Cloud Computing et ses enjeux juridiques

ADI- Association des Diplômés ISEIG13.11.2014

Florian DucommunAvocat, L.LM (McGill)

HDC Law Firm / Etude d’avocatsAv. Auguste Tissot 2bis

1006 Lausanne021/310.73.10

ducommun@hdclegal.ch@hdclegal / @florianducommun

FutundBeidl

Plan

I. Cloud computing

a. Définitionb. Avantages c. Risques

II. Protection des données

a. Définitionsb. Principes de basec. Droits et obligationsd. Cloud & protection des données

III. Comparaison des lois CH –UE – USA

a. CHb. UEc. USA

IV. Principaux contrats du cloud

a. Contrat d’hébergement / IaaSb. Conditions généralesc. SLAd. Contrat de services (SaaS, Paas)e. Politique de confidentialité

Cécile

I. Cloud Computing

3echeval

DéfinitionLe cloud computing estl'accès via un réseau detélécommunications, à lademande et en libre-service, à des ressourcesinformatiques partagéesconfigurablesNational Institute of Standards and Technologies

Emmanuelle Pidoux

Virtualisation des infrastructures IT

- SaaS

- PaaS

- IaaS

Application

Services

OS

Couche virtuelle

Serveur physique

Réseau

Infrastructure

Patrick Joset, Cloud Computing : tentative de définitionhttp://www.abissa.ch/data/fichiers/tec_cloud_computing.pdf

Nuage 33 / Wikimedia Commons

Réduction des coûts d’infrastructure informatique et des logiciels

Mise à jour des logiciels sur demande

Capacité de calcul

Espace de stockage de données dynamique

Mobilité

Agilité

Simplicité et la rapidité d’accès aux données

Extensibilité du système

Dans certains cas, amélioration de la sécurité

Avantages

Risques

Perte de contrôle sur les données / Perte de données

Panne du système et de réseau et non-disponibilité des ressources et des services

Risque qu’une attaque contre un des utilisateurs affecte les autres

Manque de séparation et d’isolation des données (architecture partagée)

Accès d’autorités étrangères aux données

Risques

Captivité

Usage abusif des données

Propriété des données

Confidentialité des données / secrets d’affaires

Droit applicable et for

Protection des données

Protection des données

Perspecsys Photos

Cadre légal Article 8 CEDH

« Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance »

Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108)

Protocole additionnel à la Convention 108 concernant les autorités de contrôle et les flux transfrontières de données

Article 13, alinéa 2, Constitution fédérale :

« Toute personne a le droit d’être protégée contre l’emploi abusif des données qui la concernent »

Loi fédérale du 19 juin 1992 sur la protection des données

Lois cantonales de protection des données

Cadre légal

Définitions(art. 3 LPD)

Données personnelles: toute information qui se rapportent à une personne identifiée ou identifiable

Données sensibles

o Opinions ou activités religieuses, philosophiques, politiques ou syndicales,o Santé, sphère intime, appartenance à une raceo Mesures d’aide socialeo Poursuites ou sanctions pénales et administratives

Profil de la personnalité: assemblage de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique

Traitement: toute opération relative à des données personnelles – quels que soient les moyens ou procédés utilisés – notamment collecte, conservation, exploitation, modification, communication, archivage ou destruction des données

Fichier: tout ensemble de données personnelles dont la structure permet de rechercher les données par personne concernée.

❶ Traitement liciteo loio Intérêt privé ou public prépondéranto Consentement

Lorsque le consentement de la personne concernée est requis pour justifier le traitement de ses donnéesde ses données personnelles, la personne concernée ne consent valablement que si elle exprime sa volontéexprime sa volonté librement et après avoir été dûment informée. Lorsqu'il s'agit de données sensibles et dedonnées sensibles et de profils de la personnalité, son consentement doit être au surplus explicite.explicite.

❷ Bonne foio Principe de la transparenceo Obligation d’information lors de la collecte de données sensibles et de profils de personnalité

❸ Finalitéo Traitement des données uniquement dans le but qui est indiqué au moment de la collecte, qui est prévu par

une loi ou qui ressort des circonstances

❹ Proportionnalitéo Choix du moyen de traitement o Seules les données nécessaires et aptes à atteindre le but du traitement doivent être collectéeso Principe de minimisation des données: éviter de collecter des données personnelles si pas nécessaire

(pseudonymisation, anonymisation)o Conservation limitée à ce qui est nécessaire à la réalisation des finalités du traitement

Principes de base

Principes de base (2)

❺ Exactitude des données

o Celui qui traite des données personnelles doit s'assurer qu'ellessont correctes. Il prend toute mesure appropriée permettantd'effacer ou de rectifier les données inexactes ou incomplètes auregard des finalités pour lesquelles elles sont collectées outraitées (art. 5 LPD)

o Droit d’effacer et de rectifier les données

❻ Sécurité des donnéeso Mesures techniques et organisationnelleso Guide pratique

http://www.edoeb.admin.ch/datenschutz/00628/00629/00636/index.html?lang=fr&download=NHzLpZeg7t,lnp6I0NTU042l2Z6ln1ae2IZn4Z2qZpnO2Yuq2Z6gpJCDdH9_gGym162epYbg2c_JjKbNoKSn6A--

❼ Niveau adéquat de protection

Droit d’être informé du traitement de données

Droit d’accès aux données en tout temps

Droit d’opposition au traitement

Droit de rectification ou d’effacement en cas d’inexactitude des données

Droit d’agir en justice en cas de violation des principes de base

Droits(utilisateurs)

Mettre en œuvre les principes de la protection des données et respecter les exigences de la LPD

Obligations de mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données et éviter des traitements non autorisés

Assurer la transparence des traitements et notamment informer les personnes concernées lors de la collecte de données sensibles et de profils de la personnalité (art. 4 et 14 LPD)

Assurer l’exactitude et la mise à jour des données (art. 5 LPD)

Obligations(responsable du fichier)

Questions

1. Quelle est la nature de l’activité de la personne concernée par la collecte de donnée ?

2. Quels types de données sont collectées ? Y a-t-il des données sensibles ? Des informations confidentielles ? Des secrets commerciaux?

3. Quel est le motif justificatif pour la collecte (loi ou consentement)? Le consentement a-t-il été requis et est-il suffisamment large ?

4. Qui est le responsable du traitement (maître du fichier/datacontroller)? Qui est son sous-traitant (data processor) ?

5. Qui détient la propriété des données?6. Où les données sont-elles stockés? Des transferts internationaux de

données sont-ils opérés?7. Quelle est le droit applicable ?

Cloud & Protection des données

1. Traitement de données personnellesdécoulant de l’utilisation du cloud =traitement de données par un tiers(art. 10a LPD)

2. La sécurité des données doit être garantie (art. 7 LPD et 8 ss LPD, 20 ss OLPD)

3. Transferts de données à l’étranger (art. 6 al. 1 LPD)

4. Droit d’accès (art. 8 et 5 LPD)

Cloud & Protection des données (2)

Identifier clairement les données personnelles et les traitements qui passeront dans le cloud

Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise ; Analyse d’impact relative à la protection des données: https://www.apps.edoeb.admin.ch/dsfa/fr/index.html

Bien choisir le prestataire cloud ; bien négocier le contrat d’hébergement et lui demander des garanties de sécurité, de confidentialité, d’accès et de transparence ; éviter toute captivité

Faire preuve de transparence vis-à-vis des clients et utilisateurs

S’assurer que les données sont compartimentées et restent en Suisse

Sécurité accrue pour les données sensibles et les secrets d’affaire

Respecter les règles en matière de protection des données par la mise en place d’une politique de confidentialité (privacy policy) et inciter vos clients à le faire s’ils traitent des données personnelles

III. Comparaison CH/UE/USA

Privacy International 2007 privacy ranking map CC BY-SA 3.0

Union Européenne

EU Directive 95/46/EC

Décision de la Commission n°2000/518/CE du 26 juillet 2000

Proposition de Règlement

Etats-Unis(1)

Digitale Gesellschaft

Principe: liberté individuelle Pas de loi fédérale (d’application nationale) sur la protection des données Certains Etats ont adoptés des règles sur la protection des données (privacy

laws) Lois réglementant la collecte de données personnelles applicables à certains

secteurs d’activité (sectoral laws) Nombreuses lignes directrices (qui n’ont pas force de loi) pour les agences

gouvernementales et certains groupes industriels (autorégulation) Californie

Etats-Unis (2)US- Swiss Safe Harbour privacy principles (16.02.2009)

Permet de garantir un niveau adéquat de protection des données au sens de l’art. 6 al. 1 LPD

Fortement inspiré des «US-EU Safe Harbour Principles»

Adhésion volontaire des organisations/ sociétés basées aux Etats-Unis de respecter les principes du SafeHarbour (ex. Groupon, Facebook, Airbnb, Novartis, etc.)

Principes http://export.gov/safeharbor/swiss/eg_main_018519.asp

IV. Principaux contrats du cloud

Hébergeur / Datacenter

Entreprise / Client

Cloud Service Provider

Utilisateurs

Hosting Agreement Iaas Agreement SLA

Cloud Service Agreement (SaaS, PaaS Agreements or T&Cs)

Conditions généralesPolitique de confidentialité

Filiale / Succursale

Filiale / Succursale

Filiale / Succursale

Standard Clauses / Binding corporaterules

Data controller

Data processor

Sub-data processor

Contrat d’hébergement / IaaS Généralement formulé sous forme de conditions générales («take it or leave it») Attention notamment aux clauses suivantes:

o Mesures techniques et organisationnelles adaptéeso Cloisonnement / ségrégation des données o Obligation de backupo Conséquences en cas de perte de contrôle des donnéeso Responsabilité en cas de :

- perte de données- usage abusif des données- disponibilité restreinte des services

o Propriété des donnéeso Portabilité et interopérabilitéo Sécurisation accrue des données sensibleso Possibilité d’accéder aux données en tous tempso Obligation de notifier une violation de la sécurité ou une cyber attaque

Eviter de travailler avec des prestataires qui excluent toute responsabilité ou limitent leur responsabilité pour certains types de dommages et/ou les «cap» au montant payé et/ou insèrent des clauses de prescription contractuelles

Motifs/ Délais de résiliation; Mode de restitution des données au terme des relations contractuelles

Conditions générales

Mentions légales (nom de l’entreprise exploitant le site, adresse, adresse email)

E-commerce (art. 3 s LCD)

Disproportion notable et injustifiée entre les droits et les obligations découlant du contrat (art. 8 LCD)

Limitation de responsabilité / Disclaimer => 100CO: exclut pour faute intentionnelle ou grave

Service Level Agreement (SLA)

Disponibilité (99.95% = 4:38 downtime/année !)Eviter des formulations vagues du type : «Salesforce will

use commercially reasonable efforts to make the Service available 24/24 »

Heures d’ouverture de la HotlineLangue(s)Degrés de priorité / Délais de réactionCoûts (prévisibilité) Responsabilité en cas de dommage survenu à la suite

d’une violation du SLA Crédits serviceDroit applicable et for

Définitions (en particulier «Services») Durée Prix Infrastructure / lieu de stockage des données (baack 2 back?) Clause de protection & sécurité des données Confidentialité Propriété intellectuelle et licence (logiciel) Restrictions d’utilisation Exonération de responsabilité Résiliation Force majeure Divers Droit applicable

SaaS Agreement

Politique de confidentialité

Mentions légales Type de données collectées But de la collecte Transferts internationaux Cookies Transferts à des tiers (p.ex Google Analytics) Sécurité Utilisation des données dans les médias sociaux Droit d’accès Droit d’effacement des données M&A Droit applicable & for

Florian DucommunAvocat ; LL.M (McGill University)

Av. Auguste Tissot 2bis1006 Lausanne021/310.73.10

ducommun@hdclegal.ch@hdclegal / @florianducommun