Cloud et données personnelles sous l’oeil attentif des autorités européennes
Publié le 23/09/2012 par Etienne Wery
Le groupe 29, qui rassemble les autorités de tous les pays membres de l’UE, s’est penché sur les risques du cloud en matière de données à caractère personnel. Les recommandations restent un peu vagues, mais le signal est fort : les autorités veillent et se coordonnent pour avoir une approche globale au sein de l’Union.
Le groupe 29 est le groupé créé par la directive 95/46 rassemblant les autorités de contrôle des données personnelles de tous les pays membres de l’UE : la CNIL en France, la Commission pour la protection de la vie privée en Belgique, etc.
Le groupe se rassemble régulièrement afin de coordonner l’action des autorités au sein de l’UE, et il en profite pour adopter des textes sur des sujets d’actualité.
Cet été, ce fut au tour du cloud computing de passer sous les fourches caudines du groupe, d’où une recommandation du 1er juillet que nous passons rapidement en revue. L’avis complet est joint pour plus d’informations.
Comme de bien entendu, le risque de perte de contrôle sur les données est mis en exergue, tant il est vrai que l’utilisateur qui accepte de passer en mode cloud perd tout contrôle et ignore même parfois où ses données sont transférées, stockées et traitées. De même, celui qui propose aux utilisateurs en service en mode cloud n’est pas toujours lui-même en mesure d’identifier les flux de données au point qu’il « devient plus difficile (…) de déployer les mesures techniques et organisationnelles nécessaires pour assurer la disponibilité, l’intégrité, la confidentialité, la transparence, l’isolement et la portabilité des données. » (CNIL).
Dans son analyse de la recommandation, la CNIL poursuit : « Une information insuffisante sur les modalités du traitement des données par un service de cloud pose également un risque important. En l’absence de transparence, il peut être difficile pour le client de remplir ses obligations en tant que responsable du traitement. Il est, par exemple, possible que celui-ci ne soit pas au courant que le traitement des données inclut plusieurs responsables du traitement et sous-traitants ou que les données sont transférées en dehors de l’EEE dans un pays n’assurant pas un niveau de protection adéquat. »
Un exemple concret : les factures dématérialisées fiscalement sont largement plus utilisées qu’auparavant grâce à l’assouplissement des règles de l’ancienne directive sur le sujet, mais il reste qu’elles doivent être stockées dans l’UE ou au moins dans un pays avec lequel il existe un accord de coopération. L’hébergement en cloud permet-il toujours de le garantir ? L’expérience montre que non.
La perte de contrôle s’exprime de différentes manières :
•- manque de disponibilité suite à des problèmes d’interopérabilité (typiquement quand on utilise un cloud avec des technologies fermées / propriétaires, rendant difficile tout échange avec d’autres clouds (portabilité dans le cloud).
•- Perte d’intégrité liée au partage des ressources : par exemple un manque d’isolation des données entre différents clients
•- Perte de confidentialité. Risque d’un dévoilement de données privées par exemple à cause de lois, de contraintes liées à d’autres pays (pays non européens) – les lois US contre le terrorisme sont ainsi régulièrement utilisées aux USA pour accéder à des données ne principe privées.
•- Manque d’outils, de mesures et de reporting pour vérifier le respect de l’intégrité.
Autre difficulté relevée, celle consistant à mettre sur les intervenants techniques la bonne étiquette juridique, d’autant que la chaine d’intervenants techniques peut-être très longue. Qui est alors le « sous-traitant », le « responsable du traitement », le « client » (l’entité qui fait appel au cloud et propose un service en mode cloud à l’utilisateur final qui reste la « personne concernée »). Or, du partage des rôles entre le responsable du traitement des données et son sous-traitant, dépend l’identification de l’entité qui assume la responsabilité vis-à-vis des personnes concernées.
Egalement, le groupe 29 se penche sur les transferts internationaux et particulièrement le Safe Harbor tant il est vrai que les USA se taillent la parti du lion en matière de cloud.
Pour rappel : "The United States of America is not on the list of countries ensuring an adequate level of protection (as of August 2011, the list is limited to Andorra, Argentina, Australia, Canada, Switzerland, Faeroe Islands, Guernsey, State of Israel, and Isle of Man). Because the commercial, political and personal transatlantic relationship is so crucial, it was necessary to find a solution. An ad hoc legal framework has been adopted for specific situation such as the transfer of Air Passenger Name Record (PNR) data, but it does not provide a general solution.
Businesses have three options to waive the prohibition: they may (i) adopt the Safe Harbor Principles system, (ii) sign ad hoc contracts with the recipient (model clauses), or (iii) enforce binding corporate rules at a global level (BCR).
First and third solutions ensure more freedom for the processor because the latter is deemed to comply with European standards as far as privacy is concerned and is, therefore, largely in the same situation as a European business, including for the reutilization of the data. On the contrary, the second solution is easy to put in place but the processor is bind by the contract and may not do anything else than what is provided in the contract. (Note: The Safe Harbor Principles system is specific to American businesses, while second and third solutions are opened to any data controller located outside the EU)."
Pour plus d’infos, veuillez vous référer à la brochure « Doing Business in the USA » éditée par le cabinet Ulys, disponible gratuitement en envoyant un mail à [email protected]. Les transferts de données vers les USA y font l’objet d’une étude plus complète.
La conclusion générale de l’analyse est insatisfaisante car elle se cantonne aux grands principes, mais c’est un peu la contrainte de tout exercice de ce style qui met en présence des systèmes juridiques, des cultures et des sensibilités différentes : « Businesses and administrations wishing to use cloud computing should conduct, as a first step, a comprehensive and thorough risk analysis. This analysis must address the risks related to processing of data in the cloud (lack of control and insufficient information) by having regard to the type of data processed in the cloud. Special attention should also be paid to assessing the legal risks regarding data protection, which concern mainly security obligations and international transfers. The processing of sensitive data via cloud computing raises additional concerns. Therefore without prejudice to national laws such processing requires additional safeguards. The conclusions below are meant to provide a checklist for data protection compliance by cloud clients and cloud providers based on the current legal framework; some recommendations are also provided with a view to future developments in the regulatory framework at EU level and beyond » ("better balancing of responsabilities between controller and processor", "access to personal data for national security and law enforcement purposes", "special precautions by the public sector", "European Cloud Partnership").