La Cnil lance une consultation sur la confidentialité du "cloud computing"
Par Christophe Dutheil - Publié le
Si l'informatique en nuage est vue comme un secteur d'avenir, son déploiement continue de pâtir du flou entourant la protection des données hébergées sur les infrastructures publiques installées à l'international. La Cnil lance une consultation. Avec l'objectif de définir un nouveau code de bonne conduite.
Les informations des entreprises sont-elles bien protégées lorsqu'elles sont hébergées en ligne, sur le "cloud" ? Depuis plusieurs mois, le débat fait rage en Europe. Tout a commencé avec les révélations du patron britannique de Microsoft, qui a confirmé en juillet que les données des entreprises européennes stockées sur des infrastructures publiques gérées par des prestataires américains tombent sous le coup du Patriot Act, une loi anti-terroriste votée en 2001 aux États-Unis. Ses propos ont levé les derniers doutes sur ce que beaucoup craignaient : les autorités étasuniennes ont la possibilité de demander un accès aux données hébergées, sans en avertir au préalable leurs propriétaires ou les autorités des pays concernés.
Aujourd'hui, c'est la Commission nationale informatique et libertés (Cnil) française qui s'empare du débat. Partant du principe que le succès du cloud computing "repose notamment sur les garanties apportées en matière de protection des données personnelles", elle vient d'ouvrir une consultation sur le sujet. Du 17 octobre au 17 novembre 2011, les professionnels (prestataires ou clients) sont invités à se prononcer sur "les solutions juridiques et techniques" les plus à même de garantir un haut niveau de protection des données. Et ce, "dans un environnement globalisé où la volatilité des données et la multiplicité des serveurs est inscrite dans l'ADN du Cloud computing."
De nouvelles responsabilités pour les sous-traitants ?
Le débat est vaste. Il concerne aussi bien le droit applicable aux acteurs du "cloud", que "l'encadrement des transferts" et la sécurité des données hébergées.
La Cnil propose entre autres que les entreprises collectant des données responsables demeurent responsables de leur traitement, conformément à ce que prévoit l'article 3 de la loi de 1978 : "le responsable de traitement est défini comme la personne physique ou morale qui détermine les finalités et les moyens du traitement de données à caractère personnel."
Avec le "cloud", le client resterait "responsable de traitement", chargé de déterminer "les finalités et les moyens de traitement des données", et le prestataire "présumé sous-traitant à moins que le faisceau d’indices ne fasse tomber cette présomption" et démontre qu'il agit en fait "comme responsable de traitement." S'il agit bien en qualité de prestataire, il serait intéressant, selon l'institution, "de réfléchir à la création d’un statut légal pour le sous-traitant afin de faire peser sur ce dernier un certain nombre d’obligations spécifiques."
Concernant la sécurité et la confidentialité, la Cnil rappelle que l'article 34 de la loi "informatique et libertés" prévoit "une obligation de veiller au respect" des mesures de sécurité pour le responsable de traitement. Lorsqu'il fait appel à un tiers, ce sous-traitant doit aussi, selon l'article 35, "présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité". À charge aux entreprises de s'assurer que ces mesures de sécurité sont bien définies et qu'elles sont compatibles avec les nouveaux modèles du "cloud computing." Le débat est lancé.
dans la même rubrique
26/05/2012 La sémantique de l'industrie26/05/2012 L'impression 3D détournée par l'artiste Neri Oxman
26/05/2012 "Je suis fasciné par les technologies sans fil"
