Préposé à la protection des données et transparence Jura-Neuchâtel

Aide-mémoire pour l'utilisation de clouds par les organes publics

Protection des données

Aide-mémoire : Cloud computing

Privatim juillet 2013

INTRODUCTION

Cet aide-mémoire s'adresse aux organes publics des cantons et des communes qui veulent évaluer la technologie du «Cloud-Computing» ou qui l'utilisent déjà.

L’utilisation de prestations dans le cadre du «Cloud-Computing» correspond à un traitement de données sur mandat (aussi appelé «outsourcing»). Un tel outsourcing doit aussi bien satisfaire aux exigences du traitement des données en tant que tel qu’aux exigences de l’outsourcing dans un sens classique du terme. Dès lors que les risques d’une violation de la personnalité, pour cause de non respect des conditions-cadre dans le traitement des données, sont plus élevés que dans un outsourcing classique, il est indispensable de prêter une attention particulière à certaines exigences édictées par la législation sur la protection des données (et sur la transparence).

Le point de départ de l'utilisation de la technologie du Cloud-Computing est une évaluation des risques. Elle a pour objectif de déterminer les exigences liées au fournisseur des services en question et détermine, en outre, le contenu du contrat écrit. Les éléments spécifiques au Cloud utilisé doivent faire l’objet d’une réglementation détaillée et la mise en œuvre des mesures adoptées devra être régulièrement vérifiée.

  

CLOUD-COMPUTING ET OUTSOURCING

D'un point de vue de la loi sur la protection des données (et sur la transparence) l’utilisation de la technologie du Cloud-Computing correspond à un traitement de données sur mandat (outsourcing) et doit, pour cette raison, en respecter les conditions. Les organes publics peuvent donc se servir de cette technologie, à condition d’être en mesure de satisfaire aux obligations imposées par la protection des données et parla sécurité informatique. Les organes sont et restent responsables pour le traitement des données.

Les particularités propres à la technologie du Cloud-Computing et les risques inhérents, comme par exemple l'utilisation d'une infrastructure informatique par plusieurs participants, doivent être neutralisés par des mesures compensatoires appropriées. Dans le cadre du choix d’un fournisseur de Cloud et d'une offre de Cloud-Computing, la rédaction du contrat écrit et la mise en œuvre de mesures doivent prendre en considération des points supplémentaires. Les plus grands défis résident dans la transparence, les contrôles et, en général, dans le respect de la responsabilité des organes publics.

ÉVALUATION DES RISQUES ET CHOIX DU FOURNISSEUR

Les organes publics effectuent une évaluation des risques pour leurs systèmes et leurs applications informatiques. Au vu du contenu des données traitées, il conviendra d'assigner des objectifs de sécurité (confidentialité, disponibilité et intégrité ainsi qu’éventuellement imputabilité et vérifiabilité). En outre, il faut déterminer le potentiel de danger. Il en résulte des critères de choix pour le fournisseur et pour l'offre. L’évaluation des risques définit les exigences organisationnelles, techniques et juridiques à respecter par le fournisseur.

Il faut particulièrement prendre en considération les risques suivants, spécifiques à la technologie du Cloud-Computing:

  • Prise en charge de la responsabilité par l’organe public et par le fournisseur

  • Perte de contrôle ou impossibilité de l’exercice des obligations de contrôle

  • Mise en œuvre des prétentions liées à la destruction ou à la rectification de données

  • Garantie d'une protection des données équivalente

  • Mise en œuvre de la sécurité informatique indispensable

  • Vérifiabilité du processus de traitement des données

  • Vérifiabilité du traitement concret des données («log files»)

  • Perte de données

  • Usage abusif de données

  • Disponibilité restreinte des services

  • Portabilité et interopérabilité

Le fournisseur de Clouds est tenu de communiquer les conditions cadres juridiques, organisationnelles et techniques des prestations offertes. À cette fin, il peut se servir d'un certificat ou d'un rapport d'audit indépendant qui permettrait de rendre transparents certains aspects de la prestation. La portée de tels instruments dépend de la prise en considération ou non des standards nationaux et internationaux.

FORME ET CONTENU DU CONTRAT

Dans une structure de Cloud, l'organe public doit pouvoir assumer sa responsabilité découlant de la législation sur la protection des données (et sur la transparence). Il est donc indispensable de régler dans un contrat écrit et détaillé qui répond de quoi dans le cadre de la législation sur la protection des données (et sur la transparence). Si lors d'un traitement de données personnelles (notamment en cas de données sensibles ou de profils de la personnalité) on devait avoir recours au Cloud-Computing, il ne suffira généralement pas d’adopter les conditions générales standard d'un fournisseur quelconque.

1.  Contrôle

Les droits de contrôle des organes publics ainsi que des autorités de surveillance indépendantes (préposé à la protection des données, organe de contrôle interne ou politique) doivent être prévus. Cela concerne aussi la possibilité de contrôles sur le site.

En outre, le fournisseur de Cloud doit s’engager à procéder à des contrôles externes réguliers, d'après les standards internationaux d’audit. Le fournisseur de Cloud doit être tenu à mettre à disposition des organes publics les résultats des audits indépendants.  

2.  Droits des personnes concernées

Il faut assurer le droit d'accès des personnes concernées à leurs données sauvegardées. Le fournisseur de Cloud doit garantir par contrat la mise en œuvre des droits à la rectification et à la destruction des données traitées illicitement. 

3.  Lieu du traitement des données

Dans tous les cas, il faut convenir par écrit que le fournisseur de Cloud doit donner des renseignements à propos de tous les lieux de traitement des données possibles. Un changement de lieu de traitement doit être annoncé à l’organe public et accepté par celui-ci.

Lors de traitements de données particulières (par exemple de données sensibles au sens de la loi ou de profils de la personnalité, mais aussi de données soumises à un secret professionnel ou de données jugées sensibles pour d’autres motifs de protection des données) il faut éviter un accès physique des autorités étrangères (par exemple par une voie de séquestre). Pour de tels traitements de données particulières, il faut convenir par contrat que le traitement des données doit exclusivement avoir lieu en Suisse. 

4.  Niveau équivalent de protection des données

La communication de données vers l'étranger est, en principe, soumise à des dispositions spécifiques de protection des données. Les mêmes conditions doivent être respectées lors de l’utilisation du Cloud-Computing, car l'organe public doit continuer à assumer sa responsabilité. Si le Cloud-Computing porte aussi sur des données personnelles, la délocalisation du traitement à l'étranger peut uniquement intervenir à condition que le niveau de protection des données soit équivalent à celui de la Suisse et/ou que des mesures de sécurité additionnelles soient prises.

  

5.  Contrats de sous-traitance

Des relations de sous-traitance doivent être déclarées avant la conclusion du contrat. Des accords de sous-traitance ultérieurs ne doivent pouvoir être signées qu’après information et accord émanant de l’organe public. Les sous-traitants doivent être soumis aux directives des fournisseurs de Cloud. En outre, pour le traitement de données particulières (voir ci-dessus chiffre 4.3), il faut stipuler les mêmes exigences de lieu du traitement et de siège de l’entreprise que pour le fournisseur de Cloud lui-même.

  

6.  Droit applicable et for

L’application du droit suisse en général et de la législation cantonale sur la protection des données (et sur la transparence) dépend de la situation légale concrète. Il est toutefois fondamental que l’organe public responsable puisse assumer cette responsabilité légale de façon réelle. Les clauses de non-responsabilité dans les conditions générales des fournisseurs de Cloud ainsi qu’un un for ou un siège social à l'étranger peuvent empêcher l’organe public à assumer sa responsabilité légale. Lors d’un traitement de données particulières (voir ci-dessus chiffre 4.3), il faut non seulement convenir d’un for en Suisse, mais s’assurer que le lieu de traitement et le siège du fournisseur de Cloud se trouvent en Suisse. Autrement, l'organe public doit éventuellement obtenir une décision judiciaire à l'étranger ou alors imposer une décision judiciaire suisse à l'étranger. Cela pourra régulièrement dépasser les capacités des organes publiques et les empêcher à assumer leur responsabilité.

  

7. Mesures de sécurité organisationnelles et techniques

La confidentialité, l'intégrité, la disponibilité, l'authenticité et la vérifiabilité doivent aussi être garanties lors de l'utilisation de services Cloud. Les catégories de données soumises à un traitement et à un niveau de protection sont à convenir dans le contrat. Il faut convenir que le fournisseur Cloud informe régulièrement l'organe public à propos de la concrétisation des mesures les plus importantes dans le domaine de sécurité informatique. En outre, il faut obliger le fournisseur de Cloud de communiquer les incidents relatifs à la sécurité.

Le fournisseur de Cloud doit garantir les objectifs de sécurité découlant de la législation sur la protection des données (et sur la transparence). Ces objectifs de sécurité ne sont, en règle générale, pas énumérés de façon exhaustive. Dans le cadre d’un concept de sécurité, le fournisseur de Cloud doit expliquer les mesures de sécurité sur un plan organisationnel et technique. Il s’agit notamment de mesures de cryptage, la gestion de l’'identité et d'accès, la gestion des interventions d'urgence etc. Lors d'un traitement de données personnelles particulières (données sensibles et profils de la personnalité) il doit gérer les mesures organisationnelles et techniques dans un système de management de sécurité informatique.

Il faut spécifiquement convenir des mesures organisationnelles et techniques qui puissent garantir la portabilité, l'interopérabilité ainsi que la séparation des mandants.

  

MISE EN OEUVRE DES MESURES CONVENUES

La mise en œuvre des mesures organisationnelles et techniques et juridiques convenues dans le contrat doit faire l’objet d’un contrôle permanent de la part de l’organe public.

  

RÉFÉRENCES ET AUTRES LIENS

  • Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe - Cloud Computing, Version 1.0, 26. Sep-tember 2011

  • eGovernment Suisse, Stratégie d‘informatique en nuages des autorités suisses 2012-2020, 25 Octobre 2012

  • GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES, Avis 05/2012 sur l’informatique en nuage, 1er Juillet 2012

  • Entschliessung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder, 28./29. September 2011, München

  • Thilo Weichert, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Cloud Computing und Datenschutz

  • Philipp Mittelberger, Gabriele Binder, Datenschutzrechtliche Chancen und Risiken von Cloud Computing, in: Jus & News 2011/2, S. 163 ff.

  • Datenschutzstelle Fürstentum Liechtenstein, Cloud Computing und Datenschutz, Häufig gestellte Fragen

  • European Network and Information Security Agency (ENISA), Cloud Computing, Ben-efits, risks and recommendations for information security, November 2009

  • Bundesamt für Sicherheit in der Informationstechnik (BSI), Eckpunktepapier, Sicher-heitsempfehlungen für Cloud Computing Anbieter, Mindestsicherheitsanforderungen in der Informationssicherheit, 2011

  • BSI, Spezifische Massnahmen zur Trennung der Datenbestände, ‚Gefährdungen und Gegenmaßnahmen beim Einsatz von VCE Vblock‘, Version 2.5, 22. Dezember 2011

 


 

V 1.0 / Juillet 2013 

Ce site n'utilise que deux cookies: Un pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques. Un autre pour rappeler aux serveurs votre choix d'accepter les présentes conditions, afin d’éviter de reposer la question à la prochaine visite. En poursuivant la consultation de notre site, vous acceptez l’utilisation des cookies aux fins énoncées ci-dessus, ainsi que l'enregistrement temporaire sur les serveurs de quelques données personnelles à des fins techniques. En savoir plus.