Juridique

Cloud Computing : la question des données personnelles en première ligne

Avec l'émergence du Cloud Computing, la question de la protection des données s'intensifie. Les entreprises perdant la maîtrise de leurs données en interne, le CIL (Correspondant informatique et libertés), se voit placé en première ligne afin de vérifier la conformité de ces nouvelles offres.

PublicitéLe CIL (Correspondant Informatique et Libertés) devient une fonction clé de l'entreprise lorsque celle-ci décide de passer au Cloud Computing. C'est un des enseignements majeurs d'une conférence organisée par EuroCloud, le mardi 20 avril à la CCI de Paris. Elle aura vu l'intervention de Bruno Rasle, directeur général de l'AFCDP (Association Française des Correspondants aux Données Personnelles), et de Sylvain Lebarbier, CIL à la mutuelle AG2R. L'évènement aura également été l'occasion de rappeler les missions du CIL dans l'entreprise, un poste qui n'est manifestement pas de tout repos.

Le développement du Cloud externe implique effectivement que les entreprises ne stockent plus l'ensemble de leurs données sur leurs propres serveurs mais s'en remettent à un prestataire. Les données peuvent ainsi être délocalisées dans un autre pays, voire hors de la Communauté Européenne. Déjà, les utilisateurs sont réticents lorsqu'il s'agit de transférer leurs données à un prestataire, en outre la CNIL (Commission Nationale de l'Informatique et des Libertés) dispose de sérieux garde-fous juridiques sur ce sujet.

Bruno Rasle, Directeur Général de l'AFCDP
« la CNIL a gagné en pouvoir de contrôle et l'on ne peut s'y opposer »

Afin que l'usage du Cloud par l'entreprise ne soit pas synonyme de mauvaise utilisation de ces données, le CIL a pour mission de vérifier la conformité réglementaire des usages du Cloud et d'en limiter le risque juridique. Le CIL doit tâcher de faire respecter la réglementation établie par la loi informatique et libertés réformée en 2004, dont la CNIL vérifie l'application. Car en cas de non respect, l'entreprise est passible de sanctions financières ou peut voir son système de traitement de données suspendu. Comme le précise Bruno Rasle « la CNIL a gagné en pouvoir de contrôle et l'on ne peut s'y opposer ».

Selon la CNIL, il revient au CIL de déployer des mesures de protection appropriées, même si le risque pénal est porté par ...

Photo : Sylvain Lebarbier, CIL à la mutuelle AG2R, lors de la conférence Eurocloud le 20 avril 2010

...le responsable de traitement (PDG ou, par délégation, DSI, DAF...). Il ajoute que « le CIL doit se concentrer sur deux dimensions différentes de la protection des données, à savoir la sécurité des données personnelles et les flux de données transfrontaliers. » Ainsi, lors de la nomination d'un CIL, tous les projets informatiques, qu'ils soient anciens ou en cours de déploiement sont soumis au contrôle de conformité. Sylvain Lebarbier, CIL d'AG2R insiste pour sa part : « aucun projet n'est mis en oeuvre sans notre accord ».

PublicitéAu quotidien, Sylvain Lebarbier analyse quatre problématiques majeures : les formalités et les déclarations à remplir auprès de la CNIL, le consentement des différents métiers pour l'utilisation des données, la sécurité notamment concernant les données transmises à un tiers avant la signature d'un contrat, ainsi que la finalité d'un projet.

Il relève malgré tout quelques problèmes relatifs à l'exercice des fonctions de CIL. Il déplore que l'on dise que le CIL « fait perdre du temps ». La profession de CIL, encore trop méconnue, est souvent mal comprise. « Généralement les entreprises pensent qu'elles ont un CIL or souvent elles n'ont qu'un juriste » complète-t-il. Il ajoute que pour veiller au mieux au respect des règles de conformité, il doit s'en remettre régulièrement aux différents métiers et plus particulièrement aux services informatiques pour leur poser des questions précises.

Malheureusement, dans la plupart des cas, la réponse est « je ne sais pas ». A ces problèmes, se mêle en plus une dimension managériale. En effet, lorsque le projet ne semble pas satisfaire à la réglementation, le CIL peut en bloquer la mise en place. Sylvain Lebarbier insiste, « le CIL est l'allié de l'entreprise mais il n'hésitera pas à remettre un projet en question s'il y a un problème de conformité ».

Il justifie cette démarche par le fait que « pour être un facteur de confiance, le CIL doit faire figure d'autorité. » Aujourd'hui, la France compte 1800 correspondants informatique et libertés. Et même si ce nombre tend à s'accroître, la profession peine à recruter car elle nécessite d'avoir des connaissances à la fois juridiques, techniques et sectorielles, et de comprendre le fonctionnement ainsi que les enjeux des différents métiers qui composent l'entreprise. Pour y remédier, des formations spécialisées commencent à se déployer en France et à l'étranger.