La CNIL propose d'encadrer spécifiquement le cloud computing

La CNIL s'intéresse à l'informatique dématérialisée et ses effets sur la protection des données. Elle lance une consultation publique du 17 octobre au 17 novembre 2011, pour identifier les problématiques posées par les offres de Cloud computing réservées aux professionnels.

"Les offres de Cloud computing sont généralement considérées comme attractives par les clients à la fois pour leur prix et parce qu'elles proposent aux clients de "masquer" la complexité du système informatique pour les aider à se concentrer sur leur cœur de métier. Cette opacité consubstantielle du Cloud computing pose toutefois de nombreuses questions concernant la protection des données personnelles et la sécurité", explique la Commission dans un communiqué.

"La CNIL souhaite envisager toutes les solutions tant d'un point de vue juridique que technique afin que soit garanti un haut niveau de protection aux données personnelles tout en tenant compte des enjeux économiques liés au Cloud computing", ajoute-t-elle. Elle souhaite ainsi s'inscrire dans la réflexion menée par la Commission Européenne, qui avait dit en mars 2011 sa volonté de promouvoir le développement de l'informatique en nuage en Europe, mais aussi de le réguler. Notamment au niveau "de la protection des données et de la vie privée". Bruxelles a elle-même lancé une consultation publique sur le cloud computing au mois de mai dernier.

Dans son document (.rtf), la CNIL interroge tout d'abord sur la définition à donner du Cloud Computing, ce qui sera nécessaire pour toute régulation, et elle demande si, justement, "un régime juridique spécifique pour les prestataires" paraît opportun. En effet, la CNIL estime que par principe, "le client sera toujours responsable de traitement" lorsqu'il fait appel à un sous-traitant pour héberger ses services, mais qu'il "serait intéressant de réfléchir à la création d'un statut légal pour le sous-traitant afin de faire peser sur ce dernier un certain nombre d'obligations spécifiques".

Autre problème juridique soulevé par la CNIL : le transfert des données d'un pays à un autre. En l'état actuel du droit, la loi de 1978 interdit de transférer des données personnelles vers un Etat qui n'assure pas le même niveau de protection qu'en France, sauf encadrement spécifique. Or "le Cloud computing est le plus souvent fondé sur une absence de localisation stable des données", note la CNIL. Là, la solution envisagée est d'obliger les prestataires de Cloud Computing à faire valider leurs engagements internes par les autorités européennes, et d'obliger les clients de ces prestataires à formuler leurs demandes d'autorisation de transferts en se basant sur ces engagements du prestaire.

Enfin, la CNIL se penche aussi sur la sécurité des données. "Dans le cas d’un organisme ayant recours à une offre de Cloud computing, la gestion de la sécurité de ces données se trouve largement déléguée au prestataire", constate-t-elle. Or, "il est notamment essentiel que les responsabilités et rôles des parties soient clairement définis au préalable, afin de traiter efficacement les cas d’incident pouvant aboutir à une perte ou une divulgation de données". En marge, elle interroge les professionnels concernés sur le chiffrement des données par le prestataire, les modes de destruction des données après rupture du contrat, ou leur "réversibilité". Elle propose en effet que "le prestataire devrait prévoir une restitution dans un format standardisé qui permette au client de réutiliser ces données avec un autre prestataire ou un logiciel classique", ce qui serait également intéressant pour les particuliers.

A défaut de régulation étatique, "la CNIL recommande que des normes de sécurité incluant la question de la protection des données personnelles dans le Cloud soient définies par le secteur et promues pour renforcer la transparence vis-à-vis des clients", écrit-il.