Navigation

Traitement de données dans un nuage informatique

 

 

Traitement de données dans un nuage informatique

L’utilisation de services en nuage soulève souvent des questions de protection des données

Certains aspects de la protection des données exigent une attention particulière lors de l’utilisation de services en nuage. Il s’agit notamment (i) du recours à des sous-traitants et à des sous-traitants ultérieurs, (ii) de la sécurité du traitement des données et (iii) du transfert de données personnelles vers des pays tiers.

Qu’est-ce que l’informatique en nuage et quand est-elle pertinente du point de vue de la
protection des données ?

D’un point de vue technique, on entend par informatique en nuage la possibilité d’acheter, selon les besoins, des applications et des logiciels, des capacités de mémoire, des outils de développement, des capacités de réseau ou de la puissance de calcul par l’intermédiaire d’un réseau, tel qu’Internet, auprès d’un fournisseur de services en nuage.  

Exemples d’informatique en nuage :

  • Les outils de collaboration en ligne Office 365 ; 
  • Les outils de gestion en ligne des adresses électroniques pour les newsletters ou les conseils aux clients ;
  • Les outils de gestion de la relation client (GRC) en ligne ;
  • Le téléchargement de vidéos sur des plateformes de streaming ;
  • Le téléchargement de fichiers sur un serveur distant accessible sur Internet, etc. 

Dans ce contexte, le droit de la protection des données s’applique dès lors qu’il y a transfert de données personnelles dans un nuage. 

 

La relation entre le fournisseur de services en nuage et le client du point de vue de la protection des données 

L’entreprise qui fournit des services en nuage agit généralement en qualité de sous-traitant des données du client (l’utilisateur du nuage) au sens de l’art. 9 LPD. Le client peut aussi bien être le responsable du traitement des données que le sous-traitant. En tant que sous-traitant, le client doit remplir les exigences de traitement des données fixées par le responsable du traitement. En tant que responsable du traitement, le client est lui-même responsable de la conformité des traitements de données effectués dans le cadre d’une sous-traitance par le fournisseur de services en nuage et du fait que cette externalisation ne porte pas atteinte aux droits des personnes concernées. 


Les obligations de l’utilisateur du nuage

L’utilisateur du nuage est tenu, en tant que responsable du traitement, de s’assurer et de garantir par contrat que les exigences relatives à la sous-traitance conformément à l’art. 9 LPD sont respectées. Nous renvoyons à ce sujet à nos explications sur l’externalisation. Par ailleurs, si des données sont amenées à être communiquées à l’étranger lors de l’utilisation des services en nuage, il faut vérifier au préalable si cette communication satisfait aux exigences légales. Nous vous renvoyons à cet égard à nos explications sur la communication de données à l’étranger. 

Les enjeux de la conformité 

Les services en nuage se caractérisent par des solutions standard. Les clients ont par conséquent une marge de négociation très restreinte et des possibilités limitées en ce qui concerne l’adaptation du service aux exigences relatives au traitement de leurs données. Dans ce contexte, le respect des exigences en matière de protection des données peut constituer un véritable défi. 

En tant que responsable du traitement, vous assumez la responsabilité première de veiller à ce que le traitement des données soit effectué conformément à la loi. L’art. 7 LPD sur la protection des données dès la conception et par défaut prévoit l’obligation de mettre en place des mesures techniques et organisationnelles afin que le traitement respecte les prescriptions de protection des données. Il prévoit également l’obligation de garantir, par le biais de préréglages appropriés, que le traitement des données personnelles soit limité au minimum requis par la finalité poursuivie.

Si le service standard ne le prévoit pas, vous pouvez vérifier si vous avez la possibilité de prendre des mesures techniques permettant d’éliminer complètement les risques pour la protection des données. Vous pouvez par exemple chiffrer entièrement les données ou les rendre anonymes avant de les transférer vers le nuage. Si cela n’est toutefois pas envisageable au vu de vos finalités de traitement, vous êtes alors tenu soit de chercher un autre service qui vous permettra d’effectuer le traitement des données dans le respect de la loi, soit de renoncer à l’externalisation. 

Conseils pour les responsables du traitement

Comprendre
les données et leurs exigences en matière de protection

Si vous souhaitez transmettre des données à un fournisseur de services en nuage, il faut avant tout analyser les données afin de vérifier si leur transfert est conforme au droit. Ensuite, il convient de se demander s’il s’agit de données personnelles ou non. S’il s’agit uniquement de données non personnelles, il n’est pas nécessaire de se pencher sur les exigences en matière de protection des données. Il faut également se demander à quel point les données traitées sont sensibles. Ces données sont-elles soumises à des obligations de garder le secret ? S’agit-il de données personnelles sensibles ? Les mesures de protection à prendre dépendent en grande partie de la nature des données. En outre, selon le traitement prévu, une analyse d’impact relative à la protection des données peut être nécessaire. 

Connaître son fournisseur potentiel de services en nuage et vérifier les conditions de fourniture des services (par ex., les conditions générales ou le contrat de service) 

Dans ce contexte, il convient de se poser les questions suivantes :

Confidentialité 

Le fournisseur de services en nuage dispose-t-il de directives et de processus qui garantissent le respect de la confidentialité des données par ses employés ou qui imposent d’autres obligations appropriées de confidentialité ? Est-il à même de prouver leur respect ? 

Instructions 

Le fournisseur de services en nuage est-il tenu contractuellement de traiter les données personnelles uniquement selon vos instructions documentées ou se réserve-t-il le droit de les traiter pour ses propres finalités ?

Le contrat stipule-t-il ou pouvez-vous demander au fournisseur d’effacer ou de restituer les données personnelles à la fin du contrat ?

Mesures de sécurité

Le fournisseur de services en nuage prend-il des mesures appropriées contre les risques liés à la sécurité des données pour le traitement des données qui lui ont été confiées ? Dispose-t-il d’une procédure de vérification de l’efficacité et de la pertinence des mesures ?

Registre

Le fournisseur de services en nuage tient-il un registre au sens de l’art. 12, al. 1 et 3, LPD ? Ce registre est-il à disposition si le PFPDT le demande dans le cadre d’une enquête ? 

Sous-traitance ultérieure 

Le fournisseur de services en nuage connaît-il tous ses sous-traitants ?Vous a-t-il fourni la documentation relative aux sous-traitants ultérieurs et aux pays dans lesquels les données sont traitées ? Dispose-t-il d’un processus de vérification de ses sous-traitants afin de s’assurer de leur capacité à respecter les exigences que vous lui avez imposées en matière de protection des données ? L’accord conclu par le fournisseur de services en nuage avec ses sous-traitants reprend-il les mêmes exigences que celles que vous, en tant que responsable du traitement, lui avez imposées ? Le contrat fixe-t-il un délai pour la soumission de la documentation concernant les sous-traitants ultérieurs ? Ce délai est-il raisonnable pour vous permettre de la contrôler ?

Coopération

En ce qui concerne le traitement des données qui lui est confié, le fournisseur de services en nuage dispose-t-il d’une procédure pour vous aider à gérer le traitement des demandes émanant des personnes concernées conformément au chapitre 4 LPD ou pour vous aider lors des enquêtes menées par l’autorité chargée de la protection des données ?Dispose-t-il d’une procédure d’annonce conformément à l’art. 24, al. 3, LPD et, si nécessaire, vous aide-t-il à remplir votre obligation d’annonce conformément à l’art. 24, al. 1, LPD ? Si vous réalisez vous-même des audits, vous aide-t-il à les réaliser ?

 
 

Lire aussi

 

Le droit à l’oubli sur Internet

Les moteurs de recherche donnent accès à toutes les informations publiées sur Internet… y compris celles que l’on préférerait jeter aux oubliettes.

Traçage

Par traçage, on entend toutes les technologies qui permettent d’enregistrer et d’évaluer le comportement d’une personne, aussi bien en ligne que dans le monde analogique.

Communication de données à l’étranger

La transmission de données personnelles à l’étranger est soumise à des règles spéciales. Avant de transférer des données vers d’autres pays, il convient de veiller au respect des points suivants.

Questions relatives à la protection des données

Consultez nos FAQ ou appelez notre hotline.

Infothèque

Vous trouverez ici tous les documents à télécharger, classés par thème.

Principales nouveautés

Tout ce qu'il faut savoir sur les nouveautés de la loi sur la protection des données.

Webmaster
Dernière modification 17.04.2023

Début de la page