelles sera la loi française..

[7] D’ici trois ans il n’y aurait plus de 3 ans pas de déclaration du tout, ai-je entendu.

[8] Flux transfrontières de données personnelles, Michèle Battisti, Actualités du droit de l’information, n°14, mai 2001

[9] Si la CNIL veut promouvoir une mondialisation des BCR, il convient de pencher d’abord sur les BCR « normaux ».

[10] Mais ce marquage qui risque d’alourdir le processus, repose la question de savoir à qui il incombe de les placer

7 comments

  1. […] This post was mentioned on Twitter by Legaletic, Droit NTIC and Lygoma (Lydie. F), Michèle Battisti. Michèle Battisti said: Le Cloud computing : un défi pour la loi “Informatique et Libertés” ? #Paralipomènes Compte rendu d'un atelier ADIJ http://bit.ly/esa9CS […]

  2. […] This post was mentioned on Twitter by Léo le Naour, Mike. Mike said: Le Cloud computing : un défi pour la loi “Informatique et Libertés” ? http://goo.gl/yn1MU […]

  3. […] Le Cloud computing : un défi pour la loi “Informatique et Libertés” ? – Paralipomènes […]

  4. […] Paralipomènes » Blog Archive » Le Cloud computing : un défi pour la loi « Informatique et Libe… Même ainsi, il restera nécessaire, dans chaque cas, de déterminer la frontière entre les deux responsabilités en répondant à une série de questions : Qui décide quoi ? Qui définit les processus de sécurité à respecter ? Qui traite les données ? Est-ce que le service est personnalisé [4] ? […]

  5. […] pas anodine : il n'existe pas de droit mondialisé autour d'Internet et de ses usages, mais une juxtaposition de droits nationaux. Le droit qui s'applique à un serveur est le droit du pays dans lequel le serveur est physiquement […]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *