Le Cloud computing
confronté aux problématiques
de protection des données personnelles
Le Cloud computing est l’une des innovations techniques les plus significatives de cette décennie. Selon les termes de Honor Mahony, du site euobserver.com, le cloud computing est aussi important que « les PC l’étaient pour les années 1970 : un saut technologique et social qui changera le mode de fonctionnement des business, la façon dont sont organisées les villes, celle dont les gens effectuent leur travail, et ce que les citoyens attendent de leurs services en ligne ». Les services de Cloud peuvent ainsi être définis comme étant un accès à des ressources informatiques sur demande via le réseau. Plus précisément, ceux-ci fournissent un accès flexible et non dépendant de l’emplacement à des ressources informatiques qui sont rapidement allouées en fonction de la demande. Ces services, et en particulier les infrastructures, sont abstraits et virtualisés. Les ressources sont quant à elles généralement mises à disposition de plusieurs utilisateurs. La facturation est alors basée sur l’accès aux services en fonction de la quantité de ressources utilisée.
On dénombre quatre types de Cloud :
- Le Cloud public, où l’infrastructure est partagée entre différents utilisateurs variés, de telle manière que les différents utilisateurs se voient utiliser le même matériel ou le même fournisseur d’applications software et/ou ont leurs données stocké dans la même base de données.
- Le Cloud privé, où l’infrastructure est détenue par, ou utilisée pour, le bénéfice d’un client unique (ou d’un groupe d’entités).
- Le Cloud hybride, qui implique un mix entre Cloud privé et Cloud publique (exemple : une société possédant un Cloud privé et qui autorise des utilisations de Cloud public en cas d’un haut pic de demande).
- Le Cloud communautaire, où l’infrastructure appartient à/est contrôlée par, et partagée entre, un nombre spécifique d’utilisateurs prédéfinis avec un intérêt commun (exemple : les utilisateurs d’une agence gouvernementale).
Les services de Cloud sont quant à eux divisés en trois catégories :
- Les IaaS (Infrastructure as a Service) : l’utilisateur dispose d’une infrastructure informatique se trouvant physiquement chez le fournisseur, en contrepartie du paiement d’un abonnement.
- Les PaaS (Plateform as as Service) : l’utilisateur a la possibilité de développer, de gérer et de se servir d’applications en ligne sans avoir à se soucier de la création et de la maintenance des infrastructures normalement nécessaires à ce type de développement.
- Les SaaS (Software as a Service) : l’utilisateur bénéficie d’un accès à des logiciels installés sur des serveurs distants plutôt que sur sa propre machine, sans payer de licence d’utilisation mais en contrepartie d’un abonnement payant.
En outre, un service de Cloud peut présenter plusieurs niveaux de fournisseurs : un fournisseur de SaaS peut ainsi utiliser les IaaS d’un autre fournisseur, …
Il faut cependant préciser que, même si l’on dénomme ceci Cloud computing, en réalité cela correspond à des ordinateurs physiques, avec des baies de stockage, hébergés dans des locaux physiques appelés data centers.
En outre, il faut dissocier la propriété des infrastructures de data centers de la propriété des serveurs et autres équipements s’y trouvant, de celle des plateformes installées sur ces équipements ainsi que de celle des applications et autres logiciels fonctionnant sur ces infrastructures. De manière similaire, les propriétaires du matériel ou des logiciels ne gèrent pas forcément les services faisant usage de ces infrastructures afin de fournir des services de Cloud computing à ses utilisateurs.
On peut citer comme exemple de fournisseurs de services de Cloud les sociétés Amazon, Microsoft, Google, ou la société française OVH.
Les bénéfices que peuvent tirer les sociétés du Cloud computing sont nombreux : réduction des pertes de ressources en termes de systèmes d’information, augmentation de l’efficience des data centers, réduction des coûts et notamment de leurs coûts up-front lorsque ces sociétés achètent et maintiennent leurs propres systèmes d’information, plateformes et logiciels, …
Cependant, des problématiques sécuritaires peuvent également être soulignées en matière de Cloud computing. Comme précisé auparavant, les fournisseurs de services de Cloud stockent la plupart du temps les données de différents clients sur les mêmes serveurs. Les données de ces derniers peuvent ainsi être mélangées physiquement dans le Cloud, ce qui cause des risques accrus de sécurité pour les données sensibles des consommateurs. De la même manière, les Clouds publics regroupent les données de plusieurs de leurs utilisateurs dans des dossiers uniques, et ceux-ci partagent les applications et espaces de stockage de façon commune. Il suffit donc d’une seule connexion non autorisée sur le serveur d’un Cloud public pour compromettre les données de plusieurs utilisateurs du service. En outre, les techniques traditionnelles de protection de l’information mises en place par une société n’ayant jamais eu recours à un service de Cloud ne sont pas suffisantes lorsque cette société passe dans un environnement de Cloud computing. Les données sont donc une nouvelle fois menacées.
L’évolution du Cloud, tant au niveau professionnel qu’au niveau des particuliers crée un besoin de régulation de cette industrie, qui se développe très rapidement. Une caractéristique commune aux systèmes de Cloud computing est le fait qu’ils transfèrent et stockent bien souvent les données dans des serveurs situés hors du pays dans lequel la société qui utilise les services de Cloud computing opère et où les consommateurs dont les données proviennent résident. Cela peut, entre autres, créer des réticences, notamment de la part des américains, d’utiliser les services de Cloud computing et les datas centers européens car même si les données proviennent de personnes ne résidant pas en Europe, ils sont soumis à la loi européenne en matière de protection des données personnelles, très rigoureuse.
Car en matières de données personnelles, la directive européenne 95/46/CE trouve à s’appliquer. Celle-ci assure l’application des obligations de protection des données aux données personnelles liées à l’Union Européenne, et ce même si ces données sont traitées hors de l’UE par un responsable de traitement des données établi hors de l’UE.
La responsabilité du traitement des données personnelles incombe à l’utilisateur (contrôleur des données) ainsi qu’au fournisseur de services de Cloud (responsable de traitement). L’utilisateur est donc le principal responsable quant au respect de la législation concernant la protection des données. Les différentes obligations en matière de protection des données (collecte et traitement loyal et licite, obligations de confidentialité et de sécurité, finalités déterminées, licites et légitimes, …) entrent en compte. Cependant, l’utilisateur ne pourra être tenu responsable s’il n’a pas été en mesure d’être conscient des risques et menaces. S’il n’a pas assez d’informations de la part du fournisseur de services sur la façon dont le traitement des données est effectué, cela l’empêche de pouvoir mesurer les risques et de prendre les mesures nécessaires pour les atténuer.
Le recours à un document contractuel permet de répartir les responsabilités entre le fournisseur de Cloud et l’utilisateur. En outre, le fournisseur doit pouvoir prouver qu’il met en œuvre des mesures effectives de protection des données. On peut ainsi faire figurer diverses mentions au contrat :
- Le détail des instructions de l’utilisateur quant au traitement des données
- Les spécifications détaillées des mesures de sécurité mises en œuvre dans le cadre du traitement des données
- Les obligations du fournisseur de coopérer avec l’utilisateur lorsque ce dernier souhaite accéder aux données
- La division des responsabilités en cas de violation des données
- Une liste des emplacements où le traitement des données peut être effectué
- Les clauses permettant le transfert des données hors UE
- …
Un utilisateur du Cloud ou un fournisseur de services de Cloud sera sujet aux obligations européennes s’il a une filiale, une succursale, un agent, ou un data center dans la zone UE, ou s’il utilise un data center ou d’autres équipements situés en UE.
Si le responsable de traitement des données a un établissement sur le territoire d’un état membre de l’UE et s’il traite des données personnelles dans le cadre des activités de cet établissement, il est soumis aux régulations européennes concernant le traitement de données, qu’importe où ce traitement est effectué. Cela s’applique au Cloud computing. Un établissement, pour être considéré comme tel, doit avoir au minimum un bureau pourvu en personnel avec un degré de permanence et de stabilité. Cela implique que les ressources humaines ainsi que celles techniques nécessaires pour la fourniture du service soient présentes de façon permanente. La forme légale de l’établissement importe peu.
Concernant le cadre de l’activité du responsable de traitement des données, le degré d’implication de l’établissement et la nature des activités sont pris en compte dans le but d’assurer une protection des données effective. Cela s’applique au fournisseur de Cloud ayant un ou plusieurs établissements en Union Européenne. Il en découle deux conséquences : la loi de protection des données s’applique même si aucun traitement des données personnelles n’est effectué dans l’établissement, et plusieurs établissements situés sur le territoire de plusieurs Etats membres de l’UE peuvent être impliqués dans ces activités. Le responsable de traitement peut donc être soumis à différentes applications nationales de la directive.
Pour lutter contre les conflits de législations multiples, la commission européenne propose d’adopter la notion d’établissement principal qui, pour un responsable de traitement, serait l’établissement situé sur un territoire de l’UE où les décisions principales, aux vues des raisons, conditions et moyens de traitement des données, sont prises dans l’Union Européenne. L’établissement principal est donc celui où les traitements effectués dans le cadre de l’activité de l’établissement principal du responsable de traitement sont effectués. L’autorité de supervision de cet établissement devra superviser toutes les activités de traitement dans tous les Etats membres, où les traitements de données personnelles sont effectués dans le cadre de l’activité d’un des établissements du responsable de traitement dans l’UE.
Les lois de protection des données d’un état membre ont également vocation à s’appliquer lorsqu’un responsable de traitement n’est pas établi sur le territoire de l’état membre mais que ces lois s’appliquent en vertu des lois internationales. On peut citer le cas des bateaux ou aéronefs battant pavillon de l’état. Par exemple si un data center se situe sur un de ces navires.
La loi a également vocation à s’appliquer s’il y a utilisation d’équipements automatisés ou autres équipements sur le territoire de l’UE dans le cadre d’un traitement de données personnelles, sauf si l’équipement est uniquement utilisé pour faire transiter les données au travers de l’UE. Il n’y a en outre pas besoin que le contenu des données concerne des citoyens européens. En cas d’atteinte aux données, le responsable de traitement doit avoir un représentant légal qui sera responsable et à qui on adressera les amendes. Par équipement l’on entend ordinateurs, terminaux, serveurs, hardware de stockage, data centers, … Il n’y a nul besoin pour le responsable de traitement d’être le propriétaire ou d’avoir le contrôle complet de l’équipement. Il faut seulement qu’il ait un degré de contrôle suffisant sur celui-ci.
Concernant les cookies des utilisateurs résidant en UE, il y a également application de la loi. Les organes européens de régulation de la protection des données considèrent que les fournisseurs de SaaS doivent respecter les lois européennes s’ils sauvegardent ou extraient les cookies des équipements des utilisateurs. Donc, si un service de Cloud a besoin de stocker un cookie, ou d’utiliser un script sur l’utilisateur, d’un citoyen européen dans le cadre des traitements des données personnelles, cela serait suffisant pour appliquer la législation européenne. Cependant, ceci n’aurait pas vocation à s’appliquer envers les fournisseurs de PaaS ou d’IaaS, considérés comme simples collecteurs de données.
La CNIL a en outre considéré, en mars 2011, que les personnes résidant hors de l’Union Européenne ayant recours à des fournisseurs de services situés en France utilisent ainsi des moyens situés en France et que, pour cette raison, ceux-ci sont soumis à la loi française en matière de protection des données personnelles. Le but est ainsi d’assurer un niveau de protection élevé des données personnelles tout en générant des solutions pour ne pas freiner le développement des fournisseurs de services français. Pour cela, la CNIL a décidé de dispenser de certaines obligations le traitement de certains types de données personnelles, limités à certains buts, lorsque celui-ci est réalisé par un fournisseur de services français pour le compte d’un responsable de traitement établi hors de l’UE, et d’autoriser les flux de données transfrontaliers vers les sociétés non européennes.
Cependant, la directive 95/46/CE interdit le transfert des données personnelles des utilisateurs résidant en Europe lorsque celles-ci sont transférées dans un pays n’ayant pas un niveau de protection adéquat. L’Union Européenne a ainsi considéré que les lois américaines ne garantissaient pas un niveau suffisant de protection. En effet, la législation américaine ne possède pas de notions similaires à celles de données personnelles et de données sensibles. Ceci est notamment dû à la vision différente de la protection accordée aux données outre atlantique, qui est plus centrée sur la prévention des risques économiques que sur la protection de la vie privée des consommateurs. Jusqu’au 6 octobre 2015 ceci pouvait être pallié lorsque la société était certifiée comme respectant le Safe Harbor mais la décision de la CJUE, dans son arrêt Schrems, a remis en cause cet accord autorisant le transfert des données vers les Etats-Unis. Il faudra donc, à compter du 31 janvier 2016, se conformer à la législation européenne pour pouvoir à nouveau transférer les données outre atlantique.
Il est important de préciser que le règlement européen relatif à la protection des données personnelles, qui va bientôt être voté, va être source de nombreux changements dans l’industrie du Cloud computing. L’un des points clés de celui-ci est de simplifier les règles européennes de protection des données en établissant un régime uniforme au niveau de l’UE afin de remplacer les législations existantes qui sont actuellement fragmentées du fait des différences propres à chaque Etat membre. Ce règlement a également pour objectif d’augmenter la responsabilité du contrôleur et du responsable de traitement des données en imposant à ceux-ci de documenter chaque traitement, d’assurer une protection effective et de notifier aux autorités étatiques chaque cas recensé de violation des données.
Grégoire Carissimo
Promotion 2015 - 2016