Cloud computing : l’opinion de Article 29 Data Protection Working Party (Europe)

Par francois tonic – Cloud Magazine (http://www.cloudmagazine.fr )

Le 1er juillet dernier, le groupe de travail "article 29" sur la protection des données (Europe) a dévoilé un long document autour du cloud computing. Il s'agit uniquement d'une opinion, d'un avis. Dès les premières phrases, l'orientation est claire "dans cet avis, le groupe de travail article 29 analyse les éléments des fournisseurs de cloud computing opérants en Europe et leurs clients relevant des directives sur la protection des données et sur les données privés.". Ceci est une compilation, un résumé du document.


Le document concerne les fournisseurs, les clients (utilisateurs). Un des objectifs est d'étudier les ressources partagées entre les différentes parties, les problèmes de transparences dans une chaine ayant plusieurs intervenants. 

Le document met en avant plusieurs concepts précis que l’on ne rencontre pas forcément sous ces termes :

– Processors : sous-traitant

– controllers : responsable du traitement

– le client cloud

La notion de responsable du traitement des données et son interaction avec la notion de sous-traitant des données jouent un rôle central dans l’application de la directive 95/46/CE, car elles déterminent la ou les personnes chargées de faire respecter les règles de protection des données, la manière dont les personnes concernées peuvent exercer leurs droits, le droit national applicable, et le degré d'efficacité des autorités chargées de la protection des données.

Consulter la définition officielle européenne: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_fr.pdf 

L’avis donné se fait dans l’application générale des principes de la protection de données selon la directive 95/46/EC par les sous-traitants et les responsables du traitement. Cela concerne aussi l’effacement des données, les mesures organisationnelles, la sécurité, les procédures et garde-fous. Les auteurs précisent bien que la protection des données va au-delà de la transparence, de l’isolation de données, sa portabilité. Et que faire des données personnelles transférées en dehors de l’Europe ? Cet avis s’inscrit enfin dans le cadre des futures évolutions des règlements européens sur la protection des données.

Les risques sur la protection des données liés au cloud computing

Le document se focalise sur les données personnels et les traitements liés à ces données quand elles sont sur des services cloud.L’absence de transparence sur les traitements, la localisation, etc. est un risque «standard».

La perte de contrôle s’exprime de différentes manières :

– manque de disponibilité suite à des problèmes d’interopérabilité. On s’enforme auprès d’un fournisseur. Typiquement quand on utilise un cloud avec des technologies fermées / propriétaires, rendant difficile tout échange avec d’autres clouds (portabilité dans le cloud).

– Perte d’intégrité liée au partage des ressources : par exemple un manque d’isolation des données entre différents clients

– Perte de confidentialité dans les termes de la loi. Risque d’un dévoilement de données privées par exemple à cause de lois, de contraintes liées à d’autres pays (pays non européens) mais est sans base légale en Europe.

– Manque d’outils, de mesures pour assurer l’intégrité, la protection des données (en cause le fournisseur, les sous-traitants…).

– Problème d’isolation. 

A cela se rajoute les problèmes de transparence, le manque d’information fourni par les fournisseurs. 

Le cadre légal de la protection de données et son application

La base reste la directive 95/46/EC, la directive sur le e-privacy (2002/58/EC, révisée en 2009). Un point est à méditer : « les critères pour établir l'applicabilité de la législation sont contenues dans l'article de la directive, qui se réfère à la loi applicable aux responsable du traitement avec un ou plusieurs établissements au sein de l'Europe et aussi à la loi applicable aux responsable du traitement qui sont en dehors de l'Europe, mais utilisant un équipement situé en Europe pour traiter des données personnelles. » Bref quelle législation prime en Europe même pour des fournisseurs étrangers ?

D’ailleurs le rapport s’interroge sur la législation dans ce cas si les équipements cloud ne sont pas utilisés pour faire du simple transit. Il faudrait alors considérer le rôle et la responsabilité de chacun : les clients, les fournisseurs, les sous-traitants et les responsables du traitement…

Dans le cloud, dans le traitement, peut intervenir toute une série de sous-traitants, sous-traitants qui doivent spécifier par le fournisseur de service cloud au client. Et les liens doivent clairement définis et contractuels.

La transparence est une des clés pour le traitement des données personnelles. Le client cloud (qui n’est pas l’utilisateur finale, ni le client final) doit respecter certaines règles. Ainsi, toute entreprise utilisant des services cloud doit respecter les lois et les directives. La transparence concerne toute la chaine cloud computing. La collecte de ces données doit être légitime et justifiée et le but doit être lui aussi clair et déterminé. Le client cloud ne peut pas utiliser les données privées à d’autres usages initialement prévues.

D’autre part, les données personnelles qui ne sont plus nécessaires, doivent être effacées ou totalement anonymes. Si l’effacement n’est pas possible selon la réglementation, la donnée ne doit plus être accessible (= blocage des accès). L’effacement des données personnelles concerne tous les supports, tous les services clouds. Le client cloud doit être certain de l’effacement. C’est sa responsabilité. La condition : une transparence totale entre les fournisseurs et sous-traitant de la chaine cloud computing.

Toutes les responsabilités et obligations doivent clairement définies. Le fournisseur doit aider, faciliter l’exercice par le client cloud sur les données. Toute demande par une administration, un pays non européen doit être notifié au client cloud.

S’ensuit une longue explication sur l’interopérabilité, la portabilité (et l’usage de formats ouverts, clairement définis), etc.

La partie sur les transferts internationaux est à lire attentivement et particulièrement sur Safe Harbor. Car n’oublions pas que tout n’est pas interdit dans les transferts de données. Ces transferts sont encadrés notamment par le Safe Harbor. Et dans certains cas, notamment pour les entreprises ayant une dimension internationale, il est possible d’agir selon le Binding Corporate Rules ou BCR. La CNIL l’explique ainsi : Les Binding Corporate Rules (BCR) constituent un code de conduite, définissant la politique d'une entreprise en matière de transferts de données. Les BCR permettent d'offrir une protection adéquate aux données transférées depuis l'Union européenne vers des pays tiers à l'Union européenne au sein d'une même entreprise ou d'un même groupe. Les BCR désignent un code de conduite qui définit la politique interne d’un groupe en matière de transferts de données personnelles hors de l’Union européenne.

Un document intéressant à la base même si certains points demeurent obscurs comme sur les formats ouverts qui ne seront pas assez utilisés ou encore sur l’absence de mention claire et nette du Patriot Act et de toute législation non européenne. D’autre part, où est le citoyen européen, le simple utilisateur ? On ne peut pas dire qu’il soit très présent dans ce rapport… Même si on peut comprendre l’intérêt de parler avant tout de l’entreprise qui va consommer du cloud. Mais que faire du citoyen qui consomme du cloud ?

document original : http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf

 

Top