Traitement de données et cloud
Comprendre les risques d’un outil devenu nécessaire
Le cloud, atout indéniable des entreprises, est un outil à double tranchant du point de vue de la sécurité juridique. Les risques qu’il implique méritent d’être mieux étudiés et traités.
Le cloud est un puissant outil de traitement de données. En France, déjà plus d’une entreprise sur quatre l’utilise à des fins de traitement de données comme le rappelait Hubert Tardieu lors d’un cycle de conférences (courant 2021) portant sur le thème « Compliance et Union européenne », organisé par l’Association française des juristes d’entreprise (AFJE) en précisant que « le taux de cloud utilisé par les entreprises concernant le traitement informatique de leurs données a augmenté de 16 à 26 % entre 2018 et 2020 »1.
Et tout porte à croire que ce chiffre ne va aller qu’en augmentant. En effet, le cloud permet selon la définition de la Commission nationale de l’informatique et des libertés (CNIL) de disposer d’une « disponibilité quasi immédiate des ressources »2 permettant l’utilisation de logiciels ayant recours à de nombreux processus de calculs complexes et à d’énormes volumes de données, voire au big data3, tout en profitant d’une « facturation à l’usage » qui évite aux entreprises de devoir investir des capitaux dans une infrastructure réseau performante et de la maintenir en état et à jour des disruptive innovations4, toujours plus fréquentes sur[...]
L'accès à l'intégralité de ce document est réservé aux abonnés
D. Baeur, « Vers une souveraineté numérique européenne ? », LPA 1er avr. 2021, n° 160h2, p. 3.
Définition citée par J.-M. Sauvé, vice-président du Conseil d’État, dans son intervention « Le cloud computing », colloque de la Société de législation comparée, 11 oct. 2013, https://lext.so/30inlA.
Le big data est défini par la CNIL comme suit : « Le gigantesque volume de données numériques produites combiné aux capacités sans cesse accrues de stockage et à des outils d’analyse en temps réel de plus en plus sophistiqués offrent aujourd’hui des possibilités inégalées d’exploitation des informations. Les ensembles de données traités correspondant à la définition du big data répondent à trois caractéristiques principales : volume, vélocité et variété », https://lext.so/sv3geZ.
Expression inventée par C. M. Christensen, The innovator’s dilemma, 1997, Harvard Business School Press.
L’expression, popularisée par M. Gladwell dans son article de 2002, « The Tipping Point : How Little Things Can Make a Big Difference », caractérise un marché dans lequel le moindre changement peut avoir d’énormes conséquences sur l’ensemble de celui-ci.
Définition citée par J.-M. Sauvé, vice-président du Conseil d’État, dans son intervention « Le cloud computing », colloque de la Société de législation comparée, 11 oct. 2013, https://lext.so/30inlA.
PE et Cons. UE, règl. n° 2016/79, 27 avr. 2016, https://lext.so/CNks4g.
Le terme cloud computing a été mentionné pour la première dans un document interne du fabricant de matériel informatique Compaq en 1996 et a été popularisé 10 ans plus tard lors de la sortie du premier service d’hébergement d’Amazon, Elastic Compute Cloud.
S. Guinchard et T. Debard, Lexique des termes juridiques 2020-2021, 2020, 28e éd., Dalloz.
Il est important de rappeler que l’identification d’une personne ne passe pas obligatoirement par des éléments d’identités avérés comme le nom, la date de naissance ou le numéro de sécurité social : CNIL, délib. n° 2011-035, 17 mars 2011, https://lext.so/sy5h-m.
L. n° 2018-670, 30 juill. 2018, relative à la protection du secret des affaires.
RGPD, cons. 51 et 91.
Définition de donnée sensible par la CNIL issue du RGPD : « Ce sont [les données sensibles] des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement de données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique », https://lext.so/NIc5rC.
L. n° 78-17, 6 janv. 1978, relative à l’informatique, aux fichiers et aux libertés dite LIL, art. 6.
Une première entorse a été faite à la réglementation avec l’autorisation des téléconsultations : D. n° 2020-227, 9 mars 2020, adaptant les conditions du bénéfice des prestations en espèces d’assurance maladie et de prise en charge des actes de télémédecine pour les personnes exposées au Covid-19.
A., 23 mars 2020, prescrivant les mesures d’organisation et de fonctionnement du système de santé nécessaires pour faire face à l’épidémie de Covid-19 dans le cadre de l’état d’urgence sanitaire, https://lext.so/7tCd0y.
Pour aller plus loin : D. Kadar, S. Abdesselam et L. Gaillard, « Données de santé : un vecteur d’innovation sous trop haute surveillance ? », La revue des juristes de Sciences Po, juin 2021, n° 21.
Pour aller plus loin et sur un registre technique : F. Andry, « Cloud et plateformes : pourquoi ces technologies ont-elles autant d’impact ? », Dalloz IP/IT 2020, p. 34.
L. n° 2018-493, 20 juin 2018, relative à la protection des données personnelles.
Exemple de Google, condamné en ce que ses algorithmes de référencement pouvaient mettre en avant certains sites de manière discrétionnaire et discriminatoire : Aut. conc., D., 19 déc. 2019, n° 19-D-26. Même si cet exemple n’est pas directement lié à notre sujet, on ne s’interdira pas de remarquer que de nombreuses entreprises veulent garder secret une partie de leurs données et en publier une autre partie ne serait-ce que pour démontrer leur expertise dans un domaine.
PE et Cons. UE, règl. n° 2019/1150, 20 juin 2019, promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne.
PE et Cons. UE, règl. n° 2019/1150, 20 juin 2019, respectivement, art. 3, 4, 8 et 9.
« Les fournisseurs de services d’intermédiation en ligne incluent dans leurs conditions générales une description de l’accès technique et contractuel, ou de l’absence d’un tel accès pour les entreprises utilisatrices, à toute donnée à caractère personnel ou à d’autres données, ou aux deux, que les entreprises utilisatrices ou les consommateurs transmettent pour l’utilisation des services d’intermédiation en ligne concernés ou qui sont produites dans le cadre de la fourniture de ces services. »
AN, Rapp. d’information sur les plateformes numériques, mai 2020, n° 3127, p. 73, https://lext.so/2sr6il.
Pour aller plus loin : M. Malaurie-Vignal, D. Heintz et M. Lécole, « Comment appréhender les abus et l’utilisation des données dans la relation d’une plateforme avec ses partenaires contractuels ? », Contrats, conc. consom. 2020, dossier 16.
T. com. Paris, 2 sept. 2019, n° 2017/050625.
CA Paris, 8 oct. 2020, n° 20/08071, sur recours de Aut. conc., déc., 9 avr. 2020, n° 20-MC01.
Pour aller plus loin : S. Choné-Grimadi, « Les géants du numérique face à l’interdiction des abus de dépendance économique : Les Français contre-attaquent », Concurrences 2020, p. 84-92.
Le Code des postes et des communications électroniques précise dans son article L. 34-5 que le consentement en matière de prospection commerciale comme « toute manifestation de volonté libre, spécifique et informée par laquelle une personne accepte que des données à caractère personnel la concernant soient utilisées à fin de prospection directe. »
PE et Cons. UE, dir. n° 2016/0280, 14 sept. 2016, https://lext.so/BP4jRv.
PE et Cons. UE, dir. n° 2020/0361, 15 déc. 2020, https://lext.so/pJi8Qa.
PE et Cons. UE, dir. n° 2020/0374, 15 déc. 2020, https://lext.so/pJi8Qa.
Pour aller plus loin : « Législation sur les services numériques : garantir un environnement en ligne sûr et responsable », https://lext.so/t4A25R et « Une Europe adaptée à l’ère du numérique : nouvelles règles en ligne pour les entreprises », https://lext.so/HpZR8d.
« Code de conduite des fournisseurs d’infrastructures cloud relatif à la protection des données », 9 févr. 2021, https://lext.so/KRJpvs.
Testez gratuitement Lextenso !