Le groupe 29 (qui regroupe les autorités européennes de protection des données personnelles) vient de publier à son tour, dans son avis 05/2012, des recommandations sur le cloud.
Différentes dans leur présentation, elles sont sur le fond clairement très proches de celles publiées par la CNIL le 25 juin 2012, ce qui n’est guère surprenant. (lire : Les recommandations de la CNIL sur le cloud…)
Tout en reconnaissant les avantages indéniables du cloud, la principale préoccupation du G29 est de maintenir la protection des données à un niveau équivalent à celui des traitements plus conventionnels.
On peut relever, sans ordre particulier et sans être exhaustif, quelques nuances par rapport aux recommandations françaises. Le G29 :
• regroupe les risques majeurs en deux grandes catégories : la perte de contrôle et l’absence de transparence (ou l’insuffisance d’informations sur le traitement) ; et identifie comme principaux risques juridiques : la sécurité et les transferts internationaux ;
• ne fait des recommandations que pour le cas où le prestataire est un sous-traitant (« data processor ») tout en notant, comme la CNIL, qu’il pourrait aussi apparaitre comme conjointement responsable dans certains cas de figure ;
• ne donne pas de modèles de clauses bien qu’il fasse des recommandations sur le contenu du contrat avec le prestataire ;
• reprend certains des thèmes identifiés dans la consultation de la CNIL, comme la loi applicable (mais sans proposer de nouvelles règles) ;
• propose que la liste nominative et géographique des sous-traitants soit donnée par le prestataire par le biais d’un « registre public numérique » ;
• insiste sur le fait que si le client consent par avance à la sous-traitance, il faut qu’il soit informé de tout nouveau sous-traitant et de tout changement et qu’il puisse objecter (!).
En ce qui concerne les différences plus notables :
• Le G29 considère que les audits fait directement par les clients sont probablement impraticables techniquement, voire de nature à accroitre les risques et privilégie les audits par des tiers indépendants choisis par le client.
• Le G29 lance un certain nombre de propositions de modifications du projet de Règlement européen afin d’intégrer davantage les problématiques du cloud.
A ce titre, il propose notamment que le règlement interdise aux responsables de traitement (donc aux clients) de divulguer les données à une autorité ou un tribunal étranger lorsque la demande n’est pas encadrée par un traité international ou un accord de coopération mutuelle dans le domaine judicaire. Cette proposition soulève, à mon sens, des problèmes considérables, car le responsable de traitement ne sera pas en mesure d’empêcher que son sous-traitant obéisse à des injonctions de tribunaux ou autorités (ni même, dans certains cas ne pourra l’obliger à l’en informer), alors qu’il sera dans l’obligation d’intégrer ce point dans le contrat avec son prestataire. La solution serait-elle d’écarter certains pays (sans que cela n’évite tout risque en la matière) et donc d’en revenir à la proposition d’un cloud européen ?
• Le G29 considère que l’utilisation du safe harbor par le prestataire pour couvrir les transferts internationaux pourrait ne pas suffire en l’absence de capacité effective de faire respecter les principes de protection des données dans le cloud. Il est probable que le G29 fait autant allusion à la difficulté pour le client de faire respecter son contrat en aval de la chaine des sous-traitants, qu’à la limitation géographique du pouvoir d’investigation et de sanction de l’autorité américaine compétente, à savoir la FTC, dans un environnement de cloud. Les clients doivent demander et obtenir des preuves de la certification et du respect des principes fondamentaux. Le G29 insiste surtout à plusieurs reprises sur le fait que dans certains pays il est nécessaire d’obtenir des garanties contractuelles supplémentaires. Il s’agit avant tout de l’Allemagne. Cependant, à bien les lire, les recommandations de la CNIL pour le cloud ont exactement le même effet (à savoir d’exiger un certain nombre de garanties proches de celles des clauses types, quelle que soit la façon dont est protégé le transfert international, alors qu’elles ne sont pas requises dans le cas d’une société américaine adhérant au programme de safe harbor).
Le G29 se dit conscient que la complexité du cloud ne permet pas de traiter convenablement toutes les problèmatiques dans un simple avis, mais considère que celui-ci constitue néanmoins une base solide pour les clients du cloud en Europe. Si les prestataires ont pu s’inquiéter en découvrant le texte français ce n’est certainement pas le texte européen qui allègera les contraintes auxquelles ils vont devoir se plier pour vendre leurs services.
Stéphanie Faber est Membre de voxFemina – Paroles d’Experts au Féminin