Externalisation dans le nuage du traitement des données par les organes fédéraux

Les organes fédéraux prévoient de plus en plus d’externaliser le traitement des données dans le nuage. Les services compétents nous ont contactés pendant l’année sous revue et nous ont demandé de nous prononcer sous l’angle de la protection des données.

Si des autorités fédérales souhaitent externaliser des traitements de données, le droit de la protection des données leur impose de veiller à plusieurs points en plus des conditions générales pour le traitement des données:

  • selon la loi sur la protection des données, elles ne doivent transmettre des données personnelles à des tiers que s'il existe une base légale pour ce faire au sens de l'art. 17 LPD, ou si une disposition d'exception au sens de l'art. 19 al. 1 LPD s'applique.
  • S'il existe une obligation légale ou contractuelle de garder le secret, les données ne doivent pas être confiées à un prestataire d'informatique en nuage (cloud computing). Il est ainsi également envisageable que seule une partie du traitement des données puisse être externalisée.
  • Le maître de fichier doit s'assurer que le mandataire n'effectue le traitement de données que de la manière dont il serait lui-même en droit d'effectuer. Il incombe à l'organe fédéral de vérifier régulièrement le respect des contrats de traitement des données.
  • Si les serveurs du prestataire se trouvent à l'étranger, il convient également de respecter les dispositions de protection des données dans le cadre du transfert transfrontalier. La transmission à l'étranger de données personnelles des visiteurs de site Internet peut notamment permettre aux autorités étrangères d'accéder aux données situées dans leur pays, sur la base de leur législation nationale. Vu leur devoir de diligence, ce point se révèle particulièrement délicat pour les offices fédéraux, qui doivent protéger les citoyens notamment contre les accès non autorisés.

Nous critiquons le manque de contrôle sur le mandataire assurant le traitement des données. Par exemple, un long délai de conservation des données n'est pas proportionné et ne correspond pas aux exigences de la LPD. Les prestataires n'autorisant généralement pas d'adaptation de leurs clauses contractuelles standard, l'organe fédéral responsable doit évaluer si un recours aux prestations aux conditions convenues est envisageable ou non.

Il convient de bien évaluer les risques liés à une externalisation lorsque des entreprises américaines sont précisément choisies en tant que prestataires. Ainsi, le 25 avril 2014, le tribunal du Southern District of New York a émis un jugement sensible concernant l'accès des autorités américaines aux données clients stockées au sein de l'UE. Selon ce dernier, les autorités américaines peuvent accéder aux données qui sont traitées dans le cadre d'un mandat par des entreprises ayant leur siège aux États-Unis. Nous partons de l'idée que les applications en nuage d'entreprises américaines peuvent donc permettre aux autorités américaines d'accéder aux
données clients stockées sur des serveurs dans l'Union européenne ou en Suisse sans avoir à recourir à l'entraide judiciaire internationale, même si une convention complémentaire est prévue.

Pour ces raisons, nous déconseillons aux organes fédéraux d'externaliser le traitement des données à des entreprises soumises à une législation n'offrant pas un niveau approprié de protection des données. Par ailleurs, il est à noter que les traitements de données à externaliser peuvent concerner des infrastructures d'importance vitale qui, selon les prescriptions du Conseil fédéral, ne peuvent être confiées qu'à des entreprises «soumises exclusivement au droit suisse, détenues en majorité par des propriétaires suisses et fournissant toutes leurs prestations sur le territoire suisse».

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/22e-rapport-d-activites-2014-2015/externalisation-dans-le-nuage-du-traitement-des-donnees-par-les-.html