Préposé à la protection des données et transparence Jura-Neuchâtel

Clouds

Protection des données

Définition

De manière générale, les services en nuage (cloud services) peuvent être classés en trois modèles:

  • Infrastructure as a Service (IaaS) : utilisation, à partir d’un nuage, des composants d’une infrastructure de centre de calcul («composants matériels»). Exemples : puissance de calcul, espace de stockage, ressources réseau.

  • Platform as a Service (PaaS) : utilisation, à partir d’un nuage, d’une ou de plusieurs plates-formes destinées aux environnements d’application. D’autres fonctions sont ajoutées à l’IaaS, notamment un environnement de développement et ses fonctions connexes. Cela peut aller jusqu’à la distribution du logiciel réalisé.

  • Software as a Service (SaaS) : exécution et utilisation d’un logiciel sur une ressource réseau, en général sans qu’une installation locale ne soit nécessaire.

En fonction de la mise à disposition ou de l’accessibilité, on opère en outre une distinction entre un nuage «public», «communautaire», «hybride» ou «privé». 

Dans chaque cas, l’utilisation des services en nuage s’accompagne d’une externalisation de l’infrastructure informatique, dont l’étendue et la pertinence dépendent des facteurs susmentionnés.

Il convient de préciser qu’en vertu du «CLOUD Act» signé le 23 mars 2018 par le Président des États-Unis, qui complète le précédent «Stored Communications Act» (SCA), les entreprises américaines sont tenues d’accorder un accès aux données aux autorités américaines, indépendamment du lieu de stockage de ces données.

Prises de position sommaires du PPDT

2017 - 2016 - 2015 - 2013

  1. En principe, une personne suivie par un enquêteur professionnel mandaté par un OAI est en droit de connaître l'identité de ce dernier, contrairement à celle des dénonciateurs privés (voir avis 2013.0515). En revanche, les enquêteurs mandatés ne sont pas en droit de poster les vidéos sur YouTube, même avec un accès restreint. La lecture des conditions générales permet de constater que «YouTube a un droit non exclusif, exempt de redevance, cessible, dans le monde entier (avec le droit de concéder une sous-licence) d’utiliser, de reproduire, de distribuer, d’élaborer des œuvres dérivées, d’afficher, de rendre disponible au public, de modifier et de mettre en œuvre ce contenu dans le cadre de la fourniture du Service et, par ailleurs, en relation avec la fourniture du Service et de l’activité de YouTube, y compris, sans restriction, pour la promotion et la redistribution de tout ou partie du Service (et des œuvres dérivées de celui-ci), quel qu’en soit le format et par le biais de toute voie...». Or, les entités soumises à la CPDT-JUNE ne sont pas en droit de traiter des données personnelles à travers un Cloud, tel que Google, YouTube (dossier 2016.1408).

  2. Les entités soumises à la CPDT-JUNE ne peuvent adresser des e-mails sur la boîte privée de leurs collaborateurs que si elle offre les mêmes garanties de confidentialité et de sécurité que la boîte professionnelle. Elles ne doivent donc pas envoyer de courriel à des adresses, telles que @gmail.com, @outlook.com (dossier 2016.1507).

  3. Il est fermement déconseillé aux entités d'utiliser un cloud pouvant stocker des données aux USA, malgré l'existence du Safe-Harbord (dossier 2015.1017).

  4. L'utilisation de formulaire Google Drive n'est pas conforme aux règles sur la protection des données si des données personnelles sont saisies, telles que, par exemple, les motifs d'absence d'enseignants ou d'élèves (dossier 2013.0558).

  5. Les entités soumises à la CPDT-JUNE ne peuvent pas migrer leur messagerie dans un cloud, sans prendre beaucoup de précautions contractuelles (dossier 2013.0538).

Ce site n'utilise que deux cookies: Un pour indiquer temporairement aux serveurs la langue que vous avez choisie lors de la configuration de vos outils informatiques. Un autre pour rappeler aux serveurs votre choix d'accepter les présentes conditions, afin d’éviter de reposer la question à la prochaine visite. En poursuivant la consultation de notre site, vous acceptez l’utilisation des cookies aux fins énoncées ci-dessus, ainsi que l'enregistrement temporaire sur les serveurs de quelques données personnelles à des fins techniques. En savoir plus.