Lexique IT
Cloud computing
Le « cloud computing », ou « informatique en nuage », désigne un mode de traitement de données sur internet, sous la forme de services fournis par un prestataire.
L’utilisation du cloud computing présente des avantages notamment liés à la réduction des coûts initiaux et des coûts de gestion et l’externalisation partielle ou complète des applications logicielles, de l’infrastructure des technologies de l’information et de la communication et du stockage des données, y compris des données à caractère personnel.
Il permet également d’augmenter le niveau de protection des informations traitées.
Toutefois, le cloud computing présente également des risques, notamment dans la mesure où les organisations ont un moindre contrôle sur la manière dont leurs données sont traitées et que l’utilisation d’internet ajoute nécessairement un élément de risque complémentaire.
En conséquence, les organismes doivent mettre en œuvre des mesures de sécurité techniques et organisationnelles spécifiques à leur utilisation du cloud computing afin de garantir un niveau de sécurité équivalent, et notamment en tant que de besoin procéder au chiffrement des données.
Afin de maintenir un certain contrôle sur ses données, il est donc important de :
- Sélectionner un fournisseur de services de cloud qui donne des garanties suffisantes concernant les mesures de sécurité techniques et organisationnelles qu’il peut mettre en œuvre pour aider l’organisme à respecter et garantir les droits en matière de protection des données à caractère personnel ;
- Conclure un contrat juridiquement contraignant dans les conditions prévues au RGPD, et en particulier prévoir que le fournisseur de services de cloud, agissant alors en qualité de sous-traitant de l’organisme concerné, ne doit pas traiter les données sans instruction préalable de l’organisme qui est par principe seul responsable du traitement ;
- Garantir et contrôler activement la mise en œuvre des garanties et des autres dispositions contractuelles requises.
En tout état de cause, l’organisme ne devrait recourir aux services d’un fournisseur de cloud que si ce dernier répond correctement aux exigences en matière de conformité au RGPD.
Il est donc nécessaire de veiller attentivement à la conformité des éventuels transferts de données réalisés par ce fournisseur cloud qui peut disposer de plusieurs emplacements d’hébergement des données situés hors de l’Union européenne.
Il existe trois principaux services proposés en cloud computing : le SaaS (Software as a Service), le PaaS (Platform as a Service) et le IaaS (Infrastructure as a Service).
Point RGPD
« Tout traitement de données à caractère personnel qui a lieu dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union devrait être effectué conformément au présent règlement, que le traitement lui-même ait lieu ou non dans l’Union. »
Considérant 22 du RGPD
Point jurisprudence
La Cour de Justice de l’Union Européenne (CJUE) a pu déclarer que « En ce qui concerne les règles visant la sécurité et la protection des données conservées par les fournisseurs de services de communications électroniques, il convient de constater que l’article 15, paragraphe 1, de la directive 2002/58 ne permet pas aux États membres de déroger à l’article 4, paragraphe 1, ainsi qu’à l’article 4, paragraphe 1 bis, de celle-ci. Ces dernières dispositions exigent que ces fournisseurs prennent les mesures d’ordre technique et organisationnel appropriées permettant d’assurer une protection efficace des données conservées contre les risques d’abus ainsi que contre tout accès illicite à ces données. Compte tenu de la quantité de données conservées, du caractère sensible de ces données ainsi que du risque d’accès illicite à celles-ci, les fournisseurs de services de communications électroniques doivent, aux fins d’assurer la pleine intégrité et la confidentialité desdites données, garantir un niveau particulièrement élevé de protection et de sécurité par des mesures techniques et organisationnelles appropriées. En particulier, la réglementation nationale doit prévoir la conservation sur le territoire de l’Union ainsi que la destruction irrémédiable des données au terme de la durée de conservation de celles-ci ».
Cour de Justice de l’Union Européenne, 21 décembre 2016, N° C-203/15 et C-698/15
Le Cabinet Bouchara vous accompagne notamment dans :
- La rédaction et la négociation de vos contrats de cloud computing;
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
- La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
- L’obtention de certifications et l’adhésion à des codes de conduite ;
- L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
- La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
- L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
- La rédaction et la négociation de vos accords de traitements de données (DPA) ;
- La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
- La formation et la sensibilisation de vos collaborateurs.
Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.