Cette article est de la catégorie Innovation et du dossier CloudServices d'infrastructureSécurité et stabilité

Nuage et légalité

Les hautes écoles envisagent de travailler avec des produits Cloud. La protection des données les fait hésiter.

Texte: Esther Zysset, publié le 01.04.2014

Si l'on pouvait localier le diable dans le Cloud, il résiderait dans la protection des données. Celle-ci est souvent perçue comme la plus grande pierre d'achoppement dans le domaine du Cloud Computing. En effet, si des données personnelles sont entreposées dans le Cloud, celui qui les y a entreposées reste responsable du respect de la loi sur la protection des données. Il doit surtout garder présentes à l'esprit les exigences suivantes:

Sécurité des données

Les données personnelles doivent être protégées de l'accès non autorisé et de la perte par des mesures techniques et organisationnelles appropriées; ceci est également valable lorsque le traitement des données est confié à un tiers. Autrement dit: celui qui veut avoir recours au Cloud doit savoir ce que le fournisseur de services Cloud peut garantir au niveau de la sécurité des données.

Externalisation

En principe, la loi permet le traitement des données par des tiers. Avec deux limitations cependant: D'abord, les données ne doivent être traitées par les partenaires d'Outsourcing que de la manière dont le commettant pourrait le faire lui-même. Ensuite, d'autres devoirs de secret ne doivent pas interdire cette externalisation. Le commettant reste responsable de la sécurité des données traitées.

Communication des données à l'étranger

Précisément, les fournisseurs commerciaux de solutions Cloud ont souvent des centres de données répartis sur tout le globe. Les données des clients vont et viennent entre ces centres. La Loi fédérale sur la protection des données interdit la communication de données personnelles à l'étranger dans certaines circonstances. Notamment lorsque la personnalité des personnes touchées "serait gravement menacée". Selon la loi, c'est notamment le cas lorsqu'il n'y a pas, dans le pays destinataire, de législation garantissant une protection appropriée. Le préposé fédéral à la protection des données tient des listes de destinations considérées comme sûres et d'autres qui ne le sont pas. Les USA ne comptent parmi les destinations sûres que sous certaines conditions (voir dernier paragraphe), les pays de l'Union Européenne en revanche ont généralement une législation suffisante. De grandes parties de l'Asie, de l'Amérique Centrale et du Sud sont considérées comme peu sûres. Cela exige, pour un choix conforme du fournisseur de Cloud, que le lieu d'entreposage des données de client soit connu. 

On peut donc dire en résumé qu'il faut tenir compte des exigences de la protection des données dans le choix du fournisseur de services Cloud. Cela signifie que les contrats standard des fournisseurs commerciaux exigent un examen minutieux des points suivants: 

Clauses en petits caractères

L'étendue des prestations est définie en petits caractères: qu'est-ce qui est promis? Que garantit le fournisseur par exemple au niveau de la disponibilité? En outre, il faut prêter attention à ce qui suit:

Responsabilité

Très souvent, il est formulé des clauses de non responsabilité qui vont loin. Celles-ci sont à vrai dire généralement admissibles juridiquement parlant dans une certaine mesure mais peuvent présenter un inconvénient pour le client dans les cas problématiques.

Droit applicable & for juridique

Lorsque le déroulement du contrat ne pose pas de problèmes, ces dispositions ne sont pas ressenties par le client. En cas de difficultés, elles peuvent cependant être déterminantes pour savoir si les droits sont appliqués ou pas. Un for juridique aux USA ou en Australie aura souvent pour conséquence qu'il sera trop compliqué ou trop coûteux pour un client suisse de faire valoir ses droits. Si le droit suisse est applicable et le for juridique en Suisse, l'obstacle est en revanche beaucoup plus petit pour le client.

Scénario de sortie

Quelles sont les dispositions de résiliation? Règlent-elles la restitution des données ou le transfert vers un autre fournisseur de services Cloud? Le fournisseur offre-t-il son assistance? S'engage-t-il à effacer les données des clients après la fin du contrat? – Conclusion: les Conditions Générales doivent être analysées d'un œil critique. Il pourrait être préférable de choisir différents endroits d'entreposage pour divers types de données. On pourrait alors mettre en œuvre des solutions de Cloud répondant aux exigences du droit suisse.

Ce texte a paru au SWITCH Journal avril 2013.
L'auteur
Esther   Zysset

Esther Zysset

Esther Zysset dirige le service juridique chez SWITCH depuis 2012. Précédemment, elle travaillait comme avocate dans une étude économique.

E-mail

Remarques importantes

Données personnelles: Sont considérées comme données personnelles, selon la loi sur la protection des données, "toutes les informations qui se rapportent à une personne identifiée ou identifiable". Aussi les données sous forme anonyme ou les données ne se rapportant à aucune personne ne sont-elles pas touchées par la loi sur la protection des données.

Loi sur la protection des données: Il existe en Suisse une Loi fédérale sur la protection des données (LPD, SR 235 1) réglant le traitement des données personnelles par des particuliers et des organes fédéraux, y compris les institutions du domaine des EPF. Le présent article se réfère à la Loi fédérale. Pour les institutions cantonales, il y a des lois cantonales avec des exigences en partie divergentes. 

Conditions de la communication de données aux USA: Il est exigé que l’entreprise américaine correspondante ait adhéré à un accord particulier sur la protection des données, le "US-Swiss Safe Harbour Framework", afin que le traitement des données par cette entreprise soit considéré comme sûr.

Autres articles