Le Cloud : Certains aspects juridiques

Reading Time: 2 minutes
Rate this post

Le prestataire de Cloud Computing à qui le client confie ses données se trouve « gardien de la chose » (Statut définit dans le Code civil, article 1384). Celui-ci est alors tenu de conserver la chose (par exemple, les données) sans perte, vol ou détérioration et est obligé à restituer celle-ci à la demande du client.

La réglementation des données régie par la loi informatique et liberté régie par la CNIL, l’utilisation des clouds publics qui sont pour la plupart hébergés aux Etats Unis et même l’utilisation de cloud privés sur une autre territoire que celui de la France peut entrainer des contraires juridiques.


Certaines données sectorielles font apparaitre des conflits comme le secret médical ou bancaire en France qui stockées sur un serveur aux US seront soumises, par exemple, au Patriot Act . Cette loi a été prise dans la suite directe des attentats du 11 septembre 2001, puisqu’elle est adoptée rapidement le 26 octobre 2001.

Les parlementaires américains firent preuve d’imagination dans le titre de la loi puisque « USA Patriot Act » se veut l’acronyme de « Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism » (Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme )
Source : http://www.cio-online.com/contributions/lire-le-patriot-act-a-l-heure-du-cloud-computing%C2%A0-entre-le-mythe-et-la-realite-497.html

Ce qui revient à laisser les données de vos clients français ou européens entièrement accéssible aux services fiscaux et juridiques des USA ….
Conserver des données dans l’union européenne suppose une simple déclaration à la CNIL mais aussi vous devez informer les personnes qui vous ont confiés leurs données de l’usage final de leurs informations et où elles vont transiter.
Par exemple si vous traiter les salaires dans un autre pays, les salariés doivent être tenus informés de cela et vous devez avoir l’approbation de la CNIL pour exporter ces données et non plus sur une simple déclaration.

Voici les 7 recommandation de la CNIL concernant le Cloud :

1. Identifier clairement les données et les traitements qui passeront dans le Cloud
2. Définir ses propres exigences de sécurité technique et juridique
3. Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles
4. Identifier le type de Cloud pertinent (public, privé ou hybride ; SaaS, PaaS ou IaaS)
5. Choisir un prestataire présentant des garanties suffisantes
6. Revoir la politique de sécurité interne
7. Surveiller les évolutions dans le temps.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.