Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

Contrats de Cloud computing : les clauses à vérifier, selon la Cnil

,

Publié le

La Commission de l'informatique et des libertés s’est penchée sur l'épineux problème du cadre juridique entourant les services de Cloud computing. Elle publie une liste de clauses contractuelles de référence afin que les entreprises puissent mieux choisir leur prestataire de Cloud, et éventuellement modifier leur contrat.

Contrats de Cloud computing : les clauses à vérifier, selon la Cnil © WELS.net - FlickR - CC

Quelles clauses devraient figurer dans un contrat de Cloud computing, au regard de la loi informatique et liberté de 1978 ? Pour répondre à cette question, la Cnil vient de publier différents modèles de clauses contractuelles, couvrant notamment la responsabilité juridique des différentes parties.

"La protection des données personnelles est une problématique centrale des services de Cloud computing. Nous proposons une liste de clauses contractuelles visant à permettre aux entreprises de comparer les contrats qui leur sont proposés et d'éventuellement proposer des modifications", explique à L'Usine Nouvelle, Sophie Nerbonne, directrice adjointe aux affaires juridiques à la Cnil.

Rappelons qu'une entreprise est en effet légalement responsable de la protection de ses données nominatives telles que sa base clients ou les informations concernant ses salariés. Que se passe-t-il dans le cas où ces données sont confiées à un fournisseur de services de Cloud computing ?

"Le contrat doit clairement identifier les responsabilités de chacun et éventuellement spécifier que le prestataire de Cloud computing est co-responsable en cas de vol des données ou d'utilisation commerciale non consentie des informations qui lui ont été confiées", poursuit-on à la Commission nationale de l'informatique et des libertés. Si le contrat n'est pas clair sur ses questions, l'entreprise risque d'être tenue pour seule responsable en cas d'incident.

Préciser si le prestataire de Cloud est responsable conjoint

"Il n'y a pas d'obligation de rendre co-responsable le prestataire de Cloud mais cela peut être un élément de négociation", précise-t-on à la Cnil.  Si le client souhaite donc partager les responsabilités avec son fournisseur de Cloud, la Cnil propose par exemple la clause suivante : "Les Parties s’engagent à collecter et à traiter toute donnée personnelle en conformité avec toute réglementation en vigueur applicable au traitement de ces données, et notamment à la loi n°78-17 du 6 janvier 1978 modifiée. Au regard de cette loi, les Parties sont conjointement responsables du Traitement réalisé au titre du Contrat."

Une clause peut être ajoutée afin de préciser les engagements du prestataire  : "Conformément à l’article 34 de la loi Informatique et Libertés modifiée, le Prestataire s’engage à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment de les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, altération, diffusion ou accès non autorisés, notamment lorsque le Traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ou communication à des personnes non autorisées."

Si le fournisseur de service de Cloud préfère se dégager de toute responsabilité, une clause de ce type peut figurer dans le contrat : "Les Parties s’engagent à collecter et à traiter toute donnée personnelle en conformité avec toute réglementation en vigueur applicable au traitement de ces données, et notamment à la loi n°78-17 du 6 janvier 1978 modifiée. Au regard de cette loi, le Client est responsable du Traitement réalisé au titre du Contrat."

Encadrer le transfert des données à l'étranger

Les services de Cloud peuvent intégrer le transfert de données en dehors de l'Union européenne, la plupart des data-centers étant situés aux Etats-Unis. Cela n'est pas sans poser problèmes pour les entreprises européennes, et notamment françaises, du fait notamment du Patriot Act américain, qui permet d'accéder à toute donnée hébergée par une société américaine en cas de risques liés au terrorisme.

Mieux vaut donc encadrer ses transferts par des clauses contractuelles, recommande la Cnil. La solution la plus radicale est de limiter l'hébergement des données à l'Europe ou du moins à des pays respectant des règles similaires en matière de protection des données personnelles.

Une clause de ce type peut alors être utilisée : "Lorsque le Client a consenti à ce que le Prestataire ait recours à un ou plusieurs sous-contractant(s), les Parties conviennent que les Données ne pourront être transférées par le Prestataire qu’à destination de sous-contractants établis dans des pays membres de l’Espace Economique Européen et/ou de pays tiers reconnus par la Commission européenne comme assurant un niveau de protection adéquat."

Dans tous les cas, le contrat devrait au moins intégrer une clause permettant au client d'être tenu informé de la localisation de ses données. Cela peut être prévu par une clause stipulant que : "Le Prestataire informe le Client que les Données seront hébergées dans des serveurs localisés dans les pays suivants : [fournir une liste exhaustive des pays hébergeant les serveurs du prestataire]. En cas de modification des pays destinataires par le Prestataire, ce dernier devra en informer préalablement le Client sans délai et obtenir son consentement écrit. Le cas échéant, le Prestataire devra fournir au Client une liste des pays destinataires mise à jour. "

"Toutes ces clauses ne doivent pas nécessairement figurer dans le contrat", poursuit Sophie Nerbonne. "Mais une entreprise souhaitant avoir recours à un service de Cloud doit étudier en détail les contrats qui lui sont proposés. Nous proposons un référentiel que l'aidera dans cette tâche", conclut-elle.

La Cnil publie également des recommandations plus générales pour bien choisir son prestataire de Cloud, comme par exemple : "identifier clairement les données et les traitements qui passeront dans le Cloud", ou encore "conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise".

Réagir à cet article

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte
Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle