«Les droits de l’individu dans la révolution numérique» : l’Assemblée nationale française publie son rapport (4e partie)

Cet article constitue la quatrième partie d’un billet en cinq parties, une par semaine, chaque lundi.

  1. Les failles de sécurité, de la prévention à la notification : le droit des États-Unis
  2. Les failles de sécurité, de la prévention à la notification : le droit français
  3. Présentation du ‘nuage’
  4. Les dangers du ‘nuage’ pour les données personnelles
  5. What’s next ?
4. Les dangers du « nuage » pour les données personnelles

Richard Stallman, qui  a lancé le mouvement du logiciel libre en 1983, a publié un court article sur le site du journal Spiegel en juillet 2011 où il exhorte ses lecteurs à “résister aux tentations du nuage” (“Resist the Temptations of the Cloud! “) Selon Mr. Stallman  les données personnelles des utilisateurs d’un site tel que Facebook sont des “marchandises” vendues à des entreprises. Néanmoins, selon lui, les utilisateurs du nuage ne perdent pas tout droit à la vie privée (privacy) en utilisant le “cloud“, mais ils doivent néanmoins “nager à contre-courant pour avoir le contrôle [de leur informatique]”. Quels pourraient être ces contrôles?

"Arc-en-ciel" (New York, NY, 2011) - Photo: Marie-Andrée Weiss

"Arc-en-ciel" (New York, NY, 2011) - Photo: Marie-Andrée Weiss

La Directive 2009/140/CE ne mentionne pas explicitement l’informatique en nuage, et le guide 2010 de la CNIL sur “La sécurité des données personnelles” n’abordait pas non plus cette problématique. Le rapport de l’Assemblée nationale cite un communiqué de presse de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) selon lequel “les offres d’informatique en nuage public ne donnent généralement pas des garanties suffisantes pour la sécurité” (p. 202).

L’ANSSI a d’ailleurs publié un guide: “Maîtriser les risques de l’infogérance” qui souligne les risques spécifiques à l’informatique en nuage.  L’ “infogérance” est le terme consacré à l’externalisation appliquée au domaine des systèmes d’information.

Informatique en nuage et transferts de données personnelles

La CNIL a publié en juin 2008 un guide sur les transferts de données à caractère personnel vers des pays non membres de l’Union européenne  qui est cité par le rapport de l’Assemblée nationale (p. 203). Selon ce rapport de la CNIL, “[o]n parle de transfert de données personnelles  lorsque les données personnelles sont transférés depuis le territoire européen vers un ou des pays situés hors de l’Union européenne”. La CNIL précise que :

  • “Le traitement doit avoir régulièrement fait l’objet des formalités préalables requises par la loi : la CNIL ne saurait autoriser un transfert de données dès lors que le traitement original dont les données sont issues n’aurait pas été déclaré ou autorisé.
  • Tout transfert de données vers l’étranger doit avoir une finalité déterminée, explicite et légitime : le responsable de traitement établi en France doit pouvoir expliquer pourquoi le transfert a lieu et s’être assuré que ces raisons sont compatibles avec les exigences de la loi française.
  • Les données transférées ne doivent pas être traitées ultérieurement de manière incompatible avec cette finalité : le responsable de traitement doit pouvoir établir que la raison pour laquelle les données sont transférées est compatible avec les raisons pour lesquelles les données ont été initialement collectées.
  • Les données transférées doivent être adéquates, pertinentes et non excessives au regard de la ou des finalités pour lesquelles elles sont transférées.”  (p.8 du guide de la CNIL)

La CNIL a également publié en octobre 2010 un document de synthèse concernant les “questions posées par l’externalisation des traitements informatiques hors de l’Union européenne.”

Les procédures légales d’exportation de données personnelles

ANSSI, "Guide pour maîtriser les risques de l'infogérance" (3 déc. 2010)

Le rapport de l’Assemblée nationale note que “le cloud computing multiplie des cas de transferts de données sur des bases contractuelles” car “il est de la nature même du cloud computing de procéder à des transferts de données en tout point du monde et donc majoritairement vers des pays extérieurs à l’Union européenne et ne bénéficiant pas de clauses de reconnaissance particulières” (p. 205). En effet, les centres de données sont souvent situés dans des pays hors de l’Union Européenne. Le guide de l’ANSSI souligne les risques liés au transfert des données à caractère personnel en dehors des frontières de l’Union européenne (p. 10).

Ce type de transfert  est réglementé par la Directive européenne 95/46/CE. Selon son article 25 § 1 :

” [l]es États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat“.  [Nous soulignons.]

Quelle est la réponse du législateur français ? L’article 68 de la loi du 6 janvier 1978, créé par l’article 12 de la loi du 6 août 2004 transposant en droit français la Directive 95/46/CE, dispose que :

“Le responsable d’un traitement ne peut transférer des données à caractère personnel vers un Etat n’appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet. [Nous soulignons.]

Le caractère suffisant du niveau de protection assuré par un Etat s’apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l’origine et de la destination des données traitées.”

Il est interdit en principe de transférer des données personnelles hors de l’Union européenne, mais il peut y être fait exception si l’État tiers assure un niveau suffisant de protection des données.

Décision d’adéquation – “Safe Harbor”

Tout d’abord, la Commission peut prendre une décision d’adéquation, et 10 pays à ce jour en bénéficient, dont Andorre depuis octobre 2010 et Israël depuis janvier 2011. Les entreprises localisées aux États-Unis qui adhèrent aux règles des principes de la “sphère de sécurité” (Safe Harbor), et qui s’engagent ainsi à respecter ces principes sont considérés comme assurant un niveau adéquat de protection des données à caractère personnel si celles-ci sont transférées depuis l’Union européenne vers les États-Unis. (p. 204 du rapport)

Si le pays importateur de données ne bénéficie pas de la décision d’adéquation, ou si l’entreprise destinataire des données personnelles n’adhère pas au dispositif du Safe Harbor, l’autorité régulatrice, la CNIL en France, peut décider de faire exception à l’interdiction de transfert de données. Selon l’article 69, alinéa 7 de la loi 6 janvier 1978, la CNIL peut décider de faire exception à cette interdiction

“lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet”.

Règles d’entreprise contraignantes

Ces règles internes d’entreprises, les “règles d’entreprise contraignantes”, appellées en anglais “Binding Corporate Rules” (“BCR”), sont celles citées par l’article 27 § 4 de  la Directive 95/46/CE comme présentant des garanties suffisantes au regard de l’alinéa 2 de l’article 27. Elles “définissent le cadre dans lequel s’effectuent les transferts des données personnelles depuis des filiales vers une maison mère située à l’étranger”. (p. 204-203) Le Groupe de Travail de l’Article 29, l’organe consultatif européen indépendant sur la protection des données et de la vie privée, a adopté le 24 juin 2008 un “document de travail établissant un cadre pour la structure des règles d’entreprise contraignantes“. Ce document n’est toutefois pas un modèle de BCR; “il s’agit d’une simple proposition quant au contenu et à la façon dont les règles pourraient être structurées en un document unique qui peut être rendu contraignant pour le groupe d’entreprises” (document de travail, p. 3).

Clauses contractuelles types

Un transfert de données personnelles peut également être autorisé par la signature de “clauses contractuelles types” entre la Commission européenne et l’exportateur  de données.  La Commission a adopté le 5 février 2010 une décision “relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil”. Cette décision qui s’applique depuis le 15 mai 2010 offre, en annexe, des clauses contractuelles type.  Son article 1er dispose que ces clauses “sont considérées comme offrant des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants comme l’exige l’article 26, paragraphe 2, de la directive 95/46/CE“, selon lequel “un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat (…) lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants; ces garanties peuvent notamment résulter de clauses contractuelles appropriées”.

Le rapport de l’Assemblée Nationale détaille les principes de la décision de la Commission adoptée en 2010 (p. 206-207). Citons seulement, à propos de la sous-traitance, souvent employé en matière de “nuage”, que :

“Pour assurer le respect du principe de la limitation des transferts à une finalité spécifique, énoncé dans la directive 95/46/CE, la sous-traitance ultérieure ne doit porter que sur les activités convenues dans le contrat conclu entre l’exportateur de données et l’importateur de données; à tous les niveaux de sous-traitance, les contrats doivent intégrer les clauses contractuelles types et ne doivent pas avoir d’autres finalités ou concerner d’autres activités de traitement;”

Le rapport note néanmoins que

[s]i cet encadrement européen resserre de façon conséquente le cadre réglementaire antérieur, il ne dissipe cependant pas toutes les craintes. En cas de disparition des entités juridiques parties aux contrats de sous-traitance des données, les personnes concernées, même réunies au sein d’associations, auront certainement les plus grandes difficultés à faire valoir leurs droits” et “[l]a proposition [du groupe de travail de l’article 29] consistant à interdire la sous-traitance des données personnelles et à restreindre les contrats d’externalisation à la seule entité importatrice, sans la possibilité pour cette dernière de se tourner vers un prestataire, demanderait certainement à être évaluée”. (p.207)

En effet, l’Avis 3/2009 “concernant le projet de décision de la Commission relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants de données établis dans des pays tiers en vertu de la directive 95/46/CE”, adopté le 5 mars 2009, notait que les “transferts ultérieurs de données vers des organismes ou organisations qui ne sont pas parties au contrat devraient être spécifiquement exclus par ce dernier, sauf s’il est possible d’obliger contractuellement ces tiers à respecter les mêmes principes de protection” (p. 5).

Marie-Andrée Weiss

(À suivre: What’s next ?, la conclusion de ce billet sur le Rapport de l’Assemblée Nationale)

Share

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

  • Blog authors

  • Copyright notice

    © Copyright 2010-2014 "Information Security Breaches & The Law".
    All rights reserved, unless noted otherwise under each author's post, page or other material.
    If you would like to discuss licensing terms, contact us at: info [at] security-breaches [dot] com.

  • Enter your e-mail address here to follow this blog and receive notifications of new posts by e-mail.

  • The “Global Information Security Breach Professionals” Group on Linkedin

  • Wordpress Blog Stats

    • 42,622 hits
%d bloggers like this: