LA PROTECTION DES DONNEES A CARACTERE PERSONNEL

LA GOUVERNANCE DES DONNEES A CARACTERE PERSONNEL DANS LE CYBERESPACE

Les responsables de traitement des données à caractère personnel ont une tendance de gérer les données à caractère personnel des personnes physiques. La violation de la protection des données à caractère personnel peut être constatée à travers cette gouvernance des données dans le cyberespace et soulève la question de la souveraineté numérique. Ce processus peut dans une certaine mesure engendrer des risques liés au stockage des données dans le cloud computing (Paragraphe 1) et des enjeux sont aussi notés dans le cadre des dispositifs d’identification des personnes (Paragraphe 2). 

LE CLOUD COMPUTING

Le cloud computing consiste à effectuer les traitements non plus sur les serveurs internes de l’entreprise, mais sur des serveurs externalisés gérés par des prestataires comme Google, Amazon ou Microsoft. Ces méga serveurs sont répartis dans le monde entier, sans que l’on sache dans lequel se trouve une donnée à un instant donné. L’enjeu principal de la protection des données à caractère personnel s’articule à l’idée selon laquelle il est alors très difficile d’assurer le respect de l’interdiction d’exportation des données personnelles, sauf si le prestataire peut garantir la localisation du serveur93 . La notion de localisation d’une donnée perd de son sens, car dans le cloud une donnée peut être fractionnée et les morceaux répartis dans plusieurs pays. La donnée en tant que telle n’est plus nulle part, ce qui pose la question de la détermination du droit applicable. Le cloud computing ou nuage informatique est défini comme étant une technologie permettant de délocaliser des données n’importe où dans le monde et de bénéficier des services ou applications informatiques en ligne. Il se caractérise par la vitalisation et la mise en commun de ressources, notamment l’hébergement d’infrastructures, la fourniture de plateformes de développement ou de logiciels. Il facilite le partage de données entre les ordinateurs, les smartphones, les tableaux, etc. Dans le cadre du cloud computing, nous avons une dématérialisation des données qui consiste à stocker et à faire circuler des informations sans support matériel autre que des équipements informatiques. L’article 3 de la loi de 1978 modifiée défini le responsable de traitement comme la personne physique ou morale qui détermine les finalités et les moyens du traitement de données à caractère personnel. Le sous-traitant quant à lui, traite les données à caractère personnel pour le compte du responsable et selon ses instructions. Il y’ a beaucoup de risques liés à la sécurité dans le transfert des données personnels dans le cloudcomputing. C’est pourquoi, il est nécessaire de veiller à la confidentialité des données et de déterminer les obligations du responsable du traitement. 93Fabrice MATTATIA : Le droit des données personnelles ; 2e édition, Eyrolles, 2017, p,16 « Défintion du cloudcomputing ». 82 Le cloud computing comporte des risques liés à l’utilisation des données qui sont hébergées dans le cloud pour faire du Big data. Le cloud computing entraine également des risques de perte de gouvernance des données ou même de souveraineté sur les données traitées. Il s’agit du client qui est toujours responsable de traitement. En effet, en collectant des données et en décidant d’en externaliser auprès d’un prestataire, il est responsable de traitement en ce qu’il détermine les finalités et les moyens de traitement des données. En ce qui concerne les prestataires, il agit en principe pour le compte et sur les instructions du client responsable de traitement. Dès lors, il semble possible d’établir une présomption de sous traitance dans la relation qu’entretiennent le client et le prestataire. Il est nécessaire d’encadrer les pouvoirs du prestataire sur les données à caractère personnel qui sont dans le cloud. Il convient alors de déterminer le statut juridique du prestataire et le droit applicable en cas de litige et de veiller dans une large mesure à la sécurité des données sur le cloud en limitant les risques de piratage. Une telle présomption est particulière et effective lorsque le client a recours à un cloud privé, c’est-à-dire propre à un client qui implique une grande maîtrise de la réalisation de la prestation du cloudcomputingpar le prestataire. Le choix du prestataire doit se faire par un contrat signé et le sous-traitant doit présenter des garanties suffisantes en matière de sécurité des données. En revanche, lorsqu’un client a recours à un cloud public, où par nature le prestataire définit le fonctionnement et les objectifs de l’application en ligne accessible à différents clients, les rôles respectifs du client et du prestataire peuvent s’avérer difficiles à déterminer, et dépendent également du type de service souscrit par le client. Le cloud computing engendre des enjeux légaux. C’est pourquoi la directive européenne 95/46/CE encadre le transfert de données à caractère personnel. Si une entreprise européenne désire utiliser des services Cloud, il faut qu’elle sache dans quel pays, et donc dans quel contexte juridique seront stockées ses données. 83 La directive impose que le pays de destination assure un niveau de protection suffisant. Ces pays « autorisés » ont été listés et comprennent évidemment les pays de l’Union Européenne, mais aussi d’autres pays comme le Canada, la Suisse ou l’Australie. Par contre, les Etats-Unis n’en font pas partie pour des raisons de différences d’approche de problème. Afin de faire le lien entre ces deux approches du respect de la vie privée et permettre aux entreprises américaines de se conformer à la Directive Européenne, le département du commerce des USA, en concentration avec la commission européenne, a instauré un cadre juridique dénommé « SAFE HARBOR » (sphère de sécurité). Les entreprises sont méfiantes dès qu’il s’agit d’externaliser les données critiques dans d’autres pays. Elles ont peur de subir les réglementations qu’elles ne maîtrisent pas. La multiplication des lieux potentiels stockage des données rend difficile la mise en œuvre des instruments juridiques garantissant un niveau de protection adéquat. Le cloudcomputing engendre des avantages car il permet d’effectuer des économies, notamment grâce à la mutualisation des services sur un grand nombre de client. Certains analystes indiquent que 20% ou 25% d’économies pourraient être réalisées par les gouvernements sur leur budget informatique s’ils migraient vers le cloudcomputing. Comme pour la virtualisation, l’informatique dans le nuage peut être aussi intéressante pour le client grâce à son évolutivité. En effet, le coût est fonction de la durée de l’utilisation du service rendu et ne nécessite aucun investissement préalable (homme ou machine). « L’élasticité » des nuages permet de fournir des services évolutifs et peut permettre de supporter des montées en charge. Toutefois le cloudcomputing crée des inconvénients particulièrement sur les données à caractère personnel et les entreprises perdent la maîtrise de l’implantation de leurs données. Les questions juridiques posées notamment par l’absence de localisation précise des données du cloudcomputing. Les lois en vigueur s’appliquent, mais pour quel serveur quel data center et surtout quel pays ? Le cloud computing mise à disposition de ressources informatiques partagées à distance (stockage) des données repose sur la dématérialisation, l’externalisation, l’archivage et le partage d’information. 84 Une sorte de livre personnel, dans une bibliothèque extérieure, voire lointaine (offshoring), dont on peut cependant, instantanément et à tout moment, consulter chacune des pages à travers un réseau public (comme internet) ou privé. Ce concept d’externalisation consiste à déporter sur un système tiers des données usuellement traitées sur un serveur local ou sur le poste de l’utilisateur lui-même : une sorte de gigantesque ordinateur externe, à capacité évolutive, mis à l’abri, géré et sécurisé par un tiers « quelque part ». Les utilisateurs de réseaux sociaux type facebook sont des acteurs du cloud. Le cloud computing même gratuit repose cependant sur un modèle économique de la « gratuité » présuppose que les données des utilisateurs, cœur du dispositif sont susceptibles de faire l’objet d’une utilisation marchande. Il convient alors d’inviter l’usager à la plus grande prudence et de donner au public les clés pour un usage maitrisé et responsable du numérique94 . Pour mieux éviter les risques liés à la protection des données à caractère personnel dans le transfert des données au cloudcomputing, il convient alors d’exiger le respect des procédures déclaratives devant les autorités de protection avant tout transfert des données vers un service qui a en charge le cloud computing et une signature d’un contrat avec le prestataire du cloudcomputing. Il est également retenu que le choix d’un sous –traitant constitue une garantie de sécurité des données personnelles. Enfin, le droit à l’information des personnes doit être respecté. Pour mieux assurer l’exercice du droit à l’information dans le stockage des données personnelles dans le cloud computing, il convient d’informer les clients qui souhaitent utiliser le cloud sur les moyens de traitement des données, les lieux de stockage des données ou du prestataire et l’intervention éventuelle de sous-traitant et de son rôle. L’autorité de protection doit également informer les clients sur les conditions d’exercice de leurs reconnus par la loi notamment le droit d’accès, de rectification, de suppression, de conservation, de destruction ou de restitution des données à la fin de la prestation ou en cas de rupture anticipée du contrat. 94CNIL France Juillet 2012. 85 Dans le souci de mieux protéger les personnes, l’autorité de protection doit exiger du prestataire cloud une protection adéquate des données transférées, notamment leur sécurité et leur confidentialité. IL convient de faire une option privilégiée du recours au cloudcomputing national et d’insérer dans le contrat toutes les conditions générales d’utilisation des différents services cloud, des dispositions relatives à la protection des données à caractère personnel. Nous avons constaté qu’il y a des menaces réelles de la protection des données à caractère personnel par le stockage des données dans le cloud computing.C’est pourquoi, il convient de retenir que le responsable du traitement doit veiller au respect des règles relatives à la protection des données à caractère personnel avant tout transfert ou le stockage des données personnelles dans le cloudcomputing. Pour mieux protéger les personnes contre les risques du cloud computing, il convient de veiller à la confidentialité des données, de déterminer les obligations du responsable de traitement et les lieux de stockage des données à l’étranger. Il convient alors de respecter les procédures déclaratives devant les autorités de protection avant tout transfert des données ver un service cloud. Le responsable de traitement doit identifier clairement les données et les traitements hébergés dans le cloud et informer les clients candidats au cloud sur les moyens de traitement des données, les lieux de stockage des données ou du prestataire, l’intervention éventuelle de sous traitant et de son rôle. Les clients doivent également être informés sur les conditions d’exercice de leurs droits (droit d’accès, de rectification, de suppression, de conservation, de destruction ou de restitution des données à la fin de la prestation ou en cas de rupture anticipée du contrat). Il convient également d’encadrer la durée de conservation des données. Le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite, l’altération, la diffusion ou l’accès non autorisés. Ces mesures doivent assurer, compte tenu de l’état de l’art et de leur coût un niveau de sécurité approprié face aux risques pesant sur les données.