On ne peut dès lors que se réjouir de l’initiative de la CNIL qui a lancé, le 17 octobre 2011, à l’instar de la Commission européenne, une consultation auprès des professionnels afin d’envisager « toutes les solutions tant d’un point de vue juridique que technique afin que soit garanti un haut niveau de protection aux données personnelles tout en tenant compte des enjeux économiques liés au Cloud computing ».
Les sujets abordés par la CNIL dans cette consultation sont majeurs et certaines propositions figurant dans ce document sont véritablement de nature à faciliter le développement des services de Cloud, tout en améliorant la protection des données personnelles.
En effet, non seulement la CNIL appelle les professionnels à se prononcer sur des aspects du Cloud computing relativement généraux tels que :
le faisceau d’indices permettant de caractériser une prestation de Cloud computing, les propositions de la CNIL étant de retenir la simplicité du service à la demande, l’extrême flexibilité, l’accès « léger », la virtualisation des ressources et le « paiement à l’usage » ;
la loi applicable aux acteurs du Cloud ;
les moyens d’améliorer la sécurité des données dans le Cloud, notamment en abordant des sujets tels que l’encadrement contractuel des obligations de sécurité et de réversibilité, le recours à une analyse de risques avant le passage au Cloud ou encore la possible élaboration de normes ou de certifications.
Mais la CNIL aborde également des aspects fondamentaux en termes de rôles et responsabilités des acteurs du Cloud computing.
Ainsi la CNIL envisage la possible qualification du prestataire en responsable de traitement, lorsque certaines conditions sont réunies, voire la création d’un régime juridique spécifique pour celui-ci.
De même la CNIL, prenant en considération l’absence de « localisation stable » des données dans le nuage, s’interroge sur la pertinence des règles actuelles applicables en matière de transfert de données en dehors d’un État assurant un niveau de protection adéquat et propose des pistes de réflexion, tant juridiques, par la mise en place de « BCR sous-traitants » (Binding Corporate Rules ou règles internes d’entreprise), que techniques, comme le recours au chiffrement des données non seulement lors de l’échange mais également lors du stockage.
La CNIL n’est pas la première autorité à se pencher sur la question de l’application de la réglementation Informatique et libertés aux services de Cloud computing. L’autorité allemande a par exemple publié le 29 septembre 2011 une « résolution » sur ce sujet.
Mais à la différence de son homologue allemand, la CNIL propose des pistes de réflexion afin d’adapter les modalités de protection des données personnelles aux spécificités du Cloud computing.
La CNIL a ouvert la discussion. Les acteurs du Cloud computing ont maintenant jusqu’au 17 novembre 2011 pour exprimer leur position et être force de proposition sur les différents sujets abordés par la CNIL dans sa consultation. Ces contributions seront ensuite utilisées par la CNIL pour dégager des orientations qui seront publiées sur son site.
