Navigation path

Left navigation

Additional tools

CEPD: la responsabilité dans le cloud ne doit pas s'évaporer dans les airs

European Data Protection Supervisor - EDPS/12/15   16/11/2012

Other available languages: EN DE

COMMUNIQUE DE PRESSE

EDPS/12/15
Bruxelles, vendredi 16 novembre 2012

CEPD: la responsabilité dans le cloud ne doit pas s'évaporer
dans les airs

Le Contrôleur européen de la protection des données (CEPD) a adopté aujourd'hui son avis sur la communication de la Commission européenne intitulée " Exploiter le potentiel de l'informatique en nuage en Europe", dans laquelle la Commission propose des actions clés et des mesures visant à accélérer l'utilisation de services de cloud computing en Europe. L'avis du CEPD ne se limite pas aux sujets traités dans la communication, mais aborde également les défis pour la protection des données engendrés par le cloud computing et la façon dont la proposition de règlement de protection des données y répondra lorsque les règles révisées entreront en vigueur.

Il est clair que de nombreuses entreprises, les pouvoirs publics et les consommateurs souhaitent profiter de coûts informatiques réduits et/ou de l'accès à de meilleurs services en utilisant le cloud computing; toutefois, le principal sujet de préoccupation pour les clients du cloud est de savoir si le système est fiable et digne de confiance, et si le traitement de leurs données peut être réalisé dans le plein respect des règles de protection des données.

Peter Hustinx, CEPD, déclare: "Le cloud computing peut apporter d'énormes avantages pour les individus et les organisations, mais doit également garantir un niveau de protection adéquat. Actuellement, de nombreux clients du cloud, y compris les utilisateurs des réseaux sociaux, n'ont que très peu d'influence sur les termes et conditions du service offert par leurs fournisseurs. Nous devons garantir que ces fournisseurs de solutions cloud n'échappent pas à leur responsabilité et que les clients du cloud soient en mesure de remplir leurs obligations en matière de protection des données. La complexité de la technologie cloud ne peut en aucun cas justifier une baisse des standards de protection des données."

La responsabilisation est une pierre angulaire de la protection des données et les responsabilités de toutes les parties impliquées dans le cloud computing doivent être définies de manière précise dans la législation. Sans définition claire, la complexité et l'implication de multiples acteurs dans le cloud computing pourraient conduire à une attribution des obligations et responsabilités relatives à la protection des données entre le client du cloud et le fournisseur de services cloud qui ne reflète pas leurs rôles et leur influence respective dans la réalité; il en résulterait un sérieux déficit de protection en pratique. Le risque que personne n'endosse la pleine responsabilité en matière de protection des données dans cet environnement complexe représente un enjeu majeur.

Le CEPD estime que le déséquilibre de pouvoir entre les clients du cloud et les fournisseurs de service cloud peut être résolu par la mise en place de conditions générales commerciales standard qui respectent les obligations de protection des données pour les contrats commerciaux, les marchés publics ainsi que les transferts internationaux de données.

Ces mesures, combinées avec la proposition de nouveau règlement de protection des données qui prévoit des règles claires garantissant que les fournisseurs de service cloud soient entièrement responsabilisés quant au traitement des données, doivent pouvoir empêcher que les responsabilités relatives à la protection des données ne s'évaporent tout simplement dans les airs.

Les autres recommandations du CEPD incluent notamment:

  • une clarification et des lignes directrices dans la manière de garantir l'efficacité des mesures de protection des données en pratique et l'utilisation de règles d'entreprise contraignantes;

  • la mise en place de bonnes pratiques en matière de responsabilité des responsables de traitement et des sous-traitants, de conservation des données dans l'environnement cloud, de la portabilité des données et de l'exercice des droits des personnes concernées;

  • le développement de standards et de systèmes de certification incluant les critères de protection des données;

  • la définition claire de la notion de transfert et des critères régissant l'autorisation d'accès aux données dans le cloud par les organes répressifs en dehors des pays de l'EEE.

Informations générales

Le cloud computing est un modèle permettant un accès réseau permanent, aisé et à la demande sous la forme d'un pool partagé de ressources informatiques configurables (tels que réseaux, serveurs, applications et services de stockage) qui peuvent être mises à disposition et gérées facilement avec une intervention minimale du fournisseur de service.

La Commission européenne a publié sa communication intitulée "Exploiter le potentiel de l'informatique en nuage en Europe" le 27 septembre 2012. Les autorités européennes de protection des données ont publié un avis sur le cloud computing le 1er juillet 2012 et la conférence internationale des commissaires à la protection des données et à la vie privée ont adopté une résolution sur le cloud computing le 26 octobre 2012.

Le Contrôleur européen de la protection des données (CEPD) est une autorité de contrôle indépendante dont l'objectif est de protéger les données à caractère personnel et la vie privée et de promouvoir les bonnes pratiques dans les institutions et organes de l'UE. À cet effet, il remplit les tâches suivantes:

  • contrôler les traitements de données à caractère personnel effectués par l'administration de l'UE;

  • donner des conseils sur les politiques et les textes législatifs qui touchent à la vie privée;

  • coopérer avec les autorités de même nature afin de garantir une protection des données qui soit cohérente.

L'avis (EN) est disponible sur le site Internet du CEPD. Pour plus d'informations: press@edps.europa.eu

CEPD - Le gardien européen de la protection des données

www.edps.europa.eu

Suivez-nous sur Twitter: @EU_EDPS


Side Bar

My account

Manage your searches and email notifications


Help us improve our website