Nos anciens articles (mars 2015) – Le Cloud et le faux sentiment d’être propriétaire des données / Cloud and the false sense of data ownership
Le phénomène du Cloud ne permet que difficilement aux grandes entreprises, mais aussi les PME et TPE de prendre conscience de leurs responsabilités concernant leurs données.
Toutefois, ce sentiment est purement psychologique et en rien juridique.
La propriété des données est la question centrale. La notion de propriété des données est également en train d’évoluer.
Même lorsqu’elle utilise les potentialités offertes par le Cloud, l’entreprise reste toujours responsable du traitement des données à caractère personnel conformément aux textes européens (actuels et à venir).
The phenomenon of cloud computing does not give a sense of responsibility for large enterprises and small and mid-cap companies.
This feeling is purely psychological and not legal.
Ownership is the key issue. The notion of ownership is also moving.
Even when using cloud computing services, the corporation is still responsible for processing the personal data according to the European regulations (current and on progress).
En conséquence, les entreprises ont besoin de renforcer les clauses contractuelles quand ils utilisent de tels services. Par exemple, en matière de notification des incidents de sécurité / violations de données à caractère personnel, il doit y avoir une définition claire et une parfaite compréhension des rôles et responsabilités de chacun, client d’un côté et fournisseur de solutions de Cloud de l’autre. La réversibilité des données et les sauvegardes effectuées hors de l’Union européenne sont ainsi des questions centrales.
La conformité aux règles de droit impose de prévoir une transparence effective du traitement de donnée effectué lorsque l’on fait appel à des prestataires de Cloud, dans le but de déterminer la ou les lois applicables, mais également les obligations impératives qu’il conviendra de respecter.
Dans les dernières versions du projet de règlement européen sur la protection des données à caractère personnel, les exigences s’imposant aux fournisseurs de solutions de Cloud, vont être renforcées (cf. l’obligation de mettre en œuvre des mesures techniques et organisationnelles afférentes à la sécurité, l’assistance au client en matière de sécurité des données, etc.). En parallèle, les obligations s’imposant aux entreprises clientes de telles prestations Cloud vont elles aussi être renforcées. En pratique, non seulement la société cliente n’aura pas la possibilité de décharger sa responsabilité sur le fournisseur de Cloud, mais il lui faudra en plus apporter la preuve qu’il a fait ce qu’il fallait et pris les bonnes décisions parmi les choix qui lui était offerts. A ce titre, le respect de « l’accountability » prévu dans le règlement européen, avec la gestion précise du cycle de vie de l’information qui en découle, sera essentiel.
Les sociétés qui souhaitent souscrire des prestations auprès d’un fournisseur de Cloud se doivent d’étudier attentivement l’ensemble des textes susceptibles de s’appliquer et s’assurer qu’ils respectent la totalité des obligations énoncées. Une question d’autant plus critique qu’elle concernera des prestations de type SaaS.
As a result, companies need to reinforce legal clauses when buying such cloud computing services. For instance, with respect to security incidents, there needs to be a clear definition and understanding between the customer and the provider of security-relevant roles and responsibilities. Data reversibility and data backup outside the European Union are the main issues.
Legal compliance imposes to have a real transparence of the data treatment when using cloud computing solutions in order to determine applicable laws and legal duties to respect.
In the latest versions of the European Data Protection regulation proposal, the requirements for cloud service providers will be reinforced (e.g. implement adequate technical and organisational security controls, support the clients in ensuring compliance, etc.). The obligations for customers will also be raised. At the end of the day, not only the customer will not have the ability to discharge his accountability to the cloud service provider, but he will also have to prove that he has conducted adequate actions and made the right choices. Accountability will be essential.
Then, customers and potential customers of cloud service provider should have regard to their respective national and supra-national obligations for compliance with regulatory frameworks and ensure that any such obligations are appropriately complied with. It’s all the more critical for SaaS applications.
En pratique, les questions clés que le client devrait poser à son prestataire de Cloud sur le plan juridique sont par exemple :
- dans quel pays le prestataire de Cloud est-il établi ?
- l’infrastructure de son prestataire est-elle limitée à un pays ou s’étend-elle dans plusieurs pays ?
- où les données seront-elles physiquement stockées ?
- la législation applicable au titre du contrat est-elle la même que les législations susceptibles de s’appliquer aux données (du fait de leur lieu de traitement, etc.) ?
- comment les données de la société cliente (qui lui appartiennent en propre ou qui appartiennent à ses propres clients) sont-elles traitées, transférées ?
- qu’arrivera-t-il à ces données à l’issue du contrat ?
Au regard des exigences de la société cliente, la restitution des données et la destruction de leur copie sont des éléments fondamentaux qui se révèleront être de précieux atouts compétitifs pour le prestataire de solutions de Cloud.
The key legal questions the customer should ask the cloud service provider are:
- In which country is the cloud service provider located?
- Is the cloud service provider’s infrastructure located in the same country or in different countries?
- Where will the data be physically located?
- Will jurisdiction over the contract terms and over the data be divided?
- How will the data provided by the customer and the customer’s customers, be processed and transferred?
- What happens to the data sent to the cloud service provider upon termination of the contract?
Regarding customers’ expectations, data restitution and destruction are key issues, which could be a competitive advantage for a cloud service provider.
Ainsi, si l’on se concentre sur l’étude de l’ENISA, « Cloud: Benefits, risks, and recommendations for information security », les sociétés cliente devraient regarder avec grande attention les points suivants quand ils analysent les contrats conclu ou à conclure avec les prestataires de services de Cloud :
- la protection des données, et notamment le choix d’un prestataire qui offre des mesures de sécurité techniques et organisationnelles suffisantes à l’occasion du traitement des données et qui assure le respect de ces mesures ;
- la sécurité des données, et notamment les mesures obligatoires de protection des données que doivent légalement mettre en place la société cliente comme le fournisseur de services sous-traitant et qui devraient être prévues au contrat (cf. point précédent) ;
- le transfert des données, et notamment les informations fournies à la société cliente concernant les transferts de données réalisées au sein du fournisseur Cloud, éventuellement en-dehors de ses propres infrastructures Cloud et lorsque des échanges se réalisent avec des pays de l’Espace Economique Européen ;
- l’accès par les forces de l’ordre aux données, et notamment le fait que, chaque pays pouvant avoir une législation local permettant un accès des forces de l’ordre aux données, le prestataire doit informer sur la loi potentiellement applicable (critère possible de la localisation du serveur, du lieu d’immatriculation de la société du fournisseur, si celui-ci appartient à un groupe de sociétés, etc.) afin que les risques puissent être évalués par le client ;
- les obligations particulières découlant des exigences de confidentialité des données ;
- l’allocation du risque et les limitations de responsabilité : en étudiant les obligations contractuelles respectives, il convient de s’assurer que les obligations qui entraînent des risques importants sont compensées par des sanctions financières appropriées aux conséquences du manquement contractuel. A ce titre, les clauses de limitations de responsabilité doivent faire l’objet d’une attention toute particulière.
According to the ENISA “Cloud computing: Benefits, risks, and recommendations for information security” study, customers should carefully have a look to the following items when assessing agreements for cloud services:
- Data Protection: attention should be paid to choosing a processor that provides sufficient technical security measures and organizational measures governing the processing to be carried out, and ensuring compliance with those measures;
- Data Security: attention should be paid to mandatory data security measures that potentially cause either the cloud service provider or the customer to be subject to regulatory and judicial measures if the contract does not address these obligations.
- Data Transfer: attention should be paid to what information is provided to the customer regarding how data is transferred within the cloud service provider’s proprietary cloud, outside that cloud, and within and outside the European Economic Area.
- Law Enforcement Access: each country has unique restrictions on, and requirements providing for, law enforcement access to data. The customer should pay attention to information available from the provider about the jurisdictions in which data may be stored and processed and evaluate any risks resulting from the jurisdictions which may apply.
- Confidentiality and non-disclosure: the duties and obligations related to this issue should be reviewed.
- Risk Allocation and limitation of liability: when reviewing their respective contract obligations, the parties should underscore those obligations that present significant risk to them by including monetary remediation clauses, or obligations to indemnify, for the other party’s breach of that contract obligation. Furthermore, any standard clauses covering limitations of liability should be evaluated carefully.
En conclusion, il est important de garder en tête que les traitements confiés à un prestataire de Cloud sont d’abord et avant tout des prestations externalisées. Elles doivent être encadrées comme tel (critères quantitatif et qualitatif d’évaluation de la qualité de service, pénalités effectives en cas de non respect, possibilité d’auditer le niveau des prestations). Sans oublier que, dans certains secteurs, le fait d’externaliser certaines prestations implique de respecter un cadre établi par le régulateur (secteur financier par exemple).
To conclude, it’s worth keeping in mind that a cloud service provider is also an outsourced service provider and thus has to be legally framed (e.g. qualitative and quantitative metrics, penalties because of a lack of Quality of Service, potential commitments audit, etc.) and may be subject to specific regulations (e.g. financial sector).
François Gratiolet, Fondateur et Managing Partner du cabinet Business Digital Security
Avec la participation de Me François Coupez, Avocat à la Cour
Crédits photo : @alphaspirit – Fotolia.com