Les Cnil européennes lancent une action sur l'utilisation du cloud par le secteur public

Le Comité européen de la protection des données (CEPD), un organisme ayant pour mission de veiller à l'application du Règlement général sur la protection des données (RGPD) dans tous les pays membres de l'Union européenne, annonce ce mardi 15 février le lancement d'une action sur l'utilisation par le secteur public de services utilisant le cloud.

22 autorités dont la Cnil
Cette procédure est menée au niveau national par 22 autorités de protection des données. La Commission nationale de l'informatique et des libertés (Cnil) va ainsi lancer des procédures de contrôles visant cinq ministères. Leur identité exacte n'a pas été communiquée.

L'objectif de cette action est de vérifier que les services cloud utilisés par les organismes publics respectent bien la règlementation européenne. Dans les détails, plus de 75 organismes publics situés dans l'Espace économique européen (EEE), y compris les institutions de l'UE, sont concernés. Ils opèrent dans un éventail de secteurs, de la santé aux finances en passant par l'éducation.

Les autorités de protection examineront les défis des organismes publics en matière de conformité au RGPD lors de l'utilisation de services basés sur le cloud, y compris le processus et les garanties mises en œuvre lors de l'acquisition de services cloud, les défis liés aux transferts internationaux et les dispositions régissant la relation contrôleur-sous-traitant. Le CEPD publiera les résultats de cette action avant la fin 2022.

La Cnil sabre la version actuelle de Google Analytics
Le lancement de cette nouvelle procédure intervient quelques jours après la mise en demeure par la Cnil d'un gestionnaire de site utilisant Google Analytics. Engendrant l'envoi de données personnelles vers les Etats-Unis, cet outil d'analyse des audiences n'est pas compatible avec le RGPD, a tranché la Commission. L'utilisation de services basés sur le cloud soulève une problématique similaire.

En mai 2021, le CEPD a lancé deux enquêtes sur l'utilisation par les institutions bruxelloises des services de cloud computing de Microsoft et d'Amazon. L'autorité estime que les garanties proposées par ces entreprises américaines sont insuffisantes pour s'assurer que les données qu'elles hébergent sont protégées des autorités américaines en vertu du CLOUD Act.

La Cnil s'est également déjà penchée sur cette question. Elle a demandé aux établissements supérieurs et de la recherche de ne plus utiliser de solutions collaboratives américaines. Elle s'inquiétait du transfert de données personnelles vers les Etats-Unis. Cet avis, sollicité par la Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU), s'inscrit dans le contexte de l'invalidation du Privacy Shield par le juge européen. C'est la possibilité pour les autorités américaines d'accéder aux données personnelles des Européens sans leur consentement qui justifiait cette décision.

Une demande d'éclaircissement nécessaire
Or, les implications exactes de cette invalidation restent floues. Les responsables de traitement doivent signer des clauses contractuelles types pour s'assurer que les données personnelles seront traitées conformément à la réglementation européenne. Mais sont-elles suffisantes ? Dans sa décision sur Google Analytics, la Cnil mentionne la nécessité dans certains cas (situations non précisées) que des garanties supplémentaires soient adoptées pour que le traitement de données soit légal.

L'action coordonnée pourrait justement être l'occasion d'établir une grille de lecture pour tous les acteurs, publics et privés, confrontés à cette problématique.

Sélectionné pour vous

Amazon investira jusqu'à 4 milliards de dollars dans la start-up d'IA Anthropic

Quelles sont les entreprises qui achètent le plus de solutions technologiques souveraines ?

La start-up Stane lève 10 millions d'euros pour digitaliser les établissements de santé