Corporate Finance, DeFi, Blockchain, Web3 News
Corporate Finance, DeFi, Blockchain News

Les recommandations de la CNIL sur le cloud : enfin !!

C’est peu de dire que les recommandations de la CNIL sur le cloud étaient attendues ! Bon nombre de négociations avec des prestataires ont achoppé sur la façon dont doit se matérialiser la conformité à la loi sur la protection des données personnelles dans un contrat de services cloud. Ce document devrait clarifier un certain nombre de points même s'il ne rendra pas la vie plus facile aux prestataires.


Les recommandations de la CNIL sur le cloud : enfin !!
La CNIL a publié le 25 juin[1] des recommandations, suivies d’une liste des éléments essentiels qui doivent se trouver dans les contrats et les modèles de clauses correspondantes.

Les recommandations

Il s’agit avant tout, pour tout futur client du cloud, de procéder au préalable à :
- une évaluation des risques
- la définition de ses exigences en matière de sécurité (et l’adaptation de sa politique interne au cloud)
- un choix attentif du prestataire en fonction des garanties juridiques et techniques qu’il offre.

La CNIL liste les risques qu’elle a identifiés.
L’évaluation devra ensuite se faire périodiquement.

Les parties devront aussi déterminer la qualification juridique du prestataire :
Le prestataire est en principe « sous-traitant » mais pourrait être considéré comme « conjointement responsable » avec le responsable de traitement dans certains cas de PaaS et de SaaS publics, pour lesquels les clients ne peuvent pas réellement donner d’instructions et ne sont pas en mesure de contrôler l’effectivité des garanties de sécurité et de confidentialité apportées par les prestataires (offres standardisées non négociables).
Dans ce cas, la CNIL suggère que le Client reste son principal interlocuteur ainsi que celui des personnes concernées par les données, mais les obligations et la responsabilité du prestataire sont renforcées et il peut se voir infliger des sanctions par la CNIL.

Les éléments contractuels essentiels
Pour la CNIL « si ces éléments essentiels ne figurent pas directement ou indirectement dans un contrat de prestation, les clients ne seront pas en mesure de satisfaire aux obligations légales. »

Parmi ses éléments essentiels nous avons relevés les suivants (pour le cas d’un prestataire « sous-traitant ») :
- Engagement de niveaux de services (« SLAs ») avec des pénalités
- Respect des principes européens en matière de protection des données et de la loi Informatique et Libertés par les deux parties
- Existence d’un système de remontée des plaintes et des failles de sécurité
- Sous-traitance :
o Information et obtention du consentement du client
o Report dans les contrats de sous- traitant des obligations contractuelles du contrat client
- Destruction et/ou restitution des données en fin de contrat
- Devoir de coopération avec les autorités de protection des données compétentes
- Indication que le client peut procéder à des audits
- Indications que le prestataire n’agit que sur « instruction » du responsable de traitement
- Indication claire et exhaustive des pays hébergeant les centres de données du prestataire où les données seront traitées
- Assurance d’une protection adéquate à l’étranger (notamment grâce à des Clauses contractuelles types ou à des règles contraignantes d’entreprise « BCR »)
- Politique de sécurité et mesures minimales de sécurité : le prestataire devra tenir à la disposition du client le détail des mesures mises en place
- Réversibilité/portabilité
- Traçabilité

Certains de ces points font actuellement l’objet de difficiles négociations entre des groupes internationaux et des prestataires de cloud "public" et, notamment, les problématiques de transparence sur la sécurité et les sous-traitants du prestataire ainsi que la faculté de demander un audit, qui sont présentés comme impraticables et allant à l'encontre même de l'objectif de sécurité. Par ailleurs, les prestataires étrangers ne souhaitent pas s'engager à coopérer avec les autorités locales et plus généralement à respecter le droit européen voire, dans l’attente d’une harmonisation par un règlement, les différents droits dans l’UE alors qu'ils n'y sont pas forcés dans leur propre pays.

Nous sommes maintenant dans l’attente des recommandations du G29 sur le même sujet.

[1] Juste après, et ce n’est pas un hasard, la publication par le G29 des BCR sous-traitants.

La Revue est une publication Squire Sanders | Avocats Paris
www.ssd.com

Jeudi 30 Août 2012




OFFRES D'EMPLOI


OFFRES DE STAGES


NOMINATIONS


DERNIERES ACTUALITES


POPULAIRES