cloud computing : enjeux juridiques
DESCRIPTION
Cloud computing : enjeux juridiques Conférence données à l'ADI le 13.11.2014TRANSCRIPT
Cloud Computing et ses enjeux juridiques
ADI- Association des Diplômés ISEIG13.11.2014
Florian DucommunAvocat, L.LM (McGill)
HDC Law Firm / Etude d’avocatsAv. Auguste Tissot 2bis
1006 Lausanne021/310.73.10
[email protected]@hdclegal / @florianducommun
FutundBeidl
Plan
I. Cloud computing
a. Définitionb. Avantages c. Risques
II. Protection des données
a. Définitionsb. Principes de basec. Droits et obligationsd. Cloud & protection des données
III. Comparaison des lois CH –UE – USA
a. CHb. UEc. USA
IV. Principaux contrats du cloud
a. Contrat d’hébergement / IaaSb. Conditions généralesc. SLAd. Contrat de services (SaaS, Paas)e. Politique de confidentialité
Cécile
I. Cloud Computing
3echeval
DéfinitionLe cloud computing estl'accès via un réseau detélécommunications, à lademande et en libre-service, à des ressourcesinformatiques partagéesconfigurablesNational Institute of Standards and Technologies
Emmanuelle Pidoux
Virtualisation des infrastructures IT
- SaaS
- PaaS
- IaaS
Application
Services
OS
Couche virtuelle
Serveur physique
Réseau
Infrastructure
Patrick Joset, Cloud Computing : tentative de définitionhttp://www.abissa.ch/data/fichiers/tec_cloud_computing.pdf
Nuage 33 / Wikimedia Commons
Réduction des coûts d’infrastructure informatique et des logiciels
Mise à jour des logiciels sur demande
Capacité de calcul
Espace de stockage de données dynamique
Mobilité
Agilité
Simplicité et la rapidité d’accès aux données
Extensibilité du système
Dans certains cas, amélioration de la sécurité
Avantages
Risques
Perte de contrôle sur les données / Perte de données
Panne du système et de réseau et non-disponibilité des ressources et des services
Risque qu’une attaque contre un des utilisateurs affecte les autres
Manque de séparation et d’isolation des données (architecture partagée)
Accès d’autorités étrangères aux données
Risques
Captivité
Usage abusif des données
Propriété des données
Confidentialité des données / secrets d’affaires
Droit applicable et for
Protection des données
Protection des données
Perspecsys Photos
Cadre légal Article 8 CEDH
« Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance »
Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108)
Protocole additionnel à la Convention 108 concernant les autorités de contrôle et les flux transfrontières de données
Article 13, alinéa 2, Constitution fédérale :
« Toute personne a le droit d’être protégée contre l’emploi abusif des données qui la concernent »
Loi fédérale du 19 juin 1992 sur la protection des données
Lois cantonales de protection des données
Cadre légal
Définitions(art. 3 LPD)
Données personnelles: toute information qui se rapportent à une personne identifiée ou identifiable
Données sensibles
o Opinions ou activités religieuses, philosophiques, politiques ou syndicales,o Santé, sphère intime, appartenance à une raceo Mesures d’aide socialeo Poursuites ou sanctions pénales et administratives
Profil de la personnalité: assemblage de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique
Traitement: toute opération relative à des données personnelles – quels que soient les moyens ou procédés utilisés – notamment collecte, conservation, exploitation, modification, communication, archivage ou destruction des données
Fichier: tout ensemble de données personnelles dont la structure permet de rechercher les données par personne concernée.
❶ Traitement liciteo loio Intérêt privé ou public prépondéranto Consentement
Lorsque le consentement de la personne concernée est requis pour justifier le traitement de ses donnéesde ses données personnelles, la personne concernée ne consent valablement que si elle exprime sa volontéexprime sa volonté librement et après avoir été dûment informée. Lorsqu'il s'agit de données sensibles et dedonnées sensibles et de profils de la personnalité, son consentement doit être au surplus explicite.explicite.
❷ Bonne foio Principe de la transparenceo Obligation d’information lors de la collecte de données sensibles et de profils de personnalité
❸ Finalitéo Traitement des données uniquement dans le but qui est indiqué au moment de la collecte, qui est prévu par
une loi ou qui ressort des circonstances
❹ Proportionnalitéo Choix du moyen de traitement o Seules les données nécessaires et aptes à atteindre le but du traitement doivent être collectéeso Principe de minimisation des données: éviter de collecter des données personnelles si pas nécessaire
(pseudonymisation, anonymisation)o Conservation limitée à ce qui est nécessaire à la réalisation des finalités du traitement
Principes de base
Principes de base (2)
❺ Exactitude des données
o Celui qui traite des données personnelles doit s'assurer qu'ellessont correctes. Il prend toute mesure appropriée permettantd'effacer ou de rectifier les données inexactes ou incomplètes auregard des finalités pour lesquelles elles sont collectées outraitées (art. 5 LPD)
o Droit d’effacer et de rectifier les données
❻ Sécurité des donnéeso Mesures techniques et organisationnelleso Guide pratique
http://www.edoeb.admin.ch/datenschutz/00628/00629/00636/index.html?lang=fr&download=NHzLpZeg7t,lnp6I0NTU042l2Z6ln1ae2IZn4Z2qZpnO2Yuq2Z6gpJCDdH9_gGym162epYbg2c_JjKbNoKSn6A--
❼ Niveau adéquat de protection
Droit d’être informé du traitement de données
Droit d’accès aux données en tout temps
Droit d’opposition au traitement
Droit de rectification ou d’effacement en cas d’inexactitude des données
Droit d’agir en justice en cas de violation des principes de base
Droits(utilisateurs)
Mettre en œuvre les principes de la protection des données et respecter les exigences de la LPD
Obligations de mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données et éviter des traitements non autorisés
Assurer la transparence des traitements et notamment informer les personnes concernées lors de la collecte de données sensibles et de profils de la personnalité (art. 4 et 14 LPD)
Assurer l’exactitude et la mise à jour des données (art. 5 LPD)
Obligations(responsable du fichier)
Questions
1. Quelle est la nature de l’activité de la personne concernée par la collecte de donnée ?
2. Quels types de données sont collectées ? Y a-t-il des données sensibles ? Des informations confidentielles ? Des secrets commerciaux?
3. Quel est le motif justificatif pour la collecte (loi ou consentement)? Le consentement a-t-il été requis et est-il suffisamment large ?
4. Qui est le responsable du traitement (maître du fichier/datacontroller)? Qui est son sous-traitant (data processor) ?
5. Qui détient la propriété des données?6. Où les données sont-elles stockés? Des transferts internationaux de
données sont-ils opérés?7. Quelle est le droit applicable ?
Cloud & Protection des données
1. Traitement de données personnellesdécoulant de l’utilisation du cloud =traitement de données par un tiers(art. 10a LPD)
2. La sécurité des données doit être garantie (art. 7 LPD et 8 ss LPD, 20 ss OLPD)
3. Transferts de données à l’étranger (art. 6 al. 1 LPD)
4. Droit d’accès (art. 8 et 5 LPD)
Cloud & Protection des données (2)
Identifier clairement les données personnelles et les traitements qui passeront dans le cloud
Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise ; Analyse d’impact relative à la protection des données: https://www.apps.edoeb.admin.ch/dsfa/fr/index.html
Bien choisir le prestataire cloud ; bien négocier le contrat d’hébergement et lui demander des garanties de sécurité, de confidentialité, d’accès et de transparence ; éviter toute captivité
Faire preuve de transparence vis-à-vis des clients et utilisateurs
S’assurer que les données sont compartimentées et restent en Suisse
Sécurité accrue pour les données sensibles et les secrets d’affaire
Respecter les règles en matière de protection des données par la mise en place d’une politique de confidentialité (privacy policy) et inciter vos clients à le faire s’ils traitent des données personnelles
III. Comparaison CH/UE/USA
Privacy International 2007 privacy ranking map CC BY-SA 3.0
Union Européenne
EU Directive 95/46/EC
Décision de la Commission n°2000/518/CE du 26 juillet 2000
Proposition de Règlement
Etats-Unis(1)
Digitale Gesellschaft
Principe: liberté individuelle Pas de loi fédérale (d’application nationale) sur la protection des données Certains Etats ont adoptés des règles sur la protection des données (privacy
laws) Lois réglementant la collecte de données personnelles applicables à certains
secteurs d’activité (sectoral laws) Nombreuses lignes directrices (qui n’ont pas force de loi) pour les agences
gouvernementales et certains groupes industriels (autorégulation) Californie
Etats-Unis (2)US- Swiss Safe Harbour privacy principles (16.02.2009)
Permet de garantir un niveau adéquat de protection des données au sens de l’art. 6 al. 1 LPD
Fortement inspiré des «US-EU Safe Harbour Principles»
Adhésion volontaire des organisations/ sociétés basées aux Etats-Unis de respecter les principes du SafeHarbour (ex. Groupon, Facebook, Airbnb, Novartis, etc.)
Principes http://export.gov/safeharbor/swiss/eg_main_018519.asp
IV. Principaux contrats du cloud
Hébergeur / Datacenter
Entreprise / Client
Cloud Service Provider
Utilisateurs
Hosting Agreement Iaas Agreement SLA
Cloud Service Agreement (SaaS, PaaS Agreements or T&Cs)
Conditions généralesPolitique de confidentialité
Filiale / Succursale
Filiale / Succursale
Filiale / Succursale
Standard Clauses / Binding corporaterules
Data controller
Data processor
Sub-data processor
Contrat d’hébergement / IaaS Généralement formulé sous forme de conditions générales («take it or leave it») Attention notamment aux clauses suivantes:
o Mesures techniques et organisationnelles adaptéeso Cloisonnement / ségrégation des données o Obligation de backupo Conséquences en cas de perte de contrôle des donnéeso Responsabilité en cas de :
- perte de données- usage abusif des données- disponibilité restreinte des services
o Propriété des donnéeso Portabilité et interopérabilitéo Sécurisation accrue des données sensibleso Possibilité d’accéder aux données en tous tempso Obligation de notifier une violation de la sécurité ou une cyber attaque
Eviter de travailler avec des prestataires qui excluent toute responsabilité ou limitent leur responsabilité pour certains types de dommages et/ou les «cap» au montant payé et/ou insèrent des clauses de prescription contractuelles
Motifs/ Délais de résiliation; Mode de restitution des données au terme des relations contractuelles
Conditions générales
Mentions légales (nom de l’entreprise exploitant le site, adresse, adresse email)
E-commerce (art. 3 s LCD)
Disproportion notable et injustifiée entre les droits et les obligations découlant du contrat (art. 8 LCD)
Limitation de responsabilité / Disclaimer => 100CO: exclut pour faute intentionnelle ou grave
Service Level Agreement (SLA)
Disponibilité (99.95% = 4:38 downtime/année !)Eviter des formulations vagues du type : «Salesforce will
use commercially reasonable efforts to make the Service available 24/24 »
Heures d’ouverture de la HotlineLangue(s)Degrés de priorité / Délais de réactionCoûts (prévisibilité) Responsabilité en cas de dommage survenu à la suite
d’une violation du SLA Crédits serviceDroit applicable et for
Définitions (en particulier «Services») Durée Prix Infrastructure / lieu de stockage des données (baack 2 back?) Clause de protection & sécurité des données Confidentialité Propriété intellectuelle et licence (logiciel) Restrictions d’utilisation Exonération de responsabilité Résiliation Force majeure Divers Droit applicable
SaaS Agreement
Politique de confidentialité
Mentions légales Type de données collectées But de la collecte Transferts internationaux Cookies Transferts à des tiers (p.ex Google Analytics) Sécurité Utilisation des données dans les médias sociaux Droit d’accès Droit d’effacement des données M&A Droit applicable & for
Florian DucommunAvocat ; LL.M (McGill University)
Av. Auguste Tissot 2bis1006 Lausanne021/310.73.10
[email protected]@hdclegal / @florianducommun