Nouvelle forme d’externalisation des ressources informatiques qui permet d’accéder, via l’Internet et à l’aide d’un simple navigateur web, à une pluralité de services informatiques, le Cloud computing représente un enjeu économique majeur mais soulève également de nombreuses questions juridiques, notamment quant à la protection des données personnelles.
La consultation lancée par la CNIL a pour objectif de définir ce que désigne le Cloud computing. A cet égard, la CNIL propose de procéder par faisceau d’indices. S’agissant de la protection des données personnelles, le prestataire, c’est-à-dire l’hébergeur du système du Cloud computing, est considéré en principe comme un sous-traitant agissant conformément aux instructions d’un responsable du traitement des données, le client.
La question peut toutefois s’avérer plus délicate et la CNIL s’interroge sur le point de savoir si le prestataire, présumé sous-traitant, ne pourrait pas dans certains cas partager la responsabilité du traitement. Il pourrait en aller ainsi par exemple lorsque le prestataire propose au client des services supplémentaires lui donnant la faculté de contrôler la façon dont les données personnelles sont traitées.
La détermination de la loi applicable fait également l’objet d’une discussion avec, en particulier, les conséquences de l’application du critère de l’utilisation de moyens de traitements dans un Etat membre de l’Union européenne par une entreprise établie dans un pays extérieur à cette union. En effet, sauf dans l’hypothèse d’opérations de pur transit, ce critère a pour effet de rendre la loi de l’Etat, ou de chacun des Etats sur le territoire du ou desquels ces moyens sont utilisés.
La CNIL s’interroge aussi sur les procédures qui peuvent être utilisées pour protéger les transferts de données personnelles vers des pays n’assurant pas une protestation équivalente à la règlementation européenne. Il s’agit notamment des Binding Corporate Rules ou clauses contractuelles types conformes aux principes du droit européen et approuvées par les autorités européennes. Le dernier jeu de clauses adopté par la Commission en février 2010 ne prend pas en compte le cas des chaines de sous-traitance, élément qui ne manquera pourtant pas de se révéler essentiel dans l’économie du Cloud computing.
Au delà de la problématique des transferts de données personnelles, la CNIL s’attache également à la transcription des principes de sécurité dans les contrats avec les prestataires, notamment en matière de confidentialité et de réversibilité.
Les réponses à la consultation lancée auprès des parties prenantes sont attendues pour le 27 novembre 2011. Il ne fait aucun doute que la CNIL est amenée à jouer un rôle critique dans la combinaison des nouvelles solutions offertes par le Cloud computing et la protection des données personnelles. A suivre !
Cliquez ici pour télécharger ce document en version PDF