Le groupe européen "Article 29" sur la protection des données (G29) a adopté un document de travail sur le cloud computing dans lequel est précisé le cadre juridique applicable pour les fournisseurs de tels services et leurs clients. Il a analysé en particulier les questions relatives à la protection des données et les obligations pour les responsables du traitement actifs sur le territoire de l'Espace économique européen (EEE).
Le cloud computing désigne l'utilisation à distance de ressources informatiques qui auparavant étaient stockées localement sur les serveurs et ordinateurs des entreprises, organisations ou particuliers. Les applications et les données ne se trouvent alors plus sur l'ordinateur local, mais dans un nuage ("cloud"). De nombreux services de cloud computing, fourni et facturé à la demande, sont désormais disponibles. Ils permettent notamment aux entreprises (surtout aux PME) de mutualiser leurs coûts informatiques et d'hébergement et d'utiliser des services informatiques auxquels ils n'avaient pas accès avant pour des raisons financières.
Risques du cloud computing en matière de protection des données
Malgré ses avantages économiques et pratiques, l'utilisation de plus en plus fréquente du cloud computing pour traiter des données à caractère personnel soulève certains problèmes. Le G29 a notamment cité le manque de contrôle sur les données personnelles. En transférant ses données vers un service de cloud, il devient plus difficile pour un client de déployer les mesures techniques et organisationnelles nécessaires pour assurer la disponibilité, l'intégrité, la confidentialité, la transparence, l'isolement et la portabilité des données.
Une information insuffisante sur les modalités du traitement des données par un service de cloud pose également un risque important. En l'absence de transparence, il peut être difficile pour le client de remplir ses obligations en tant que responsable du traitement. Il est, par exemple, possible que celui-ci ne soit pas au courant que le traitement des données inclut plusieurs responsables du traitement et sous-traitants ou que les données sont transférées en dehors de l'EEE dans un pays n'assurant pas un niveau de protection adéquat.
En général, le client d'un service de cloud doit toujours être informé par qui et pour quelle raison ses données sont utilisées. Dans son avis, le G29 a même demandé aux prestataires de fournir à leurs clients des informations relatives à leurs sous-traitants et aux lieux dans lesquelles les données sont traités.
Recommandations du G29
Un des conseils clés de cet avis aux entreprises et administrations est de faire une analyse de risques avant d'adopter un service de cloud computing et de s'assurer que la sécurité, la transparence et la légalité soient garanties.
Le G29 a recommandé par ailleurs aux clients de choisir un fournisseur qui assure la conformité à la législation européenne sur la protection des données, notamment en ce qui concerne les transferts de données vers des pays tiers.