Cloud: Qu'est-ce qui est autorisé par la loi sur la protection des données?
Aides de travail appropriées
Les solutions « en nuage » sont-elles autorisées par la législation sur la protection des données ?
La réponse est «OUI ! ». Ni le nouveau droit suisse en matière de protection des données ni le règlement général européen sur la protection des données n'interdisent l'utilisation des solutions en nuage numérique. Ils posent toutefois certaines exigences pour que l'utilisation d'un service en nuage soit conforme à la protection des données. Les principales exigences sont les suivantes:
- Recours à un fournisseur de cloud uniquement possible s'il existe une base légale ou contractuelle (CST);
- Responsabilité du fournisseur « cloud » de garantir la sécurité des données (MTO) ;
- Garantir un niveau de protection des données adéquat pour les traitements effectués à l'étranger.
L'importance de ces exigences découle de l'article 61 LPD, lequel prévoit une amende pouvant aller jusqu'à CHF 250 000.– en cas de violation intentionnelle (éventuelle) des obligations en la matière.
Schéma de contrôle d'une solution « cloud » :
- Qui est mon partenaire contractuel ?
- Partenaire contractuel en Suisse ?
- Accord légal ou contractuel pour le traitement des données ?
- La sécurité des données est-elle garantie ?
- Le traitement des données se fait-il exclusivement en Suisse ?
- Doit-on prendre des mesures supplémentaires pour les transferts à l'étranger ?
Rôles en matière de protection des données dans les solutions « cloud »
Dans le cas des solutions en nuage vendues sous forme d'offres SaaS (« Software-as-a-Service ») notamment, le prestataire de services traitera le plus souvent des données personnelles pour le compte du responsable. Cela décharge certes le client de l'exploitation de l'infrastructure correspondante, mais pas de la responsabilité en la matière. Le prestataire agira donc en tant que sous-traitant et les conditions légales correspondantes (article 9 LPD) devront être respectées. La délégation du traitement nécessite donc une base légale ou contractuelle. Dans la pratique, la conclusion d'un contrat de sous-traitance (généralement appelé « CST ») est nécessaire en l'absence de base légale.
Les situations dans lesquelles le fournisseur de services informatiques en nuage ne procède à aucun traitement de données pertinent du point de vue de la protection des données sont plutôt rares. Cela serait envisageable si le fournisseur ne disposait d'aucune possibilité d'utiliser les données transmises de manière à pouvoir en déduire l'identité ou des informations relatives à une personne physique. Cela serait possible, par exemple, par un cryptage préalable des données par le client, et à la condition que la clé reste exclusivement en sa possession. Bien que certains fournisseurs mettent à disposition des possibilités d'utilisation correspondantes, celles-ci s'accompagnent généralement d'une limitation drastique des fonctionnalités disponibles. Cette possibilité est par conséquent rarement utilisée.
Recommandations de produits
Garantir la sécurité des données
En tant que responsable du traitement des données, le client doit s'assurer, par des mesures techniques et organisationnelles (MTO), que la sécurité des données est en mesure d'être garantie. En cas de traitement externalisé des données, il doit garantir les mesures correspondantes auprès du fournisseur de services en nuage. Il convient donc de clarifier les mesures prises par le fournisseur concerné. Il ne suffit pas de se baser sur des déclarations de marketing telles que « nous respectons la protection des données » ou « nous sommes certifiés ISO ». Dans le cadre d'un CST, les exigences minimales en matière de mesures à prendre devraient donc également être convenues par contrat. Celles-ci servent conjointement de liste de contrôle ou de preuve pour le client en cas d'éventuels contrôles.
Dans ce contexte, les MTO devraient au moins fournir des informations objectives sur les points suivants :
- Lignes directrices en matière de mots de passe et d’utilisateurs ;
- Possibilités d'accès chez le fournisseur ;
- Cryptage des données et personnes disposant des clés ;
- Mesures de sauvegarde et possibilités de récupération.
Lieu du traitement
Le lieu du traitement des données proprement dit n'est pas toujours facile à identifier. Les fournisseurs suisses et étrangers offrent souvent la possibilité de choisir (en partie) le lieu de traitement des données. La plupart du temps, le client peut déterminer le lieu de stockage proprement dit (« Data at rest ») et, au moins en partie, la région du traitement des données (« Data in use »). S'il s'agit en outre d'un fournisseur étranger, il est important de vérifier s'il accède aux données depuis l'étranger (p. ex. pour des demandes de support technique) et si, par conséquent, le traitement des données a lieu dans un autre pays.
Si la transparence des fournisseurs s'améliore dans la pratique, il n'est pas toujours possible de savoir au premier coup d'œil où se trouve le lieu effectif de traitement des données. En cas de doute, les clients sont donc bien avisés de se renseigner auprès des fournisseurs concernés. Il convient encore de s'assurer, en interne ou avec un partenaire, que les paramètres concernant le lieu de stockage et de traitement choisis soient effectivement ceux que l'on souhaitait.
Traitement des données à l’étranger
S'il est constaté qu'un traitement de données a lieu à l'étranger, le client d'une solution cloud doit vérifier si le lieu de traitement se situe dans un pays garantissant un niveau de protection des données adéquat. Si le pays en question n'y figure pas, des mesures supplémentaires doivent être prises. Dans la pratique, les clauses contractuelles dites standard de l'UE (avec les adaptations nécessaires pour la Suisse) sont souvent utilisées dans ces cas. Dans la pratique, on constate régulièrement que les fournisseurs de services cloud misent encore sur des mécanismes de transfert obsolètes et mentionnent eux-mêmes encore les « Safe Harbour » ou « Privacy Shield » dans leurs contrats. Ces deux mécanismes de transfert ne sont plus autorisés depuis plusieurs années. Concernant les États-Unis, un changement devrait encore intervenir dans les prochains mois, car l'introduction d'un nouvel accord-cadre sur la protection des données entre la Suisse et les États-Unis est, en toute probabilité, imminente. Le transfert de données de la Suisse vers des fournisseurs disposant d'une certification correspondante serait ainsi à nouveau possible avec un niveau de protection des données approprié.