Le Cloud computing

Le Cloud computing – ou l’informatique en nuage – intègre bien souvent un nouvel acteur dans le traitement des données personnelles : le sous-traitant. Cela a bien entendu son lot d’effets collatéraux ! En effet, de nombreux aspects doivent être évalués au moment de l’introduction d’un sous-traitant dans le processus de traitement des données personnelles, soit notamment l’opportunité de la sous-traitance, la conclusion d’un contrat ou le lieu de traitement des données (Suisse ou étranger).

Image d'illustration d'un Cloud
Image d'illustration d'un Cloud Image d'illustration d'un Cloud
Publié le 21 juin 2022

Qu’est-ce que le Cloud computing ?

Le Cloud computing permet d’accéder à distance et sur demande, par un réseau, à un large panel de services informatiques tels que du stockage de données, des serveurs, des outils de calculs ou des logiciels. Il est caractérisé par l’accès à un ensemble partagé de ressources informatiques configurables selon les besoins de l’usager (privé ou administration publique). Cette technologie a notamment pour avantage de faire bénéficier à l’usager de possibilités telles qu’un redimensionnement aisé des services loués et de réduire les coûts d'infrastructure et de logiciel, à tout le moins dans un premier temps. Par exemple, en cas d’augmentation du personnel, il est possible d’obtenir rapidement de nouvelles licences ou alors, en cas d’augmentation des données traitées, d’obtenir une plus grande mémoire de stockage.

La technologie Cloud utilise trois types de services différents : la fourniture de logiciel en tant que service («Software as a service», abrégé «SaaS»), la fourniture d’une plateforme de développement d’applications en tant que service («Platform as a service», abrégé «PaaS») et la fourniture d’infrastructures en tant que service («Infrastructure as a service», abrégé «IaaS»).

En utilisant un SaaS, l’usager accède à un logiciel partagé, par l’intermédiaire du réseau. L’ensemble du traitement des données est ainsi hébergé sur le Cloud, de manière décentralisée. Dans ce modèle, l’usager ne gère et ne contrôle que quelques fonctions de paramétrages du logiciel (fonctions définies par le fournisseur Cloud) mais il ne contrôle pas le logiciel ni l'infrastructure sous-jacente au logiciel (y compris le réseau, les serveurs, les systèmes d'exploitation, le stockage ou même les capacités des applications individuelles). A titre d’exemple, SAP Ariba ou Microsoft 365 sont des SaaS.

En utilisant un PaaS, l’usager loue des serveurs virtuels pour y développer des applications qu’il a créées ou acquises. De son côté, le fournisseur Cloud maintient la plateforme d’exécution des applications (infrastructure, système d’exploitation, environnement de programmation, moteur de base de données, etc.). Dans ce modèle, l’usager a le contrôle des applications déployées et éventuellement des paramètres de configuration pour l'environnement d'hébergement des applications. En revanche, il ne gère ni ne contrôle l'infrastructure sous-jacente (y compris le réseau, les serveurs, les systèmes d'exploitation ou le stockage). A titre d’exemple, Microsoft Azure est un PaaS.

En utilisant un IaaS, l’usager loue des ressources de calcul et de stockage, de capacités réseau ou d’autres ressources fondamentales (machines virtuelles). Il a la possibilité de déployer et d’exécuter n’importe quel type de logiciel incluant des systèmes d’exploitation et des applications. Dans ce modèle, l’usager ne gère ni ne contrôle l'infrastructure sous-jacente, mais il a le contrôle des systèmes d'exploitation, du stockage ainsi que des applications déployées et, parfois, un contrôle limité de certains composants de réseau (p. ex., les pare-feux hôtes). A titre d’exemple, Amazon web services est un IaaS. 

Le choix d’un modèle ou l’autre influence notamment la répartition des responsabilités entre le responsable de traitement, soit l’autorité communale concernée, et le fournisseur de services Cloud. En effet, la maîtrise de l’usager sur les infrastructures mises en place diminue fortement avec l’utilisation d’un modèle de type SaaS ou PaaS par rapport à l’utilisation d’une solution informatique interne.

Répartition de la maîtrise du système en fonction de chaque type de cloud Répartition de la maîtrise du système en fonction de chaque type de cloud

Le recours à la technologie Cloud implique bien souvent de faire appel à des solutions informatiques fournies par des tiers prestataires, ce qui constitue un cas de sous-traitance. Dans de nombreux cas, cette technologie implique également une communication transfrontière de données, c’est-à-dire que les données quittent le territoire suisse. Tant la sous-traitance à proprement parler que la communication transfrontière de données sont soumises à des règles spécifiques en matière de protection des données et nécessitent qu’une analyse au cas par cas soit réalisée par les autorités communales qui souhaitent recourir à la technologie Cloud.

Afin de guider les entités soumises à la loi du 11 septembre 2007 sur la protection des données personnelles (LPrD ; BLV 172.65), l’Autorité de protection des données et de droit à l’information a créé une liste de questions à se poser avant de recourir à une solution informatique externalisée, notamment (mais pas uniquement) de type Cloud. L’APDI met cette check-list à disposition sur son site internet et invite les lectrices et les lecteurs à s’y référer en complément à la présente contribution.

Traitement des données par un tiers

La sous-traitance doit respecter les conditions cumulatives prévues à l’art. 18 al. 1 LPrD.

Premièrement, le traitement par un tiers doit être prévu par la loi ou par un contrat. En pratique, à l’échelon cantonal, peu de lois prévoient expressément que les données peuvent être traitées par un tiers. De plus, même si tel était le cas, cela ne dispenserait pas les autorités communales, en leur qualité de responsable de traitement, de conclure un contrat offrant des garanties suffisantes sous l’angle de la protection des données. D’un point de vue technique, le contrat peut être valablement conclu par l’acceptation des conditions générales du prestataire Cloud. Toutefois, ces conditions sont souvent peu favorables à l’utilisateur, voire représentent des risques importants comme l’application du droit étranger et d’un système d’arbitrage au lieu des tribunaux ordinaires, ou encore une limitation voire une exclusion de responsabilité. Il convient donc de préférer un contrat ad hoc qui peut être négocié.

Deuxièmement, le responsable du traitement doit être légitimé à traiter lui-même les données concernées. Il doit dès lors s’assurer qu’il respecte les principes de base de la législation vaudoise sur la protection des données personnelles (notamment les principes mentionnés aux art. 5 à 12 LPrD) ainsi que les éventuelles législations sectorielles s’appliquant au traitement des données concernées. En pratique, il est courant que le responsable de traitement n’ait pas encore effectué (ou plus depuis longtemps) une analyse de la conformité des traitements de données auxquels il procède. Quoi qu’il en soit, le sous-traitant ne devrait pas pouvoir procéder à un traitement de données que le responsable de traitement n’est pas habilité à réaliser.

Troisièmement, aucune obligation légale ou contractuelle de garder le secret ne doit interdire le traitement des données personnelles par un tiers. La LPrD vise notamment ici à réserver les obligations particulières de garder le secret spécifiques à certaines activités. Ces obligations sont généralement ancrées dans une base légale spéciale (p. ex. secret fiscal ou secret des assurances sociales). S’agissant de la portée du secret de fonction dans ce cadre, la doctrine reste divisée à ce jour. L’APDI n’a donc pas de réponse claire à apporter sur ce point, qui devra s’apprécier au cas par cas. A cet égard, pour limiter les risques au maximum, nous vous renvoyons à la question n°2 de la check-list pour contrat de sous-traitance. Quoi qu’il en soit, le responsable du traitement devra mettre en place des mesures visant à garantir le respect du secret de fonction.

Contenu du contrat

Il est indispensable que le contrat prévoie notamment :

  • l’identité du responsable du traitement et du sous-traitant ;
  • le type de données concernées ;
  • l’étendue de la sous-traitance et son but ;
  • le droit d’accès ;
  • la durée de conservation des données ;
  • l’interdiction pour le sous-traitant d’utiliser les données dans son propre intérêt ;
  • le fait que le sous-traitant est lié par les instructions du responsable du traitement ;
  • la garantie que des mesures techniques et organisationnelles suffisantes sont prises pour assurer la sécurité des données (des mesures de sécurité plus élevées sont nécessaires en cas de traitement de données sensibles ou de profils de la personnalité) ;
  • une obligation à charge du sous-traitant d’effacer les données ;
  • une obligation de collaborer avec le responsable du traitement en cas d’exercice du droit d’accès ou de demande d’une autorité de protection des données ;
  • le droit de contrôle et d’audit du responsable du traitement ;
  • une clause pénale en cas de violation du contrat ;
  • le droit applicable et le for (suisse de préférence) ;
  • la durée pour laquelle le contrat est conclu ;
  • les conditions de résiliation ordinaire et extraordinaire, ainsi que la forme et le délai de résiliation ;
  • des clauses de réversibilité, notamment une obligation de restitution des données dans un format standard et exploitable à la fin du contrat (attention aux éventuels coûts de restitutions des données) ;
  • une garantie d’indemnisation ;
  • une obligation d’annonce en cas d’insolvabilité ;
  • etc.

L’APDI fournit, sur demande, un modèle de contrat de sous-traitance réalisé par une étude d’avocats.

Responsabilités

L’art. 18 al. 2 LPrD dispose que le sous-traitant est responsable de la sécurité des données qu'il traite. Contrairement à ce que pourrait laisser entendre cette disposition, les autorités communales ne sont pas dédouanées de toute responsabilité sous l’angle de la sécurité lorsqu’elles confient un traitement de données personnelles à un tiers. En effet, elles demeurent le premier responsable du traitement des données à l'égard de la personne concernée, à laquelle elles devront répondre en cas, par exemple, de perte de données par le sous-traitant ! L’obligation faite au sous-traitant d’assurer la sécurité des données qui lui sont confiées est simplement le pendant de l’art. 10 LPrD, qui prévoit que le responsable du traitement prend les mesures appropriées pour garantir la sécurité des fichiers et des données personnelles, soit notamment contre leur perte, leur destruction, ainsi que tout traitement illicite. La commune doit ainsi impérativement choisir son prestataire Cloud avec soin, lui donner des instructions adéquates et veiller à ce que celles-ci soient respectées.

Points d’attention spécifiques !

Les aspects suivants doivent faire l’objet d’une attention particulière lorsque le recours à un prestataire Cloud est envisagé :

  • l’opportunité de la sous-traitance, notamment à la lumière des données concernées ;
  • le droit applicable et le for ;
  • le lieu de traitement des données ;
  • les chaînes de sous-traitance ;
  • le respect des règles relatives au secret de fonction ;
  • l’éventuelle communication transfrontière de données ;
  • les règles relatives à la résiliation du contrat et à la restitution des données.

De manière générale, l’APDI invite les communes à se méfier des publications d’études d’avocats à disposition sur internet, qui se veulent rassurantes et qui sont sponsorisées par les géants des technologies.

 


Autorité de protection des données et de droit à l'information (APDI)

Renseignements complémentaires

Nina Wüthrich / Cécile Kerboas
Autorité de protection des données et de droit à l’information
Rue Saint-Martin 6 – Case postale 5485 – 1002 Lausanne
Tél. : 021 316 40 64 (permanence téléphonique du lundi au jeudi de 10h30 à 12h30) info.ppdi@vd.ch - vd.ch/apdi