Une loi pour éviter les dérives du cloud computing ?

Le 6 avril 2010

Discontinuité du service, perte de données, mais aussi divulgation de données confidentielles, « l’informatique dans les nuages » présente des risques auxquelles la législation doit s'adapter.

Image CC Flickr lennysan

Image CC Flickr lennysan

Discontinuité du service, perte de données, mais aussi divulgation de données confidentielles, « l’informatique dans les nuages » présente des risques auxquelles la législation doit s’adapter.

Le cloud computing » est un concept qui a indéniablement le vent en poupe. En septembre 2009, lorsque j’avais présenté sur le site de l’ADBS  les risques juridiques liés à « l’informatique dans les nuages » (discontinuité du service, perte de données, mais aussi divulgation de données confidentielles), j’avais mis l’accent sur les contrats qui permettaient d’éviter les dangers les plus graves. Ceci reste vrai, naturellement, mais je reconnais bien volontiers qu’il serait préférable de pouvoir s’appuyer sur la loi.

Aux États-Unis, c’est une « coalition » d’associations (où l’on découvre avec plaisir les associations de bibliothécaires) qui vient d’attirer l’attention des parlementaires de leur pays sur les dérives autorisées en matière de protection des données personnelles, par une stricte application de la loi américaine actuelle qui date de 1986, lorsqu’une entreprise, ou toute autre organisation, recourt au cloud computing. Si la loi américaine encadre l’accès aux données personnelles conservées sur un disque dur, il n’en est effectivement pas de même lorsque celles-ci se trouvent dans un « nuage ».

Puisque les règles seraient, en outre, reprises de manière contradictoire par les tribunaux américains, ce groupe d’associations américaines milite pour une réforme de la loi, en prenant pour exemple, la question des courriers électroniques dont la protection, imaginée en 1986, est totalement inadaptée à l’heure actuelle.

Pour obtenir un encadrement juridique équilibré, y compris dans le cadre des  obligations liées aux nécessités des enquêtes (note 1), ces associations rappellent plusieurs principes sur lesquels la loi doit s’appuyer [réf. 1]. Il s’agit notamment de garantir un niveau de protection identique aux données personnelles quelle que soit la technique ou le support utilisés,  leur ancienneté ou la nature, ouverte ou non, de  la communication, lorsqu’elles sont transportées ou stockées, mais aussi de se voir imposer des règles de gestion et de protection  des données simples et claires.

En France, la loi « Informatique et libertés » de 1978  a été modifiée en 2004 pour répondre aux obligations d’une directive européenne. Mais la directive datant de 1995, il ne paraît pas totalement incongru de se pencher sur ce texte pour s’assurer que les protections des données personnelles circulant sur ces « nuages » sont également protégées  sur le continent européen. Il convient de vérifier, en effet, que les données personnelles soient protégées de la même manière, quelle que soit la technique adoptée pour les gérer.

A cet égard, on  ne peut manquer de noter l’initiative  de deux  sénateurs français  qui avaient constaté  l’inadaptation du cadre juridique aux enjeux actuels de la globalisation. Leur  rapport sur la « vie privée à l’heure des mémoires numériques » a donné lieu à un projet de loi. Celui-ci, adopté en 1ère lecture par le Sénat le 23 mars 2010, vient d’être remis à l’Assemblée nationale. Parmi les mesures envisagées, figurent notamment celle qui obligerait à signaler immédiatement à la CNIL toute faille de sécurité qui serait détectée et à organiser une traçabilité des transferts des données.

Jean-Marc Mercier, interrogé  le 17 février 2010 par le Sénat dans ce cadre, démontre bien la difficulté à laquelle on va certainement se heurter à nouveau, puisque se pose la question récurrente de la loi applicable et de l’applicabilité de la loi. Selon lui, pour garantir les libertés fondamentales des particuliers dont les données figurent dans le « patrimoine numérique » que l’on entend sauvegarder, on doit s’orienter vers « une labellisation au niveau international des  applications et systèmes offrant des garanties renforcées en matière de protection des données personnelles ».

Aux États-Unis, le groupe d’associations militantes incite les internautes à sensibiliser leurs élus à cette question et à crypter leurs données. Ils ajoutent qu’il «  faudra plus d’une assignation d’un fournisseur de stockage des nuages pour y avoir accès ». (note 2)

Mais si le cloud computing est un enjeu important pour les libertés, c’est également un enjeu pour « l’écriture de l’histoire » (note 3). Un dossier à suivre  avec la plus grande attention ….

Merci à Calimaq d’avoir attiré mon attention sur cette coalition [Réf 1].


(1) Le 4ème amendement de la Constitution des États-Unis protège le citoyen, en exigeant un mandat. À examiner à l’heure ou le projet de Loppsi  (Loi d’orientation et de programmation pour la performance de la sécurité intérieure) poursuit sa route vers l’adoption.

(2) Comme l’indique Julien L., dans son article paru dans Numérama, la réforme souhaitée aux Etats-Unis ne concerne pas le secteur privé [réf. 8]

(3) Et ce d’autant plus que l’Europe pourrait “perdre la main” sur les infrastructures de cloud computing [réf. 7]

Références

1.       Why ECPA should make you think twice about the cloud, Tony Bradley, PC World, 30 mars 2010

2.       Google, Microsoft push Feds to fix privacy laws, Ryan Singek, Wired, 30 mars 2010

3.       Compte-rendu de l’audition de l’association Mnemosine au Sénat, Jean-Marc Mercier blog, 17 février 2010

4.       Le cloud computing, un mode d’exploitation risqué ?, Michèle Battisti, Actualités du droit de l’information (ADI), septembre 2009

5.       Proposition de loi sur la protection de vie privée à l’heure du numérique, ITR Manager, 12 novembre 2009

6. Un droit à l’oubli numérique, un droit à construire, Michèle Battisti, Paralipomènes, 12 novembre 2010

Voir aussi

7.       L’Europe face aux défis des infrastructures cloud computing, Louis Naugès, 2 avril 2010

8.      Un même statut juridique pour les données locales et distantes ? Julien L., Numerama, 30 Mars 2010

Billet initialement publié sur Paralipomènes

Laisser un commentaire

Derniers articles publiés