Transcription

1 Security & data protection on the cloud 16 novembre 2015, Hôtel Diar Lemdina, Yasmine Hammamet LA PROTECTION DES DONNÉES PERSONNELLES A L EPREUVE DU CLOUND Chawki GADDES

2 INTRODUCTION Le cloud? Un nuage? Quelle définition? Absence de définition uniforme? Problème diriment pour un juriste C est le premier pas méthodologique Déterminer les éléments caractéristiques de l «objet» Identifier le corpus juridique applicable

3 INTRODUCTION Le cloud, quels éléments caractéristiques de définition? Procédé technique de traitement de l information Stockage de données externalisées Transfert à travers Internet Service à distance fourni à des clients par une entreprise prestataire, un sous traitant Emplacement et fonctionnement du nuage non portés à la connaissance du client

4 INTRODUCTION Le cloud ne peut pas, ne doit pas laisser insensible; il intrigue, interroge, inquiète... C est un «hybride» par excellence, ni tout à fait technique, ni tout à fait humain, ni seulement nature, ni seulement culture. Ne désigne-t-on pas par «nuage» un ensemble de câbles et de machines? Le numérique, et en particulier le cloud, témoigne de l une de ces accélérations de l histoire qui force le juriste à une adaptation continue du droit à la réalité sociale. Jean-Marc Sauvé, vice-président du Conseil d Etat Colloque sur le cloud computing, Conseil d Etat, Vendredi 11 octobre

5 INTRODUCTION Question juridique soumise à réflexion Le cloud est un espace de stockage et de traitement de données Parmi ces données une grande part sont personnelles Ce sont des données qui permettent d identifier une personne physique Est-ce que le cloud assure une protection adéquate de ces données?

6 Quelles relations? Traitement des données : Opérations sur les données ainsi que la collecte et le stockage Quelle schématisation de l opération? Personnes concernées Responsable du traitement Sous-traitant ou partenaire

7 Quelles règles applicables? Personnes concernées Responsable du traitement Relations classiques : Personne concernée & responsable du traitement Obligations du responsable et droits des personnes

8 Quelles règles applicables? Personnes concernées Responsable du traitement Les données sont la propriété de la personne concernée Mise à la disposition du responsable en vue d un traitement mais pas de transfert de propriété Le responsable est le gardien des données et engage sa responsabilité civile et pénale C est une opération basée sur la confiance

9 Quelles obligations? Obligations du responsable du traitement : Déclaration préalable (Art. 7) ou Autorisation préalable (Art. 8) Respect de la dignité humaine, de la vie privée, des libertés publiques, ne doit pas porter atteinte aux droits des personnes (Art. 9) Finalités licites, déterminées et explicites (Art. 10) Traitées loyalement et dans la limite nécessaire au regard des finalités et s assurer que ces données sont exactes, précises et mises à jour (Art. 11) Le traitement ne peut être effectué pour des finalités autres que celles pour lesquelles elles ont été collectées (Art. 12) Prendre toutes les précautions nécessaires pour assurer la sécurité de ces données et empêcher les tiers de procéder à leur modification, à leur altération ou à leur consultation sans l autorisation de la personne concernée (Art. 18)

10 Quels droits? Droits de la personne concernée par le traitement : Donner son consentement éclairée exprès et écrit (Art. 27) Pour l enfant mineur, le consentement doit être obtenue de son tuteur et avec l autorisation du juge de la famille (Art. 28) Droit d être informé du caractère obligatoire ou facultatif de donner ces informations, la durée de conservation des données, la communication ou le transfert de données vers l étranger (Art. 31) Le droit d opposition au traitement à tout moment pour des raisons valables, légitimes et sérieuses (Art. 42) Le droit d opposition à la communication des données aux tiers (Art. 42) Le droit d accès aux données auprès du responsable et des sous-traitants qui comprend les droit de les corriger, compléter, rectifier, mettre à jour, modifier, clarifier ou effacer et d obtenir une copie intelligible et claire (Art. 32) Recours auprès de l INPDP à l occasion de toute violation de ces règles

11 Quelle transposition? Relation bipartite, personne concernée et responsable du traitement, est claire L apparition d un sous-traitant complique le tableau Rapport indirect entre la personne et le sous-traitant Personnes concernées Responsable du traitement Sous-traitant ou partenaire

12 Quelle transposition? La définition du cloud (sous-traitant) met en exergue sa non connaissance par la personne concernée La relation entre les deux partenaires, responsable et sous-traitant, n exclut pas juridiquement la personne concernée Il doit en être informé et doit donner son consentement à l opération Ces rapports sont encadrées par la loi de 2004

13 Quelle transposition? Obligation d informer la personne Obligation d obtenir le consentement éclairée Choix scrupuleux du sous-traitant (Art. 20) Obligation de sécuriser les données Obligation de déclarer cette opération à l INPDP Responsabilité solidaire du responsable et du sous traitant Droit de s opposer à la communication Droit d accès aux données traitées Droit d en obtenir une copie lisible

14 Quelle transposition? Le cloud national, rien ne change dans ce qui précède Les données transférées à l étranger complique la situation Quelles en sont les conditions? Personnes concernées Responsable du traitement Sous-traitant ou partenaire

15 Quelle transposition? Quand il s agit de cloud à l étranger, le tableau se complique Changement de procédure : Opération plus dangereuse pour les données personnelles Délocalisation du traitement Données sortent du cadre territorial national Recherche du droit applicable Accès des autorités nationales au sous-traitant étranger Déjà de la déclaration, on passe à la demande d autorisation

16 Quelle transposition? Art. 51. «Le transfert vers un autre pays des données personnelles faisant l objet d'un traitement ou destinées à faire l objet d un traitement, ne peut avoir lieu que si ce pays assure un niveau de protection adéquat» Art. 52. «Dans tous les cas, l obtention de l autorisation de l Instance pour effectuer le transfert des données à caractère personnel vers l étranger est obligatoire»

17 Quelle transposition? Quelles sont les pays dont la protection est considéré comme adéquate? D après la Commission européenne ce sont à part les Etats européens : Suisse, Canada, Andorre, Argentine, Guernesey, île de Man, îles Féroé, Jersey, Australie, Israël, Nouvelle-Zélande et Uruguay. La Commission européenne avait émis une décision d adéquation le 26 juillet 2000 pour les Etats-Unis concernant les principes de la sphère de sécurité (Safe Harbor)

18 Quelle transposition? Le problème réside dans le fait que le cloud n est pas nécessairement localisé. Les données peuvent être transférées ailleurs!!! Le Safe Harbor a été invalidée le mardi 6 octobre 2015, par la Cour de Justice de l Union européenne dans l'arrêt "Schrems"

19 Quel défi? Quelle est l état de la pratique aujourd hui en Tunisie? Insouciance des citoyens tunisiens dont la sensibilité relative à la protection de leurs DP est presque nulle Les prestataires de service y recourent sans prendre la peine d obtenir une autorisation de la part de l INPDP Orange, Carrefour, Géant, les banques, les cliniques privées y recourent le tableau est encore flou Disposition des CGU du cloud d orange Tunisie!!!

20 Site web de l INPDP Une page, car site en construction