Dans un avis rendu début juillet, les instances réglementaires de l’informatique des 27 pays européens attirent l’attention des utilisateurs du Cloud Computing sur les risques encourus et les précautions à prendre en matière de protection des données personnelles.

Le Groupe de travail dit « article 29 » est une instance qui réunit les CNIL (Commission nationale informatique et libertés) européennes autour de « la protection assurée à toute personne quelque soit le lieu où sont opérés les traitements de ses données à caractère personnel », problématique prise en compte par une directive adoptée en octobre 1995 par l’Union en vue d’harmoniser les points de vue sur le sujet au sein des États membres.

Ces autorités indépendantes se réunissent régulièrement à Bruxelles pour conseiller la Commission européenne sur ses initiatives législatives et pour harmoniser leurs propres pratiques ou recommandations destinées aux concepteurs et aux utilisateurs des technologies de l’information. Cette conférence, dénommée « groupe de l’article 29 » par référence à l’article de la directive qui l’a institué, se prononcent par des avis qui sont rendus publics (http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm)

Début juillet, le groupe de travail a rendu un nouvel avis sur le Cloud Computing, qui apporte un éclairage supplémentaire aux acteurs de l’informatique en nuage ainsi qu’à leurs clients et partenaires, et ce, par rapport au contexte européen et sa relation avec le reste du monde. S’il est en effet évident que le Cloud apporte une valeur significative à toutes les entreprises, quelque soient leur taille et leur secteur d’activité, celles-ci se demandent néanmoins comment garantir la confidentialité et la sécurité de leurs données. Même si l’on est convaincu que le Cloud est une réelle opportunité pour les entreprises de renforcer les systèmes de sécurité et de confidentialité et de mieux faire face à l’augmentation des défis en matière de conformité, il demeure que cela ne doit pas se faire au détriment de la gouvernance et de la conformité avec les règles juridiques en vigueur. L’avis du « groupe article 29 » veut ainsi contribuer à instruire le débat en entérinant les points suivants :

– Les clauses contractuelles types édictées par l’Union Européenne (EU Model Clauses, soit la directive 95/46/CE et la directive 2002/58/CE révisée par 2009/135/CE, et consultables à l’adresse http://europa.eu/legislation_summaries/information_society/data_protection/l14012_fr.htm) constituent un cadre solide, apportent plus de garanties aux consommateurs de services Cloud que l’accord Safe Harbour, c’est à dire l’ensemble de principes de protection des données personnelles, négociés entre les autorités américaines et la Commission européenne en 2001. Le Safe Harbour définit notamment une « protection adéquate » pour les transferts de données en provenance de l’Union européenne vers des entreprises établies aux Etats-Unis (information des personnes concernées, possibilité accordée aux personnes concernées de s’opposer à un transfert à des tiers ou à une utilisation des données pour des finalités différentes à celles initialement prévues, consentement explicite pour les données sensibles, droit d’accès et de rectification, sécurité) mais ne déroge pas aux lois américaines (en particulier le Patriot Act).

– Les acteurs du Cloud sont libres de proposer des clauses «fondées sur leur expérience», tant que celles-ci ne contredisent pas les clauses de la Commission ou n’en diminuent pas le niveau de protection. Cela suppose que les services juridiques des entreprises – voir les utilisateurs grand public – soient à même de comparer minutieusement les règles propriétaires avec celles du droit commun.

– l’avis insiste également sur la transparence des conditions contractuelles qui est la condition impérative pour établir la confiance dans le Cloud.

Il est ainsi souhaité que les hébergeurs indiquent clairement comment sont gérées les données qui leur sont confiées, avec des informations précises et claires sur les pratiques en matière de sécurité et de confidentialité.

Dans la conclusion de son avis, le Groupe de travail « article 29 » insiste sur le fait que les entreprises et les administrations qui désirent utiliser le Cloud Computing doivent, en tout premier lieu, effectuer une analyse approfondie de risques. Cela veut dire se renseigner sur la manière dont les données sont traitées (c’est à dire quels sont les modes de contrôle et quelles sont les informations disponibles) et sur le type de données qui sont effectivement traitées. Une attention particulière doit aussi être portée sur les risques légaux liés à la protection des données, en particulier sur les obligations liées à la sécurité et aux transferts internationaux. Le traitement des données sensibles via le Cloud impose évidemment des attentions supplémentaires. Donc cela implique des procédures de sauvegarde complémentaires sans pour autant que cela porte préjudice aux législations nationales. Les conclusions (du groupe de travail article 29) visent finalement à établir une liste de points à vérifier par les clients ou les hébergeurs concernant la conformité des services Cloud vis à vis du cadre juridique actuel qui définit la protection des données. Certaines recommandations tiennent aussi compte des évolutions réglementaires en cours d’étude au niveau de l’Union Européenne, et même hors de l’Union, concernant notamment un meilleur partage des responsabilités entre les personnes en charge du traitement des données et celles ayant pour mission de les contrôler, les obligations tierces en matière d’accès aux données personnelles pour des raisons de sécurité nationale ou de lutte contre la criminalité, ou les précautions spéciales que pourrait prendre le secteur public (au niveau gouvernemental) pour protéger les données personnelles.

Un plus pour les hébergeurs européens

Grâce à une réglementation européenne plus protectrice pour les utilisateurs du Cloud que son équivalent américain, les hébergeurs européens disposent d’arguments séduisants pour convaincre des clients qui voudraient absolument savoir dans quel pays voire dans quel site sont stockées les données. Il est également de l’intérêt des hébergeurs de mettre en pratique les préconisations de l’Union Européenne en matière de transparence des règles contractuelles et des modalités de protection des données. Cette transparence est indispensable pour établir une vraie confiance dans les services d’hébergement de type Cloud mais aussi dans toutes les applications qui fonctionnent selon ce principe et plus particulièrement les sites de e-commerce qui pratiquent les transactions en ligne.