A l’heure où le cloud computing représente un environnement incontournable, l’objectif majeur des prestataires de service de cloud est de veiller à la protection des données personnelles de leurs utilisateurs afin d’assurer l’attractivité et la fiabilité de leurs solutions.
A cet égard, il convient de rappeler que le G29 (1) avait considéré dans un communiqué en date du 24 avril 2014 que les documents contractuels de Microsoft (le « MS Agreement ») étaient conformes aux clauses contractuelles types 2010/87/UE (2) et ainsi aux exigences de l’UE issues de la Directive 95/46/CE (3) en matière de flux transfrontières de données. Néanmoins, le G29 rappelait que cette évaluation partielle n’était pas significative de leur conformité avec l’intégralité des règles européennes de protection des données personnelles et par voie de conséquence avec la loi informatique et libertés française (4). Une telle reconnaissance n’impliquait par ailleurs nullement le respect par Microsoft de ces règles dans la pratique.
Microsoft a donc décidé de se conformer à la norme ISO 27018 (5) pour ses services de cloud computing aux entreprises. Cette norme, élaborée dans le prolongement des normes ISO 27001 et 27002 relatives à la protection des systèmes d’information et notamment des données à caractère personnel pouvant y être traitées, constitue la première norme internationale spécifique au cloud computing.
En effet, l’Organisation Internationale de Normalisation (ISO) et la Commission Electrotechnique Internationale (IEC) ont récemment encadré le cloud computing dans trois normes spécifiques dont les normes ISO 17788 et ISO 17789 relatives, respectivement, (i) à la vue d’ensemble, aux acteurs, aux services et au vocabulaire de « l’information en nuage » et (ii) à son « architecture de référence ». Conformément à la Directive 95/46/CE (6), la norme ISO 27018 relative aux techniques de sécurité a, quant à elle, créé un code de bonnes pratiques pour la protection des données personnelles dans l’informatique en nuage. Cette dernière impose aux prestataires de services de cloud computing qui s’y conforment de respecter des mesures précises concernant le traitement des données personnelles par leurs outils.
Cette norme offre ainsi un cadre normatif permettant de contrôler les engagements pris par les prestataires de solutions de cloud computing, et notamment s’agissant de la sécurité et de la confidentialité des données.
En se conformant à la norme ISO 27018, Microsoft choisit donc de s’engager auprès de ses clients à respecter ce « code de bonnes pratiques » pour la protection des données personnelles dans le cadre de l’utilisation des techniques de cloud computing (7).
Microsoft, dans son communiqué du 16 février dernier, rappelle d’ailleurs les principes érigés par cette norme et qu’il s’engage donc à respecter s’agissant de ses services de cloud computing, et notamment :
- un contrôle par le client du traitement des données à caractère personnel qui ne le seront que selon les instructions de celui-ci ;
- une connaissance complète par le client de l’utilisation faite des données confiées (localisation, stockage sur les data centers, destination des données, …) ;
- une information des clients sur tout accès non autorisé, perte, altération ou divulgation d’informations personnelles ;
- une protection renforcée des données (traitement strictement encadré, diffusion restreinte, processus de récupération et de restauration, soumission de toute personne étant amenée à traiter ces données à une obligation de confidentialité, etc.) ;
- une absence d’exploitation des données à des fins publicitaires (sauf autorisation du client) ;
- une information des clients concernant les demandes d’accès à ces données par les autorités étatiques (sauf lorsqu’une telle information est interdite).
En tout état de cause, cette norme ISO 27018 doit être l’occasion, pour les prestataires de services de cloud computing, d’envisager l’opportunité du déploiement, tant technique que juridique, d’un processus de mise en conformité en vue par exemple d’une certification.
Alain Bensoussan
Alexia Chameroy
Lexing Droit informatique et libertés
(1) Groupe de travail de l’article 29 de la directive du 24-10-1995 sur la protection des données et la libre circulation réunissant les autorités européennes de protection des données.
(2) Décision de la commission du 5-2-2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil.
(3) Directive 95/46/CE du 24-10-1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(4) Loi n° 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés.
(5) www.iso.org/
(6) Directive Européenne 97/66/ce du 15-12-1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications.
(7) Eric Le Quellenec , « L’impact des nouvelles normes ISO sur le Cloud computing« , Post du 26-1-2015.