LE CLOUD COMPUTING : LA CNIL N'A PAS LA TÊTE DANS LES NUAGES

Publié par le dans | Consulté 34 Fois | Leave a response

Le 17 octobre dernier, la CNIL a lancé une consultation publique afin de mieux cerner le phénomène du Cloud Computing. Celui-ci suscite nombre d’interrogations qui se polarisent aujourd’hui autour de problématiques de sécurité et de protection des données personnelles.

Historiquement, Amazon a été l’une des premières sociétés à proposer le stockage de données en ligne. Le journal du New York Times compte ainsi parmi ses clients. Google s’est quant à lui imposé comme leader sur ce marché alors même que ce système a débuté avec le projet « Google 101 », dont le dessein premier était d’organiser une collaboration universitaires à des fins de recherche.

Qu’est ce le Cloud computing ?

Tenter d’appréhender la Cloud Computing revient à se heurter à un flou entourant la notion, si bien qu’il semble difficile de la définir.

Le National Institue of Standards and Technology (NIST) a proposé une définition qui pose les contours du concept sans pour autant le définir: “L’informatique dans les nuages” est une nouvelle façon de délivrer les ressources informatiques, et non une nouvelle technologie. On sait donc ce que n’est pas le cloud computing: reste à savoir ce qu’il est.

Une autre définition est proposée: « le cloud computing, dont la traduction littérale est « informatique dans les nuages » est un concept qui consiste à déporter sur des serveurs distants des traitements informatiques traditionnellement localisés sur des serveurs locaux ou sur le poste de l’ utilisateur ». L’utilisation de ce système peut se faire gratuitement par des services tels que le « webmail »ou sur abonnement.

La CNIL, quant à elle, constate que la complexité du terme rend délicate la rédaction d’une définition emportant consensus. Elle propose donc d’appréhender le phénomène par la mise en exergue de ses différentes caractéristiques.Si l’on suit le faisceau d’indices retenu par l’autorité, une prestation de Cloud Computing serait caractérisée par une simplicité d’utilisation permettant à l’individu d’accéder de manière unilatérale et immédiate aux ressources informatiques dont il a besoin, alliée à une extrême flexibilité du système et facilitée par un accès simplifié aux données, lequel ne nécessitant pas d’équipement ou de logiciel particulier. Enfin, les données sont virtualisées et leur stockage peut donner lieu à un paiement au bénéfice du prestataire, c’est à dire de la société offrant des services de Cloud Computing.

Les enjeux du développement du Cloud computing face aux impératifs de sécurisation et de protection des données personnelles

Le Cloud computing représente une manne financière s’élevant à 6 milliard d’euros au niveau européen connaissant un taux croissance annuelle de 20%.

Ce système intéresse et attire des entreprises songeant de plus en plus à délaisser leurs propres serveurs au profit du stockage en ligne, espérant ainsi la réalisation d’économies considérables.

L’ intérêt suscité par les enjeux économiques présents rend à la fois difficile l’encadrement du phénomène et par la même nécessaire sa mise en place, afin de garantir la protection des données personnelles. Neelie Kroes, commissaire européenne à la société numérique, a d’ailleurs identifié la protection des données personnelles comme enjeu majeur dans le cadre du cloud computing. Forte de cette impulsion européenne, la CNIL s’est saisie du problème en considérant ces problématiques comme exacerbées «  dans un environnement globalisé où la volatilité des données et la multiplicité des serveurs, est inscrite dans l’ADN du Cloud Computing ».

Les axes de travail de la CNIL

De façon globale, les inquiétudes se focalisent sur les données personnelles. Ainsi Alex Türk, alors président de la CNIL, déclarait avoir « le sentiment que le Cloud aboutit à un phénomène de dilution des données. Par rapport à la notion de droit à l’oubli, cela conduit à une situation catastrophique ».

Du point de vue juridique, le Cloud Computing suscitent à un certain nombre incertitudes, à commencer par la question du droit applicable.

Le système étant basé sur « l’utilisation de multiples serveurs situés en divers points de la planète, les difficultés quant à la détermination du droit applicable sont évidentes. […] La flexibilité et la fluidité des transferts de données rendent potentiellement applicables autant de lois que de pays dans lesquels se trouvent des serveurs traitant les données ». Le principe en la matière a été posé par l’article 5 de la loi du 6 Janvier 1978 modifiée, au terme duquel la loi française s’applique si le responsable du traitement a son établissement sur le territoire français et a recours à des moyens de traitement situés sur le territoire français.

La dimension « sans frontière » ou «  transnationale » des données pose également le problème de leur transfert. L’ article 68 de la loi susmentionnée pose l’interdiction de transfert de données personnelles vers un État qui n’assurerait pas le même niveau de protection que celui garanti en France. Or, cette obligation est elle aussi source de difficultés dans son application dès lors que le Cloud Computing «  est le plus souvent fondé sur une absence de localisation stable des données ».

Les solutions en la matière résideraient peut être dans une auto régulation du secteur. La CNIL a en effet précisé qu’à défaut de régulation étatique, elle recommandait «  que des normes de sécurité incluant la question de la protection des données personnelles dans le Cloud Computing sont définies par le secteur et promues pour renforcer la transparence vis-à-vis des clients ».

A noter cependant que s’il est admis que le Cloud Computing doit être régulé, le propos n’est pas de stopper son développement. La Commission européenne a d’ailleurs clairement manifesté sa volonté de « promouvoir l’informatique en nuage en Europe ».

AUFFREY (C.), “Cloud et données personnelles: la CNIL veut débattre”, mis en ligne le 18 Octobre 2011, consulté le 5 Novembre 2011, http://www.zdnet.fr/actualites/cloud-et-donnees-personnelles-la-cnil-veut-debattre-39764909.htm

CHAMPEAU (G.), ” La CNIL propose d’encadrer spécifiquement le cloud computing “, mis en ligne le 17 Octobre 2011, consulté le 5 Novembre 2011, http://www.numerama.com/magazine/20211-la-cnil-propose-d-encadrer-specifiquement-le-cloud-computing.html

SERRIES (G.), ” Le cloud computing, l’informatique de demain ?”, mis en ligne le 3 Janvier, consulté le 5 Novembre 2011, http://www.journaldunet.com/solutions/systemes-reseaux/analyse/le-cloud-computing-l-informatique-de-demain.shtml

CNIL, “Cloud computing: la CNIL engage le débat “, mis en ligne le 17 Octobre 2011, consulté le 5 Novembre 2011, http://www.cnil.fr/la-cnil/actu-cnil/article/article/cloud-computing-la-cnil-engage-le-debat/

CNIL, “Consultation relative au Cloud computing “, mis en ligne le 17 Octobre 2011, consulté le 5 Novembre 2011, http://www.cnil.fr/la-cnil/actu-cnil/article/article/cloud-computing-la-cnil-engage-le-debat/

EUROPE1, ” Cloud: quelle place pour la confidentialité ?”, mis en ligne le 26 Octobre 2011, consulté le 5 Novembre 2011, http://www.europe1.fr/Dossiers/Les-cles-du-cloud/Articles/Cloud-quelle-place-pour-la-confidentialite-787363/

EUROPE1, ” Cloud: quels enjeux économiques?”, mis en ligne le 2 Novembre 2011, consulté le 5 Novembre 2011, http://www.europe1.fr/Dossiers/Les-cles-du-cloud/Articles/Cloud-quels-enjeux-economiques-797001/