Services Cloud et le Préposé fédéral à la protection des données PFPDT

Services Cloud et le Préposé fédéral à la protection des données PFPDT

Onnens le 19 novembre 2016

De plus en plus d’entreprises, d’autorités et d’institutions confient le traitement de leurs données à des entreprises externes, misant sur l’informatique en nuage (cloud computing). Les applications et les données ne se trouvent donc plus sur les réseaux internes, mais dans le nuage, et l’accès aux données, aux services et à l’infrastructure se fait à distance.

Ce mode de traitement des données implique que les logiciels, la mémoire ou les capacités de calcul soient utilisées en réseau selon les besoins, par ex. sur Internet ou au sein d’un réseau privé virtuel. En d’autres termes, ces capacités sont louées: l’environnement informatique (centre de calculs, espaces de stockage, logiciels de messagerie et de collaboration, environnements de développement et logiciels spéciaux tels que la gestion des relations avec la clientèle) n’est plus la propriété de l’entreprise ou de l’autorité et n’est plus géré par celles-ci, mais est loué à un ou plusieurs prestataires de services.



L’utilisation des services en nuage du point de vue de la protection des données

1. Du point de vue du droit de la protection des données, le traitement de données personnelles découlant de l’utilisation de l’informatique en nuage relève normalement du traitement de données par un tiers au sens de l’art. 10a LPD .

Aux termes de cet article, le traitement de données personnelles peut être confié à un tiers (en l’occurrence, le prestataire de services) pour autant que:

  • seuls les traitements que le mandant serait en droit d’effectuer lui-même sont effectués;
  • aucune obligation légale ou contractuelle de garder le secret ne l’interdit;
  • le mandant doit en particulier s’assurer que le tiers garantit la sécurité des données.
  • Le prestataire de services doit donc être contraint de se conformer entièrement aux dispositions sur la protection des données applicables en Suisse, de même que tout sous-traitant. Le respect de cette règle pose cependant des difficultés pratiques étant donné que les rapports de sous-traitance ne sont souvent pas transparents pour l’utilisateur du service.

    2. L’utilisateur du service doit s’assurer que le prestataire (le tiers) garantit la sécurité des données au sens de l’art. 7 LPD et des art. 8 ss et 20 ss OLPD .

    Ces dispositions prévoient que les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures techniques et organisationnelles appropriées et qu’il faut assurer la confidentialité, la disponibilité et l’intégrité des données.

    Le prestataire doit protéger les données contre les risques suivants:

  • destruction accidentelle ou non autorisée;
  • perte accidentelle;
  • erreurs techniques;
  • falsification, vol ou utilisation illicite;
  • modification, copie, accès ou autre traitement non autorisés.
  • Ces mesures doivent faire l’objet d’un réexamen périodique sur place. La mise en oeuvre concrète des mesures de protection des données dépend de l’entreprise ou de l’autorité, du type de données, de l’organisation du nuage et de son découpage (nuage privé ou public, offre portant sur l’infrastructure, la plateforme ou les logiciels).

    De manière générale, plus les données sont confidentielles, secrètes, importantes (secrets d’entreprise) ou sensibles (particulièrement dignes de protection), plus leur délocalisation dans un nuage, en particulier à l’étranger, est déconseillée et plus les mesures de sécurité et de contrôle doivent être strictes et complètes.

    3. L’utilisation de services en nuage implique dans de nombreux cas de communiquer des données à l’étranger, puisque leur traitement a souvent lieu sur des serveurs disséminés dans le monde entier (sans compter que les prestataires de services ont fréquemment recours à des sous-traitants).

    Les pays concernés connaissent très souvent un niveau de protection des données inférieur à celui de la Suisse: les données qui y sont transmises risquent donc de subir des traitements qui ne seraient pas autorisés en Suisse. C’est pourquoi aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence de législation assurant un niveau de protection adéquat (art. 6, al. 1, LPD ), sauf si l’une des conditions visées à l’art. 6, al. 2, LPD est remplie.

    Dans de nombreux cas, l’utilisateur devra passer un contrat avec le prestataire (en impliquant aussi les sous-traitants) pour prévoir des garanties en matière de protection des données. Tous les participants sur l’ordinateur desquels des données personnelles sont traitées doivent être soumis au contrat, ce qui pose certes des difficultés. Il faut toutefois considérer qu’il revient en tout état de cause à celui qui transmet des données à l’étranger de prouver qu’il a pris toutes les mesures nécessaires pour garantir un niveau de protection adéquat.

    4. Enfin, l’utilisateur répond du droit d’accès (art. 8 LPD) et du droit d’effacer ou de rectifier les données (art. 5 LPD) .

    Ces droits doivent être garantis en tout temps et leur mise en oeuvre doit respecter les prescriptions en matière de protection des données, ce qui peut poser de grandes difficultés: comme dit plus haut, l’utilisation d’applications en nuage implique souvent une perte de contrôle sur les données et l’utilisateur ne sait pas ou plus où les données sont traitées.

    Cependant, cela ne le libère pas de ses obligations légales.

    CONCLUSIONS

    Avant de mettre des données dans un nuage, il faut choisir soigneusement le prestataire (en procédant notamment à une analyse complète des risques des points de vue organisationnel, juridique et technique), lui donner des instructions précises et le surveiller attentivement.

    En fin de compte, l’utilisateur du service reste responsable du respect des prescriptions en matière de protection des données, puisqu’il mandate un prestataire, et il répond des infractions en la matière auprès des personnes concernées. Il lui faut donc bien choisir les applications et les données qui peuvent être délocalisées dans un nuage et celles qui doivent rester sur ses propres serveurs. Par ailleurs, en choisissant le type de nuage entrant en considération (nuage privé, nuage public propre à l’entreprise ou nuage hybride), il faut procéder suffisamment tôt à une analyse approfondie des exigences en matière de protection des données, en veillant tout particulièrement au traitement des données personnelles (de leur enregistrement à leur effacement en passant par leur traitement ultérieur), afin que la configuration respecte dès le départ ces exigences.

    Si à la suite de l’analyse des risques, il existe des doutes sur la manière dont les données personnelles sont traitées dans le nuage, il ne faut pas les délocaliser.

    Source: Administration fédérale > Préposé fédéral à la protection des données (PDPDT)

     

     

    Vos outils informatiques,
    sont-ils au service de votre organisation
    ou est-ce souvent le contraire?
    rjNet | rjScan.ch | Suisse - Partenaire Revendeur Autorisé Google Apps for Work Professionnel pour Entreprise


    rjNet | rjScan.ch | Suisse - Google Cloud Associate Certified G Suite Administrator


    rjConsult & Google Apps for Work Unlimited
    Actualité news du monde du Cloud Computing
    Actualité du Cloud Google
    Liens rjConsult sur le Cloud Computing