Cloud Computing et protection des données personnelles
Depuis le 25 mai, le Règlement général sur la protection des données (RGPD) impose aux entreprises collectant des données à caractère personnel différentes mesures quant à leur traitement et leur conservation. Dans ce cadre, la question du stockage de ces données par le biais de technologies comme le Cloud Computing soulève de nombreuses interrogations parmi les différents acteurs impliqués. Maître Sabrina Martin, associée fondatrice du cabinet Martin Avocats Sàrl, revient avec nous sur celles-ci et souligne l’importance d’un conseil juridique quant à ces questions.
Comment définir la notion de Cloud Computing?
Le Cloud Computing, dans une définition originairement donnée par la CNIL en 2012, est défini comme «le déport vers le nuage Internet de données et d’applications qui auparavant étaient situées sur les serveurs et ordinateurs des sociétés, des organisations ou des particuliers. Le modèle économique associé s’apparente à la location de ressources informatiques avec une facturation en fonction de la consommation».
Sur le plan terminologique, le Cloud Computing peut par conséquent être aujourd’hui défini comme une forme évoluée d’externalisation dans laquelle le client ou l’utilisateur dispose d’un service en ligne, dont l’administration et la gestion opérationnelle sont effectuées par un sous-traitant.
Sur le plan technique, il peut être réalisé via différents services. En effet, les nombreux avantages du Cloud Computing ont entraîné un important essor des projets informatiques d’externalisation en mode SaaS, PaaS ou IaaS. En raison des particularités technologiques et contractuelles des offres cloud, il est bien entendu fortement recommandé de se faire assister par un avocat.
Il ne faut pas perdre de vue qu’une entreprise héberge, sauvegarde ou simplement collecte des données à caractère personnel, et devient ainsi actrice aux yeux du RGPD.
Force est de constater que le Cloud Computing est aujourd’hui, par conséquent, au cœur des discussions de nombreuses entreprises, et ce, peu importe leur taille, eu égard à l’entrée en vigueur du RGPD.
Ce règlement est d’application en Europe depuis six mois. Comment avez-vous accompagné vos clients dans cette transition?
Afin d’assurer une conformité globale, ainsi qu’une gouvernance RGPD pérenne, nous proposons d’allier à l’approche juridique une approche technique avec la collaboration d’une société luxembourgeoise spécialisée dans le domaine de la sécurité informatique et de la mise en place de management de la sécurité des informations directement impactée par la gouvernance d’entreprises, partenaire de Martin Avocats.
Notre offre conjugue dès lors trois domaines, juridique, technique et organisationnel, et permet d’appréhender la mise en conformité au RGPD, de façon transversale. À titre exemplatif, Martin Avocats assiste ses clients dans l’établissement de registre de traitements et les dirige dans le choix des mesures de sécurité les plus adaptées aux risques encourus.
Nous les assistons également dans la rédaction personnalisée de politique de gestion des données personnelles, dans la mise à jour des contrats ainsi que dans l’analyse des infrastructures de sécurité informatique des données. Martin Avocats propose également des formations, ainsi qu’une analyse d’impact.
Nous sommes membre de l’Association pour la Protection des Données à Luxembourg, ce qui implique un devoir de veille juridique en la matière et une implication dans les commissions de travail. Cela nous permet d’être au fait de l’actualité en la matière et d’appréhender au mieux l’approche concrète de la CNPD en qualité d’autorité de contrôle à Luxembourg, ce qui rassure naturellement nos clients.
S’agissant de l’avancée de la mise en conformité des entreprises du secteur privé, deux approches opposées sont constatées, certaines entreprises sont dans l’expectative notamment des premières sanctions administrées par la CNPD et d’autres de bonne volonté sont en cours de mise en conformité au RGPD.
Concernant l’utilisation du Cloud Computing par les entreprises pour le stockage de leurs données, quelles problématiques légales de protection de celles-ci peuvent se présenter?
Nous assistons nos clients dans le traitement de problématiques comme celles des droits de la propriété intellectuelle, de la protection des données à caractère personnel, de la responsabilité des parties (notamment la clause limitative de responsabilité, définissant les conditions d’indemnisation en cas de dysfonctionnement créant un préjudice tel que la perte de données ou de bénéfices), ou encore de la clause de réversibilité, indispensable pour permettre à l’entreprise de récupérer ses données auprès du prestataire informatique en cas de résiliation des relations contractuelles, qu’elle soit amiable ou contentieuse.
Pour les entreprises, la décision de migrer vers des solutions de Cloud Computing et de faire héberger dans le cloud ou dans le data center d’un hébergeur leur système informatique ou certaines de leurs applications stratégiques, ou simplement d’y stocker une sauvegarde en ligne, implique de prendre des précautions juridiques en termes de cybersécurité (risques de piratage), de sauvegarde, de plan de reprise d’activité.
La rédaction d’un contrat de service de Cloud Computing a donc une importance capitale. Les procédés de restitution des données et la sécurisation de l’information sous-traitée requièrent une attention particulière.
Il est primordial désormais de s’assurer que le fournisseur de services cloud se conforme au RGPD. Ce dernier prévoit expressément d’insérer dans les contrats de sous-traitance un droit d’audit afin de permettre au responsable de traitement de constater les mesures établies par le fournisseur. Dans un futur proche, les fournisseurs pourront obtenir des certifications de conformité au RGPD, ce qui établira un rapport de confiance avec leur client (B2C) et entre les entreprises (B2B).
Dans le cadre d’une migration des données dans un Cloud Computing, nous recommandons, suivant l’activité du client, une solution Iaas ou Paas. Le conseil d’un avocat s’avère indispensable lorsqu’il s’agit de limiter contractuellement la responsabilité des clients et de dédommager ces derniers en cas de mauvaise exécution du contrat, se traduisant par une violation des données notamment (clause pénale).
Quelles garanties une entreprise doit-elle exiger de son sous-traitant de service cloud pour se conformer au RGPD?
Nous constatons aujourd’hui que les entreprises jugent que le Règlement général sur la protection des données conditionne fortement leur choix et leur approche en matière de cloud. Elles exigent un prestataire disposant de garanties en adéquation avec le RGPD, travaillent plus étroitement avec les juristes et avocats, lancent des programmes de sensibilisation interne et mettent en place de nouvelles gouvernances et une gestion des risques associés.
Le RGPD peut aussi induire la création de nouvelles fonctions en charge des aspects de «compliance» au sein des entreprises et les pousser à opter pour une préférence européenne en matière de solution. Concernant ce dernier point, on notera que le Conseil de l’Union européenne devrait adopter le Règlement sur la libre circulation des données non personnelles dans les prochaines semaines, suite à un avis favorable émis par le Parlement européen, ce qui implique que la libre circulation des données, à caractère personnel ou non personnel, s’inscrira dans le cadre d’un espace européen unique des données.
Force est de constater qu’aujourd’hui les entreprises estiment que le passage au Cloud Computing complexifie leur approche en matière de sécurité et de protection des données. Dans ce contexte, nombreuses sont celles qui attendent spécifiquement que leurs prestataires de cloud hébergent leurs solutions dans des datacenters conformes aux exigences du RGPD, proposent des garanties quant à leur responsabilité en matière d’hébergement de données et s’engagent sur des SLAs en matière de protection des données sur les contrats existants.
Protéger la confidentialité et la sécurité des données personnelles va devenir un élément majeur de la relation client. Il faut voir la mise en conformité avec le RGPD comme un impératif bénéfique, et ce, notamment afin d’éviter les amendes qui peuvent se révéler conséquentes, mais également comme un argument commercial de poids. La prise en compte du risque réputationnel devenant incontournable dans le cadre d’une concurrence toujours plus aiguisée.