SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2010-2011 Zitting 2010-2011
________________
8 juillet 2011 8 juli 2011
________________
Question écrite n° 5-2690 Schriftelijke vraag nr. 5-2690

de Olga Zrihen (PS)

van Olga Zrihen (PS)

au ministre du Climat et de l'Énergie

aan de minister van Klimaat en Energie
________________
Cloud Computing - Respect de la vie privée - Protection des données - Garanties Cloud Computing - Respect voor de persoonlijke levenssfeer - Gegevensbescherming - Waarborgen 
________________
sécurité des systèmes d'information
stockage documentaire
centre serveur
réseau informatique
données personnelles
protection de la vie privée
protection des données
serveur de réseau
informatique en nuage
informatiebeveiliging
opslag van documenten
informatiedienstverlening
computernetwerk
persoonlijke gegevens
eerbiediging van het privé-leven
gegevensbescherming
netwerkserver
cloudcomputing
________ ________
8/7/2011Verzending vraag
24/8/2011Antwoord
8/7/2011Verzending vraag
24/8/2011Antwoord
________ ________
Question n° 5-2690 du 8 juillet 2011 : (Question posée en français) Vraag nr. 5-2690 d.d. 8 juli 2011 : (Vraag gesteld in het Frans)

En parallèle à une vaste consultation publique lancée par la Commission européenne sur les enjeux du Cloud Computing en termes de protection des données, standardisation et niveaux d'appropriation, la firme Apple a récemment présenté son nouveau produit, l'iCloud, premier système de stockage en ligne de toutes les données à ses utilisateurs des services.

Alors que la plupart d'entre nous conservons nos fichiers personnels sur un disque dur connecté à un seul ordinateur, le Cloud Computing ambitionne de mettre fin à cette limitation puisque nos ressources informatiques seraient stockées sur de gigantesques serveurs informatiques d'entreprises spécialisées, permettant ainsi une plus grande accessibilité à ses propres fichiers personnels au départ de chacun de ses outils amovibles (PC portable, smartphone, tablette, etc.).

Toutefois, si les avantages du Cloud Computing sont réels, le concept pose plusieurs questions, à commencer par celle de la vie privée et de la sécurité. Selon certains spécialistes, ces nouveaux systèmes pourraient s'avérer être de véritables " cauchemars " pour la sécurité car ne pouvant être traités par les méthodes traditionnelles.

1) Qu'en est-il du respect de la vie privée que pose l'existence même du Cloud Computing dès lors que ces systèmes se présentent comme des batteries de stockage d'informations ?

2) Quelles sont les garanties existantes permettant de protéger les données à caractère personnel qui graviteront immanquablement au sein du Cloud Computing ?

 

De Europese Commissie heeft een publieke consultatie opgestart over de uitdagingen die Cloud Computing stelt met betrekking tot de gegevensbescherming, de standaardisering en de toe-eigeningsniveaus. Tegelijkertijd stelde Apple zijn nieuwste product voor: de iCloud. Dat is het eerste systeem voor de online opslag van alle gegevens van de gebruikers van die diensten.

De meesten mensen bewaren hun persoonlijke bestanden op een harde schijf die aan een computer verbonden is. Cloud Computing wil een einde stellen aan die beperking en alle digitale gegevens bewaren op gigantische servers van gespecialiseerde firma's. Zo zouden de eigen persoonlijke bestanden gemakkelijker toegankelijk worden vanaf losse drager (laptop, smartphone, tablet-pc enzovoort)

Cloud Computing biedt zeker voordelen, maar het concept doet ook heel wat vragen rijzen, in de eerste plaats over de privacy en de veiligheid. Volgens specialisten zouden de nieuwe systemen ware 'nachtmerries' zijn voor de veiligheid omdat ze niet met de traditionele methoden kunnen worden aangepakt.

1) Welke invloed heeft het loutere bestaan van Cloud Computing op het respect voor de persoonlijke levenssfeer? Het systeem wordt voorgesteld als een instrument voor de opslag van informatie.

2) Welke bestaande waarborgen maken het mogelijk de persoonlijke gegevens die onvermijdelijk in de Cloud Computing rondwaren, te beschermen?

 
Réponse reçue le 24 aôut 2011 : Antwoord ontvangen op 24 augustus 2011 :

1. La question de la protection des données personnelles dans le cadre des « cloud computing services » (CCS) en tant que dispositif permettant d’enregistrer une masse de données peut se poser tant dans le cas où l’utilisateur recourt directement aux services d’un fournisseur en CCS (FCCS) que lorsqu’une autre personne (employeur, institution financière, mutualité, fournisseur, …) utilise des CCS pour traiter des données de ses utilisateurs et/ou clients individuels.

Par ailleurs, l’utilisateur n’est pas toujours conscient que ses données personnelles font l’objet de CCS.

2. Transmettre des données personnelles dans le cadre de CCS est considéré comme un traitement de données personnelles au sens de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (dénommée ci-après: loi sur la protection de la vie privée).

Si le responsable du traitement est établi en Belgique ou s’il utilise un système de traitement automatisé localisé en Belgique, cette loi sur la protection de la vie privée s’applique au transfert de données personnelles intervenant dans le cadre de CCS, quel que soit le lieu où ces données sont stockées.

Il faut donc toujours savoir qui exactement est responsable du traitement, étant donné que les garanties offertes par cette loi dépendent de cette information. En effet, la loi sur la protection de la vie privée définit le responsable du traitement comme celui qui en fixe le but et les moyens.

A cet égard, il importe d’établir une distinction entre plusieurs formes de CCS:

- CCS où est fourni le « software as a service » (SaaS). Il s’agit ici d’applications qui peuvent utiliser un navigateur et sont développées et proposées via internet par un FCCS : email, applications de logiciel telles que google docs et les réseaux sociaux en ligne. Dans ces cas, l’utilisateur donne rarement forme à l’application.

Tant l’utilisateur que le FCCS peuvent être responsables du traitement.

L’utilisateur : car il fixe l’objectif du traitement dans l’utilisation d’applications telles que hotmail, facebook, flickr qui est respectivement d’échanger des messages, d’enregistrer des fichiers, d’entretenir des informations avec des contacts, d’enregistrer et de partager des photos et parce qu’il détermine les moyens pour y parvenir, à savoir utiliser les applications proposées par le FCCS.

Le FCCS : s’il en détermine le but du traitement (exemple : marketing ciblé) sur base de conventions fixant les droits d’utilisation ou des conditions générales et s’il choisit le moyen d’effectuer le traitement, à savoir ses propres services et, éventuellement, ceux offerts par des tiers sous-contractants.

Il faut, pour chaque traitement individuel, vérifier qui en est le responsable. Si c’est l’utilisateur, la loi sur la protection de la vie privée ne s’applique pas.

- CCS où est fournie une « platform as a service » (PaaS). Il s’agit ici d’une plateforme d’ordinateur et de logiciel sur laquelle le client peut développer lui-même des services et des prestations (tels que les Amazon Web Services) et créer des sites et des applications web qu’il peut mettre à disposition de ses utilisateur finaux et/ou clients.

CCS où est fournie une « infrastructure as a service » (Iaas). Il s’agit ici de matériel pouvant être utilisé via internet et avec lequel le client peut installer tout logiciel et système d’exploitation souhaité.

Pour les PaaS et les Iaas, il faut examiner au cas par cas qui est responsable du traitement. Si le FCCS n’offre qu’une plateforme ou une infrastructure et ne fait rien d’autre avec les données fournies par les utilisateurs de ces services, le FCCS n’est pas responsable du traitement. Il travaille en l’occurrence uniquement pour l’utilisateur, ne poursuit aucun but propre et ne détermine pas les moyens avec lesquels le traitement sera réalisé.

La convention entre l’utilisateur et le FCCS implique souvent les utilisateurs finaux qui recourent aux services de l’utilisateur des CCS. L’utilisateur qui peut être un employeur, un soignant ou un fournisseur de l’utilisateur final, la personne physique qui introduit les données et les transmet à l’utilisateur des CCS, etc. L’identité du responsable du traitement varie au cas par cas, en fonction des engagements pris entre l’utilisateur et l’utilisateur final.

Lorsque le FCCS poursuit d’autres objectifs pour le traitement des données personnelles (tel que le marketing ciblé) qui vont plus loin que ceux convenus avec les utilisateurs, il est alors co-responsable du traitement au sens de loi sur la protection de la vie privée qu’il est tenu de respecter.

Les garanties qu’offre la loi sur la protection de la vie privée peuvent être résumées comme suit:

Les données personnelles ne peuvent être traitées qu’avec l’accord de l’intéressé. Il ne faut toutefois pas exclure que le FCCS se fonde sur une exception lorsque notamment ce traitement est nécessaire à l’exécution d’une convention dont l’intéressé est partie, lorsqu’une obligation portant sur le respect des règles en matière de sécurité sociale doit être remplie, lorsque des intérêts vitaux de l’intéressé doivent être défendus ou lorsqu’il s’agit, pour un organe administratif, d’exécuter une mission de droit public.

En outre, les données doivent être traitées de façon loyale et équitable et obtenues dans un but justifié et clairement décrit. Elles ne peuvent pas être conservées plus longtemps que nécessaire dans une forme qui permettrait d’identifier l’intéressé.

Le responsable du traitement doit prendre les mesures techniques et organisationnelles permettant de protéger les données personnelles contre la perte ou toute forme de traitement illégitime.

Une garantie supplémentaire a été prévue : le responsable du traitement doit informer la personne sur laquelle portent ces données des objectifs poursuivis par leur traitement (ou leur transmission) et sur son droit à s’y opposer. Par ailleurs, la loi sur la protection de la vie privée est une règle de droit impératif et son application ne peut pas être exclue contractuellement.

Au sein de l’Union européenne (UE), les données personnelles peuvent être transmises librement, dès lors que tous les États membres ont imposé un niveau de protection comparable.

La transmission de données personnelles à des pays hors de l’UE n’est permise que vers un pays qui garantit un degré de protection adéquat. Pour en juger, il faut examiner toutes les circonstances influant sur ce transfert (les commissions sur la vie privée créées dans les États membres de l’UE utilisent à cet effet une ‘liste blanche’). Par conséquent, le traitement de données personnelles n’est pas assorti de garanties analogues à celles prévues par la loi sur la protection de la vie privée lorsque le FCCS est établi dans un pays non membre de l’UE ne figurant pas sur la ‘liste blanche’ et ne recourant pas à un système de traitement automatisé localisé dans l’UE.

Pour tout autre renseignement quant au contenu de la loi sur la protection de la vie privée et à ses garanties, je renvoie à mon collègue, le ministre de la Justice, qui est compétent en cette matière.

1. De vraag naar de bescherming van persoonsgegevens in het kader van “cloud computing services” (CCS), als systeem voor massale opslag van gegevens, kan zowel worden gesteld in gevallen waarin de gebruiker rechtstreeks een beroep doet op de diensten van een cloud computing service provider (CCSP) als wanneer het een ander persoon (werkgever, financiële instelling, mutualiteit, leverancier, …) is die een beroep doet op CCS voor de gegevensverwerking van zijn individuele gebruikers en/of klanten.

De gebruiker is zich er bovendien niet altijd van bewust dat zijn persoonsgegevens het voorwerp uitmaken van CCS.

2. Overdracht van persoonsgegeven in het kader van CCS is een verwerking van persoonsgegevens in de zin van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (hierna: privacywet).

Is de verantwoordelijke van de verwerking gevestigd in België of maakt hij gebruik van een in België gelokaliseerd geautomatiseerd verwerkingssysteem, dan is de privacywet van toepassing op de overdracht van persoonsgegevens in het kader van CCS, los van de locatie waar de gegevens worden opgeslagen.

Het is bijgevolg steeds belangrijk te weten wie exact de verantwoordelijke van de verwerking is aangezien dan de waarborgen van deze wet toepassing vinden. De privacywet definieert de verantwoordelijke van de verwerking als degene die het doel en de middelen van de verwerking bepaalt.

In dit verband is het nuttig een onderscheid te maken tussen een aantal vormen van CCS:

- Bij CCS waarbij “solftware as a service” (SaaS) wordt geleverd gaat het om toepassingen die in een browser kunnen worden gebruikt; ze worden ontwikkeld en via internet aangeboden door een CCSP, bijvoorbeeld email, softwaretoepassingen zoals google docs, online sociale netwerken. De gebruiker zal hier nauwelijks vorm geven aan de toepassing.

Zowel de gebruiker als de CCSP kunnen verantwoordelijke van de verwerking zijn.

De gebruiker omdat hij het doel van de verwerking bepaalt; het doel van de gebruiker bij het gebruik van toepassingen zoals hotmail, facebook, flickr zijn respectievelijk het uitwisselen van communicatie, het opslaan van bestanden, het onderhouden van informatie met contacten, het opslaan en delen van foto’s.

En omdat hij de middelen daartoe bepaalt, in het bijzonder door gebruik te maken van de door de CCSP aangeboden toepassingen.

Ook de CCSP kan verantwoordelijke van de verwerking zijn wanneer hij het doel van de verwerking bepaalt (bijvoorbeeld gerichte marketing) door middel van gebruiksrechtenovereenkomsten of algemene voorwaarden, en omdat hij het middel van de verwerking bepaalt, namelijk zijn eigen services en eventueel die van derden-subcontractanten.

Voor elke individuele verwerking moet worden uitgemaakt wie de verantwoordelijke ervan is en, voor zover de gebruiker zelf de verantwoordelijke is van de verwerking, is de privacywet niet van toepassing.

- Bij CCS waarbij “platform as a service” (PaaS) wordt geleverd gaat het om een computer- en softwareplatform waarop de klant zelf diensten en voorzieningen kan ontwikkelen (zoals Amazon Web Services), waarbinnen hij zelf websites en webapplicaties kan bouwen die hij ter beschikking kan stellen aan zijn eindgebruikers en/of klanten.

Bij CCS waarbij “infrastructure as a service” (Iaas) wordt geleverd gaat het om hardware die via het internet kan worden benaderd, waarop de klant iedere gewenste software en besturingssysteem kan installeren.

Bij PaaS en Iaas moet geval per geval worden onderzocht wie de verantwoordelijke van de verwerking is. Indien de CCSP enkel een platform of infrastructuur aanbiedt en verder niets doet met de gegevens die de gebruikers van die services aanleveren, dan is de CCSP geen verantwoordelijke van de verwerking; hij werkt in dit geval enkel in opdracht van de gebruiker en stelt geen eigen doelen, noch bepaalt hij het middel van de verwerking.

De overeenkomst tussen gebruiker en CCSP werkt hier vaak door naar eindgebruikers die een beroep doen op de diensten van de CCS gebruiker. De gebruiker kan een werkgever, zorgverstrekker, leverancier enz. zijn van de eindgebruiker, de fysieke persoon die inlogt en gegevens overdraagt aan de CCS gebruiker. Afhankelijk van de afspraken die tussen gebruiker en eindgebruiker worden gemaakt kan de identiteit van de verantwoordelijke van de verwerking geval per geval verschillend zijn.

Wanneer de CCSP andere doelen stelt voor de verwerking van de persoonsgegevens (zoals gerichte marketing) die verder gaan dan de doelen die met de gebruikers zijn overeengekomen dan is hij mede verantwoordelijke van de verwerking in de zin van de privacywet die hij alsdan gehouden is na te leven.

De garanties die de privacywet biedt komen in het kort hierop neer:

Persoonsgegevens mogen enkel worden verwerkt met toestemming van de betrokkene. Het valt echter niet uit te sluiten dat de CCSP zich beroept op een uitzonderingsgrond, zoals onder meer wanneer de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, wanneer een verplichting met het oog op het naleven van de regels betreffende sociale zekerheid moet worden nagekomen, wanneer vitale belangen van de betrokkene moeten worden verdedigd, wanneer het gaat om de vervulling van een publiekrechtelijke zaak door een bestuursorgaan.

Verder moeten de gegevens eerlijk en rechtmatig worden verwerkt en moeten ze voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verkregen. Ze mogen niet langer worden bewaard dan noodzakelijk is in een vorm die het mogelijk maakt de betrokkene te identificeren.

De verantwoordelijke van de verwerking moet passende technische en organisatorische maatregelen nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Een bijkomende garantie is dat de verantwoordelijke van de verwerking de persoon over wiens gegevens het gaat moet inlichten over de doeleinden van de verwerking (of de overdracht van de gegevens) en over zijn recht om zich tegen de overdracht ervan te verzetten. Bovendien is de privacywet van dwingend recht waardoor de toepassing ervan per overeenkomst niet kan worden uitgesloten.

Binnen de EU kunnen persoonsgegevens vrij worden overgedragen aangezien alle EU-landen een vergelijkbaar niveau van bescherming opleggen.

Overdracht van persoonsgegevens naar landen buiten de EU is enkel toegelaten indien deze gebeurt naar een land dat een passend beschermingsniveau waarborgt, hetgeen wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens van invloed zijn (de Privacycommissies in de EU-lidstaten hanteren daartoe een ‘witte lijst’). Bijgevolg is enkel in gevallen waarin de CCSP gevestigd is in een niet EU-land dat evenmin deel uitmaakt van de ‘witte lijst’ en waarbij de CCSP geen beroep doet op een geautomatiseerd verwerkingssysteem dat zich binnen de EU bevindt, de verwerking van persoonsgegevens niet voorzien van gelijkaardige waarborgen als deze die door de privacywet worden geboden.

Voor elke bijkomende toelichting over de inhoud en garanties van de privacywet verwijs ik naar mijn collega, de minister van Justitie, die bevoegd is voor deze materie.