L’Europe et les données personnelles au prisme du Cloud

Ce ne sont que quelques éléments (et non une analyse détaillée) du projet de Règlement européen sur les données personnelles diffusé le 25 janvier 2012(pdf) par la Commission européenne, tels qu’ils ont été présentés[1] le 14 février 2012, dans les ateliers « données personnelles et « Cloud Computing » de l’ADIJ dont la première partie de la réunion avait mis l’accent sur plusieurs aspects de l’intersection Cloud /données personnelles.

Un enjeu important

La protection des données personnelle est un facteur de ralentissement majeur pour l’adoption de solutions Cloud en Europe. Le Cloud est, par ailleurs, un domaine où l’Europe entend imposer sa vision du traitement des données personnelles comme norme au niveau international. Et comme les grands acteurs du marché du Cloud sont américains, s’y ajoute un enjeu économique et politique.

Ce n’est d’ailleurs pas par une directive, mais par un Règlement, bien plus contraignant, que l’Europe entend légiférer sur cette question qui lui tient très à cœur. Ce texte qui serait adopté en 2014 est aussi un enjeu pour plusieurs commissaires européens, tout comme la nomination du rapporteur du projet. Puisque le rapport serait confié à l’un des représentants du Parti des verts, ceci ne manquera pas d’avoir des conséquences pour les obligations imposées aux entreprises, les class actions relatives aux données personnelles, la portabilité des objets,  ou encore le droit à l’oubli, … pour ne citer que quelques sujets qui seront impactés par le Règlement.

Les défis à relever

• La qualification juridique du prestataire de Cloud

La révision, en 2004, de la loi Informatique et libertés était imposée par une directive européenne datant de 1995, dont le début des travaux remontait à 1985. A cette époque, l’externalisation n’était envisagée que pour gérer des relations contractuelles, simples, d’une entreprise avec une autre. Il était naturellement impossible d’imaginer alors les potentialités du Cloud, « version très sophistiquée de l’externalisation ».

La loi Informatique et libertés ne distingue donc aujourd’hui encore que le responsable du traitement, qui détermine les finalités et la nature du traitement, et le sous-traitant qui agit sous sa direction. Le prestataire de Cloud, qui garde un certain contrôle sur les traitements des données, et qui se situe ainsi entre le responsable de traitement et le  sous-traitant passif, joue une un rôle qui n’était pas prévu dans les textes.

Pour régler la question, la CNILavait suggéré lors d’un autre atelier de l’ADIJ [2], que chaque acteur assume, dans le texte européen, une responsabilité à hauteur du contrôle qu’il a sur les données personnelles.

Un prestataire de Cloud présumé être sous-traitant, telle est, en revanche, la solution proposée dans le Règlement européen. Toute preuve contraire pourra être apportée à partir d’une série de critères : le niveau d’instruction donné par le client, le degré de contrôle de la prestation par le client, le niveau d’expertise du prestataire par rapport à celle du client, le degré de transparence donné par le prestataire au responsable de traitement. Mais si la société présumée s/traitante se révèle a posteriori responsable du traitement, elle sera sanctionnée pour n’avoir pas rempli les formalités préalables. Les opérateurs, tels que Microsoft, étant parfois responsable, parfois prestataire, ce cadre juridique ne serait pas adapté à ce « changement de casquette ».

• L’encadrement des transferts de données personnelles hors de l’Union européenne

Des dispositions spécifiques étaient prévues dans la directive européenne de 1995 pour tout transfert hors de l’Union européenne, ses règles, tout comme celles mises en œuvre par la loi Informatique et libertés qui les transposent, doivent être adaptées à un environnement technique et organisationnel nouveau, en particulier à celui du Cloud.

Ce sont cinq instruments juridiques qui ont donc aujourd’hui encore l’aval de la CNIL. Ils présentent tous des difficultés, présentées pour la plupart d’entre elles dans un atelier de l’ADIJ, en décembre 2010[3]. On se bornera donc aujourd’hui à relever aujourd’hui qu’opter pour l’une des exceptions autorisées par la loi, implique tout de même une autorisation dela CNIL, ce qui représente deux à trois mois, voire un an d’attente pour obtenir une réponse. Un tel délai est incompatible avec la flexibilité du Cloud, comme nous l’avions souligné dans la première partie du compte rendu de  la réunion.

• Des règles complexes et insatisfaisantes

Parmi celles-ci :

Avoir mis au même niveau  la responsabilité intentionnelle, et la responsabilité pour négligence, sanctionnées toutes deux par des amendes administratives auxquelles il est impossible de déroger.

Notifier sans délai les failles de sécurité à sa CNIL et aux personnes concernées. Cette  obligation généralisée à toutes les entreprises oblige à organiser, lorsqu’il y a externalisation des données, une remontée des informations qui risque de s’avérer complexe avec le Cloud, où le nombre d’intervenants se multiplie à l’envi.

Un guichet unique en Europe pour les entreprises. L’autorité administrative pour effectuer les démarches sera, en effet, celle du pays où se trouve l’établissement principal. Les entreprises y sont favorables, si ce n’est qu’avec le Coud, la notion d’établissement principal reste ambiguë, et  la Cnil, bien sûr, s’y oppose. Comme les plaintes se feront aussi dans le pays de localisation principal, la CNIL souligne fort justement aussi que le droit de la consommation, qui privilégie le pays de résidence du consommateur, est plus protecteur que le droit des données personnelles.

Le Règlement reprend le concept anglo-saxon d’accountability, soit une série d’obligations détaillées dans l’article 22  (nomination d’un correspondant informatique et libertés, programmes de protection des données, actions de sensibilisation, analyses d’impact, …) et celui de documentation des procédures des allemands. Mais toutes ses dispositions représenteraient un fardeau supplémentaire pour les entreprises, sans incitation particulière puisqu’en cas de défaillance, l’entreprise sera sanctionnée de la même manière, qu’elle ait fait preuve de diligence ou pas.  Il aurait mieux fallu s’inspirer du droit de la concurrence, a-t-il été ajouté.

Un enjeu pour l’image des entreprises

Le devoir de transparence, mis en exergue dans le Règlement, joue pourtant déjà pour les entreprises un rôle fondamental, à l’image du Trust Center de Microsoft (seule entreprise étant intervenue lors de cet atelier) permettant de connaître à tout moment la localisation des données (encore faut-il savoir l’interpréter !), tout comme la notion de protection des données dès la conception des produits et services.

Le fait que la protection des données personnelles devienne une arme commerciale  et que cet aspect prenne, dans les offres de Cloud, une dimension stratégique, tel le point positif que nous retiendrons pour conclure ce bref compte rendu.

Retrouver la première partie du compte rendu

Illustr. Prism reflection 1877. sburke2478. Flickr. CC by