Version à imprimer bilingue Version à imprimer unilingue

Question écrite n° 5-2690

de Olga Zrihen (PS) du 8 juillet 2011

au ministre du Climat et de l'Énergie

Cloud Computing - Respect de la vie privée - Protection des données - Garanties

sécurité des systèmes d'information
stockage documentaire
centre serveur
réseau informatique
données personnelles
protection de la vie privée
protection des données
serveur de réseau
informatique en nuage

Chronologie

8/7/2011Envoi question
24/8/2011Réponse

Question n° 5-2690 du 8 juillet 2011 : (Question posée en français)

En parallèle à une vaste consultation publique lancée par la Commission européenne sur les enjeux du Cloud Computing en termes de protection des données, standardisation et niveaux d'appropriation, la firme Apple a récemment présenté son nouveau produit, l'iCloud, premier système de stockage en ligne de toutes les données à ses utilisateurs des services.

Alors que la plupart d'entre nous conservons nos fichiers personnels sur un disque dur connecté à un seul ordinateur, le Cloud Computing ambitionne de mettre fin à cette limitation puisque nos ressources informatiques seraient stockées sur de gigantesques serveurs informatiques d'entreprises spécialisées, permettant ainsi une plus grande accessibilité à ses propres fichiers personnels au départ de chacun de ses outils amovibles (PC portable, smartphone, tablette, etc.).

Toutefois, si les avantages du Cloud Computing sont réels, le concept pose plusieurs questions, à commencer par celle de la vie privée et de la sécurité. Selon certains spécialistes, ces nouveaux systèmes pourraient s'avérer être de véritables " cauchemars " pour la sécurité car ne pouvant être traités par les méthodes traditionnelles.

1) Qu'en est-il du respect de la vie privée que pose l'existence même du Cloud Computing dès lors que ces systèmes se présentent comme des batteries de stockage d'informations ?

2) Quelles sont les garanties existantes permettant de protéger les données à caractère personnel qui graviteront immanquablement au sein du Cloud Computing ?

Réponse reçue le 24 aôut 2011 :

1. La question de la protection des données personnelles dans le cadre des « cloud computing services » (CCS) en tant que dispositif permettant d’enregistrer une masse de données peut se poser tant dans le cas où l’utilisateur recourt directement aux services d’un fournisseur en CCS (FCCS) que lorsqu’une autre personne (employeur, institution financière, mutualité, fournisseur, …) utilise des CCS pour traiter des données de ses utilisateurs et/ou clients individuels.

Par ailleurs, l’utilisateur n’est pas toujours conscient que ses données personnelles font l’objet de CCS.

2. Transmettre des données personnelles dans le cadre de CCS est considéré comme un traitement de données personnelles au sens de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (dénommée ci-après: loi sur la protection de la vie privée).

Si le responsable du traitement est établi en Belgique ou s’il utilise un système de traitement automatisé localisé en Belgique, cette loi sur la protection de la vie privée s’applique au transfert de données personnelles intervenant dans le cadre de CCS, quel que soit le lieu où ces données sont stockées.

Il faut donc toujours savoir qui exactement est responsable du traitement, étant donné que les garanties offertes par cette loi dépendent de cette information. En effet, la loi sur la protection de la vie privée définit le responsable du traitement comme celui qui en fixe le but et les moyens.

A cet égard, il importe d’établir une distinction entre plusieurs formes de CCS:

- CCS où est fourni le « software as a service » (SaaS). Il s’agit ici d’applications qui peuvent utiliser un navigateur et sont développées et proposées via internet par un FCCS : email, applications de logiciel telles que google docs et les réseaux sociaux en ligne. Dans ces cas, l’utilisateur donne rarement forme à l’application.

Tant l’utilisateur que le FCCS peuvent être responsables du traitement.

L’utilisateur : car il fixe l’objectif du traitement dans l’utilisation d’applications telles que hotmail, facebook, flickr qui est respectivement d’échanger des messages, d’enregistrer des fichiers, d’entretenir des informations avec des contacts, d’enregistrer et de partager des photos et parce qu’il détermine les moyens pour y parvenir, à savoir utiliser les applications proposées par le FCCS.

Le FCCS : s’il en détermine le but du traitement (exemple : marketing ciblé) sur base de conventions fixant les droits d’utilisation ou des conditions générales et s’il choisit le moyen d’effectuer le traitement, à savoir ses propres services et, éventuellement, ceux offerts par des tiers sous-contractants.

Il faut, pour chaque traitement individuel, vérifier qui en est le responsable. Si c’est l’utilisateur, la loi sur la protection de la vie privée ne s’applique pas.

- CCS où est fournie une « platform as a service » (PaaS). Il s’agit ici d’une plateforme d’ordinateur et de logiciel sur laquelle le client peut développer lui-même des services et des prestations (tels que les Amazon Web Services) et créer des sites et des applications web qu’il peut mettre à disposition de ses utilisateur finaux et/ou clients.

CCS où est fournie une « infrastructure as a service » (Iaas). Il s’agit ici de matériel pouvant être utilisé via internet et avec lequel le client peut installer tout logiciel et système d’exploitation souhaité.

Pour les PaaS et les Iaas, il faut examiner au cas par cas qui est responsable du traitement. Si le FCCS n’offre qu’une plateforme ou une infrastructure et ne fait rien d’autre avec les données fournies par les utilisateurs de ces services, le FCCS n’est pas responsable du traitement. Il travaille en l’occurrence uniquement pour l’utilisateur, ne poursuit aucun but propre et ne détermine pas les moyens avec lesquels le traitement sera réalisé.

La convention entre l’utilisateur et le FCCS implique souvent les utilisateurs finaux qui recourent aux services de l’utilisateur des CCS. L’utilisateur qui peut être un employeur, un soignant ou un fournisseur de l’utilisateur final, la personne physique qui introduit les données et les transmet à l’utilisateur des CCS, etc. L’identité du responsable du traitement varie au cas par cas, en fonction des engagements pris entre l’utilisateur et l’utilisateur final.

Lorsque le FCCS poursuit d’autres objectifs pour le traitement des données personnelles (tel que le marketing ciblé) qui vont plus loin que ceux convenus avec les utilisateurs, il est alors co-responsable du traitement au sens de loi sur la protection de la vie privée qu’il est tenu de respecter.

Les garanties qu’offre la loi sur la protection de la vie privée peuvent être résumées comme suit:

Les données personnelles ne peuvent être traitées qu’avec l’accord de l’intéressé. Il ne faut toutefois pas exclure que le FCCS se fonde sur une exception lorsque notamment ce traitement est nécessaire à l’exécution d’une convention dont l’intéressé est partie, lorsqu’une obligation portant sur le respect des règles en matière de sécurité sociale doit être remplie, lorsque des intérêts vitaux de l’intéressé doivent être défendus ou lorsqu’il s’agit, pour un organe administratif, d’exécuter une mission de droit public.

En outre, les données doivent être traitées de façon loyale et équitable et obtenues dans un but justifié et clairement décrit. Elles ne peuvent pas être conservées plus longtemps que nécessaire dans une forme qui permettrait d’identifier l’intéressé.

Le responsable du traitement doit prendre les mesures techniques et organisationnelles permettant de protéger les données personnelles contre la perte ou toute forme de traitement illégitime.

Une garantie supplémentaire a été prévue : le responsable du traitement doit informer la personne sur laquelle portent ces données des objectifs poursuivis par leur traitement (ou leur transmission) et sur son droit à s’y opposer. Par ailleurs, la loi sur la protection de la vie privée est une règle de droit impératif et son application ne peut pas être exclue contractuellement.

Au sein de l’Union européenne (UE), les données personnelles peuvent être transmises librement, dès lors que tous les États membres ont imposé un niveau de protection comparable.

La transmission de données personnelles à des pays hors de l’UE n’est permise que vers un pays qui garantit un degré de protection adéquat. Pour en juger, il faut examiner toutes les circonstances influant sur ce transfert (les commissions sur la vie privée créées dans les États membres de l’UE utilisent à cet effet une ‘liste blanche’). Par conséquent, le traitement de données personnelles n’est pas assorti de garanties analogues à celles prévues par la loi sur la protection de la vie privée lorsque le FCCS est établi dans un pays non membre de l’UE ne figurant pas sur la ‘liste blanche’ et ne recourant pas à un système de traitement automatisé localisé dans l’UE.

Pour tout autre renseignement quant au contenu de la loi sur la protection de la vie privée et à ses garanties, je renvoie à mon collègue, le ministre de la Justice, qui est compétent en cette matière.