CEPD: la responsabilité dans le cloud ne doit pas s'évaporer dans les airs

Le Contrôleur européen de la protection des données (CEPD) a adopté aujourd'hui son avis sur la communication de la Commission européenne intitulée "Exploiter le potentiel de l'informatique en nuage en Europe", dans laquelle la Commission propose des actions clés et des mesures visant à accélérer l'utilisation de services de cloud computing en Europe. L'avis du CEPD ne se limite pas aux sujets traités dans la communication, mais aborde également les défis pour la protection des données engendrés par le cloud computing et la façon dont la proposition de règlement de protection des données y répondra lorsque les règles révisées entreront en vigueur.

Il est clair que de nombreuses entreprises, les pouvoirs publics et les consommateurs souhaitent profiter de coûts informatiques réduits et/ou de l'accès à de meilleurs services en utilisant le cloud computing; toutefois, le principal sujet de préoccupation pour les clients du cloud est de savoir si le système est fiable et digne de confiance, et si le traitement de leurs données peut être réalisé dans le plein respect des règles de protection des données.

Peter Hustinx, CEPD, déclare: "Le cloud computing peut apporter d'énormes avantages pour les individus et les organisations, mais doit également garantir un niveau de protection adéquat. Actuellement, de nombreux clients du cloud, y compris les utilisateurs des réseaux sociaux, n'ont que très peu d'influence sur les termes et conditions du service offert par leurs fournisseurs. Nous devons garantir que ces fournisseurs de solutions cloud n'échappent pas à leur responsabilité et que les clients du cloud soient en mesure de remplir leurs obligations en matière de protection des données. La complexité de la technologie cloud ne peut en aucun cas justifier une baisse des standards de protection des données."

La responsabilisation est une pierre angulaire de la protection des données et les responsabilités de toutes les parties impliquées dans le cloud computing doivent être définies de manière précise dans la législation. Sans définition claire, la complexité et l'implication de multiples acteurs dans le cloud computing pourraient conduire à une attribution des obligations et responsabilités relatives à la protection des données entre le client du cloud et le fournisseur de services cloud qui ne reflète pas leurs rôles et leur influence respective dans la réalité; il en résulterait un sérieux déficit de protection en pratique. Le risque que personne n'endosse la pleine responsabilité en matière de protection des données dans cet environnement complexe représente un enjeu majeur.

Le CEPD estime que le déséquilibre de pouvoir entre les clients du cloud et les fournisseurs de service cloud peut être résolu par la mise en place de conditions générales commerciales standard qui respectent les obligations de protection des données pour les contrats commerciaux, les marchés publics ainsi que les transferts internationaux de données.

Ces mesures, combinées avec la proposition de nouveau règlement de protection des données qui prévoit des règles claires garantissant que les fournisseurs de service cloud soient entièrement responsabilisés quant au traitement des données, doivent pouvoir empêcher que les responsabilités relatives à la protection des données ne s'évaporent tout simplement dans les airs.

Les autres recommandations du CEPD incluent notamment:

• une clarification et des lignes directrices dans la manière de garantir l'efficacité des mesures de protection des données en pratique et l'utilisation de règles d'entreprise contraignantes;
• la mise en place de bonnes pratiques en matière de responsabilité des responsables de traitement et des sous-traitants, de conservation des données dans l'environnement cloud, de la portabilité des données et de l'exercice des droits des personnes concernées;
• le développement de standards et de systèmes de certification incluant les critères de protection des données;
• la définition claire de la notion de transfert et des critères régissant l'autorisation d'accès aux données dans le cloud par les organes répressifs en dehors des pays de l'EEE.