Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Henri Leben, Avocat à la Cour Of Counsel IP/IT, Cabinet ARTEMIA : Cloud Computing et Données Personnelles : mis en garde de la Federal Trade Commission

janvier 2010 par Henri Leben, Avocat à la Cour Of Counsel IP/IT, Cabinet ARTEMIA

Dans le cadre des actions envisagées en vue de la relance de l’économie américaine, le président Obama s’est donné comme objectif de permettre l’accès à l’Internet haut-débit à tous les citoyens américains. Les modalités de déploiement du haut-débit ont été confiées à la Federal Communications Commission (FCC) qui a souhaité, avant d’élaborer ses recommandations, recueillir l’avis des différentes autorités intéressées. Prenant acte que la FCC souhaitait développer le recours au cloud computing dans le cadre du déploiement de l’Internet, la Federal Trade Commission (FTC) vient de publier un avis soulignant les problématiques soulevées par ce type de solution en matière de données personnelles.

La FTC ne plaisante pas en matière de données personnelles. Elle a ainsi condamné il y a quelques années la société Choicepoint à payer 10 millions de dollars d’amende et 5 millions de dommages et intérêts, suite au vol sur les serveurs de cette société de données personnelles concernant au moins 800 personnes. L’importance de la sanction s’expliquait en outre par le fait que les manquements constatés relatifs à la sécurisation des données, avaient potentiellement pu affecter non pas 800…mais 163.000 personnes. Le message envoyé aux sociétés traitant des données personnelles était donc clair : « sécurisez vos données si vous ne voulez pas voir votre responsabilité engagée ».

La Federal Trade Commission adresse aujourd’hui un nouvel avertissement, mais cette fois dans le domaine du cloud computing . Elle souligne ainsi que :

« la capacité des services de cloud computing à collecter et stocker un nombre toujours plus grand de données, combinée avec la facilité avec laquelle ces données stockées peuvent être partagées avec d’autres, crée un risque que de très nombreuses données puissent être utilisées par des entités à des fins non envisagées par les consommateurs ».

Il faut dire que les craintes de la FTC paraissent largement justifiées. Ainsi, Microsoft elle-même a, il y a quelques semaines, annoncé la perte des données personnelles des utilisateurs du terminal Sidekick abonnés à l’opérateur T-Mobile aux Etats-Unis, stockées « sur un nuage ».

Si les données ont finalement pu être récupérées, cet incident semble accréditer l’idée que les données stockées via un service de cloud, sont plus vulnérables que celles contrôlées en interne par l’entreprise qui les collecte.

De leur côté, la CNIL et le G29 (qui réunit les pendants de la CNIL au niveau communautaire) ont également appelé à la vigilance en matière de cloud computing. La question a d’ailleurs été abordée lors d’une conférence tenue en mai dernier, consacrée aux nouveaux défis soulevés par la protection des données personnelles .

Aucune recommandation concrète ne semble cependant avoir été faite. On ne peut par conséquent qu’inviter ces institutions à se saisir plus énergiquement du problème, à l’instar de la FTC.

En résumé, la protection des données personnelles apparaît comme un vaste chantier, auquel vont devoir s’attaquer les prestataires de cloud computing.

Si de nombreuses questions techniques restent encore à régler, comme ont pu le montrer certains ratés récents, les questions juridiques restent encore largement sans réponse.

Parmi les plus prégnantes, on retiendra la question de l’identité du responsable des traitements (client ou prestataire de cloud ?), celle des modalités d’exercice du droit d’accès, et surtout, celle de l’organisation contractuelle du transfert de données vers des opérateurs de cloud, dont les serveurs sont hébergés à l’étranger.

Nul doute que l’actualité prochaine permettra de donner une première réponse à ces questions.




Voir les articles précédents

    

Voir les articles suivants