La CNIL a lancé le 17 octobre une consultation sur le Cloud Computing pour laquelle les réponses sont dues d’ici le 27 novembre.
Ce délai semble court considérant la portée des questions soulevées.
• La première porte sur la définition même de ce que constitue le Cloud Computing (terme que la CNIL choisi donc de ne pas traduire) et pour laquelle elle propose de procéder par faisceau d’indices.
• La CNIL s’interroge sur le point de savoir si le prestataire, présumé sous-traitant, ne doit pas être qualifié dans certains cas de responsable de traitement (la question de la détermination de la qualité de responsable de traitement et sous-traitant a déjà fait l’objet de nombreux débats et recommandation et notamment de l’avis 1/2010 du groupe de travail de l’article 29). Elle précise qu’en tout état de cause le client resterait responsable de traitement.
• Le CNIL pose ensuite la question de la détermination de la loi applicable (qui, lui, a fait l’objet de l’avis 8/2010 du groupe de travail de l’article 29) et plus particulièrement de la pertinence du critère de l’utilisation de moyens de traitements dans un Etats membre de l’UE en raison de l’utilisation de multiples serveurs (en effet ce critère a pour effet de rendre applicable la loi de l’Etat, ou de chacun des Etats, où ce trouvent ces « moyens » lorsque le responsable de traitement est hors de l’UE)
• La question suivante porte sur les outils qui peuvent, en pratique, être utilisés pour protéger les transferts de données vers des pays n’offrant pas une protection équivalente à la réglementation européenne. Elle propose à nouveau comme solution les « BCR sous-traitants » (règles contraignantes d’entreprise pour sous-traitants), ces BCR n’existant pas encore dans la réglementation européenne. En effet la CNIL et un certain nombre de prestataires militent pour que la règlementation permette à des prestataires d’offrir une sorte de « garantie de protection » à leurs clients sous forme de BCR (approuvés par les autorités européennes) couvrant le traitement par le prestataire (en qualité de sous-traitant) des données de ses clients. Cependant même cette solution ne sera pas suffisante car elle ne couvre pas le cas où le prestataire lui-même recoure partiellement à des prestataires hors de son groupe (les BCR étant applicable seulement au sein d’un groupe).
• En dernier lieu la CNIL pose des questions sur la sécurité : la transcription des principes de sécurité dans les contrats avec les prestataires ; la nécessité d’analyser les risques ; les recommandations que la CNIL devrait faire aux responsables de traitement, le chiffrement des données et la réversibilité.
Les questions reflètent la difficulté du sujet à traiter. Si la technologie n’est pas vraiment nouvelle, elle s’inscrit dans une globalisation des données, un certain rapport de force contractuel et la sensibilisation aux questions de confidentialité et de sécurité. Par ailleurs les enjeux commerciaux sont considérables .La suite qui sera donnée par la CNIL à cette consultation sera particulièrement intéressante.