Préposé à la protection des données et transparence Jura-Neuchâtel

Stockage/Transfert d'informations en utilisant un cloud (2013.0461)

Protection des données

Les entités peuvent-elles stocker/transférer des données en utilisant un cloud, tel que pCloud, Mega, Box, Onedrive, Google Drive, Dropbox, iCloud... ?

Avis du PPDT 2013.0461 mis à jour le 19 février 2021 (publié le 8 mai 2013)

* Les entités soumises à la CPDT-JUNE sont en droit de stocker/transférer des données en utilisant un Cloud, pour autant que les conditions soient remplies. Il faut tout d'abord procéder à une analyse d'impact selon l'aide-mémoire de Privatim. Les critères principaux sont la nature des données traitées, le droit applicable, le for, le lieu du traitement des données (situation des serveurs, la protection des secrets, le contenu du contrat, la récolte éventuelle de métadonnées par le fournisseur, ainsi que le chiffrement et la gestion des clés. Par exemple, des données personnelles soumises au secret de fonction et non chiffrées ne peuvent pas être hébergées à l'étranger. Sans l'obtention de conditions particulières expressément accordées à l'entité par contrat, pCloud, Mega, Box, OneDrive, Google Drive, Dropbox, iCloud, etc., ne remplissent à priori pas les conditions susmentionnées.

Le maître de fichier qui passerait outre cet avis engage sa responsabilité envers les personnes dont les données seraient envoyées sur les services précités et pourrait encourir des sanctions pénales.

De nombreuses entités soumises à la CPDT-JUNE souhaiteraient davantage pouvoir stocker/transférer des données personnelles par l'intermédiaire de Clouds externes, tels que pCloud, Mega, Box, One Drive, Google Drive, Dropbox, iCloud, etc... La gratuité (ou le coût raisonnable) et la convivialité d'usage constituent souvent les principales motivations.

Cependant, l'article 54 CPDT-JUNE prévoit que des traitements de données personnelles, tels que les stockages ou les échanges, peuvent être confiés à un tiers si les conditions minimums suivantes sont respectées :

  • aucune obligation légale ou contractuelle de garder le secret ne l'interdit;

  • la sécurité des données est assurée;

  • l'utilisateur du cloud, responsable de la protection des données traitées, doit s'assurer qu'aucun autre traitement de données que ceux qu'il a confiés ne puisse être effectués;

  • le PPDT doit pouvoir contrôler le mandataire.

Lorsque la sous-traitance consiste à utiliser un Cloud externe, les conditions d'application de cette disposition sont largement développées dans la page sous-traitance, ainsi que dans celle dédiée au Cloud. Ces pages préconisent, entre autre, la mise en œuvre préalable d'une analyse d'impact selon l'aide-mémoire de Privatim. Les critères principaux à remplir pour adhérer à un service Cloud sont la nature des données traitées, le droit applicable, le for, le lieu du traitement des données (situation des serveurs, la protection des secrets, le contenu du contrat, la récolte éventuelle de métadonnées par le fournisseur, ainsi que le chiffrement et la gestion des clés. Par exemple, des données personnelles soumises au secret de fonction et non chiffrées ne peuvent pas être hébergées à l'étranger.

A relever que l'importance d'une des conditions est souvent trop sous-estimée. Selon l'article 54 CPDT-JUNE, le sous-traitant doit pouvoir être contrôlé par le PPDT aussi bien que l'entité mandataire. Il va de soi que celui-ci n'a pas les ressources pour auditer des entreprises telles que Dropbox, Microsoft et autres membres des GAFAM. C'est pourquoi, le contrat doit impérativement prévoir des règles à propos d'audits et l'accès à leurs rapports.

Ne pas oublier que si les données sont soumises au secret de fonction, l'utilisation d'un cloud peut constituer ou conduire à une violation de celui-ci (art. 320 du Code pénal suisse dont la violation est passible d'une peine de privation de liberté de maximum trois ans ou d'une peine pécuniaire).

Par conséquent, au vu de ce précède, les entités sont vivement invitées à prendre beaucoup de précautions avant de choisir les modalités du traitement de leurs données.

A titre d'exemples non exhaustifs, la lecture des extraits de conditions générales suivants, en principe non négociables, démontre que ces hébergements  ne respectent pas les conditions précitées :

DropBox

[...] Nous collectons et utilisons également des données personnelles pour les intérêts légitimes de nos activités. Si nous devons traiter vos données personnelles pour d'autres finalités, nous vous demandons votre consentement à l'avance [...]

source : https://www.dropbox.com/privacy (état au 19 février 20201).

OneDrive

[...] Microsoft utilise les données recueillies dans le but de vous offrir des expériences riches et interactives. En particulier, nous utilisons les données pour :

[...] vous adresser de la publicité et des communications marketing, ce qui comprend de vous envoyer des communications promotionnelles, des publicités ciblées et des présentations d'offres susceptibles de vous intéresser.

[...] Nous partageons vos données personnelles [...] lorsque cela est exigé par la loi ou pour répondre à une procédure judiciaire [...]

source : https://privacy.microsoft.com/Déclaration confidentialité; (état au 19 février 2021).

iCloud

[...] Nous utilisons les données personnelles pour fournir nos services, traiter vos transactions, communiquer avec vous, à des fins de sécurité et de prévention de la fraude, et pour nous conformer à la loi. Nous pouvons également utiliser les données personnelles à d’autres fins, avec votre consentement  [...]

source: https://www.apple.com/fr/legal/privacy/fr-ww/ (état au 19 février 2021).

Google Drive

Google devient un "quasi propriétaire" de vos données.

[...] Cette licence autorise Google à procéder aux opérations suivantes : [...] publier, exécuter ou afficher publiquement vos contenus si vous les avez rendus accessibles à d'autres personnes ;

[...] concéder l'autorisation d'effectuer ces actes : [...] à nos partenaires qui ont signé avec nous des accords conformes aux présentes conditions, uniquement aux fins limitées décrites dans la section Objet. [...]

source: https://policies.google.com/terms#toc-purpose (état au 19 février 2021).

Ce site n'utilise que deux cookies: Un pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques. Un autre pour rappeler aux serveurs votre choix d'accepter les présentes conditions, afin d’éviter de reposer la question à la prochaine visite. En poursuivant la consultation de notre site, vous acceptez l’utilisation des cookies aux fins énoncées ci-dessus, ainsi que l'enregistrement temporaire sur les serveurs de quelques données personnelles à des fins techniques. En savoir plus.