Un avis du Contrôleur européen de la protection des données (CEPD) du 16 novembre 2012 a été adopté sur les actions clés et les mesures visant à accélérer l’utilisation de services de Cloud computing en Europe. L’avis du CEPD aborde les défis pour la protection des données engendrés par le Cloud et la façon dont la proposition de règlement de protection des données y répondra lorsque les règles révisées entreront en vigueur (1).
La proposition de règlement introduit un certain nombre de nouvelles obligations pour les contrôleurs de données, telles que la protection des données dès la conception (Privacy by Design), les études d’impact, les notifications personnelles de violation de données, ainsi que le droit à l’oubli et le droit à la portabilité des données. Compte tenu du principe de neutralité technologique posé par l’UE, ces nouvelles obligations s’appliquent à l’environnement du cloud computing.
Or en cette matière, la principale préoccupation est de savoir si le traitement des données dans un environnement cloud peut être réalisé dans le respect des règles de protection des données. Le CEPD met donc l’accent sur la nécessaire responsabilisation des fournisseurs de solutions cloud. Il estime que le déséquilibre de pouvoir entre les clients du cloud et les fournisseurs de service cloud peut être résolu par la mise en place de conditions générales commerciales standard qui respectent les obligations de protection des données pour les contrats commerciaux, les marchés publics ainsi que les transferts internationaux de données.
Ces mesures, combinées avec la proposition de nouveau règlement de protection des données qui prévoit des règles claires garantissant que les fournisseurs de service cloud soient entièrement responsabilisés quant au traitement des données, doivent pouvoir empêcher que les responsabilités relatives à la protection des données ne soient diluées.
Le CEPD émet des recommandations qui incluent notamment la mise en place de bonnes pratiques en matière de responsabilité des responsables de
traitement et des sous-traitants, de conservation des données dans l’environnement cloud, de portabilité des données et d’exercice des droits des personnes concernées.
De son côté, la Cnil a publié en juin 2012 (2), plusieurs recommandations afin d’accompagner les entreprises dans le renforcement de la protection des données personnelles qu’elles utilisent dans le cadre du cloud computing. Ces recommandations portent principalement sur l’analyse des risques et la contractualisation des services.
De même, le groupe de l’article 29 a publié ses propres recommandations, très proches de celles proposées par la Cnil (3). Il s’agit d’un autre référentiel mis à la disposition des entreprises pour évaluer les risques et définir les mesures à prendre.
(1) Avis CEPD du 16-11-2011 Exploiter le potentiel de l’informatique en nuage en Europe (en anglais).
(2) Recommandations CNIL du 25-6-2012 pour les entreprises qui envisagent de souscrire à des services de Cloud computing.
(3) G29 WP 196, Avis n°5-2012 du 1-7-2012 Cloud Computing (en anglais).