Les Cnil européennes lancent une action sur l'utilisation du cloud par le secteur public

22 autorités européennes de protection des données, dont la Cnil, chapeautées par le Comité européen de la protection des données lancent une action sur l'utilisation par le secteur public de services utilisant le cloud. Elles souhaitent s'assurer que ces solutions respectent bien le RGPD. 

Partager
Les Cnil européennes lancent une action sur l'utilisation du cloud par le secteur public

Le Comité européen de la protection des données (CEPD), un organisme ayant pour mission de veiller à l'application du Règlement général sur la protection des données (RGPD) dans tous les pays membres de l'Union européenne, annonce ce mardi 15 février le lancement d'une action sur l'utilisation par le secteur public de services utilisant le cloud.

22 autorités dont la Cnil
Cette procédure est menée au niveau national par 22 autorités de protection des données. La Commission nationale de l'informatique et des libertés (Cnil) va ainsi lancer des procédures de contrôles visant cinq ministères. Leur identité exacte n'a pas été communiquée.

L'objectif de cette action est de vérifier que les services cloud utilisés par les organismes publics respectent bien la règlementation européenne. Dans les détails, plus de 75 organismes publics situés dans l'Espace économique européen (EEE), y compris les institutions de l'UE, sont concernés. Ils opèrent dans un éventail de secteurs, de la santé aux finances en passant par l'éducation.

Les autorités de protection examineront les défis des organismes publics en matière de conformité au RGPD lors de l'utilisation de services basés sur le cloud, y compris le processus et les garanties mises en œuvre lors de l'acquisition de services cloud, les défis liés aux transferts internationaux et les dispositions régissant la relation contrôleur-sous-traitant. Le CEPD publiera les résultats de cette action avant la fin 2022.

La Cnil sabre la version actuelle de Google Analytics
Le lancement de cette nouvelle procédure intervient quelques jours après la mise en demeure par la Cnil d'un gestionnaire de site utilisant Google Analytics. Engendrant l'envoi de données personnelles vers les Etats-Unis, cet outil d'analyse des audiences n'est pas compatible avec le RGPD, a tranché la Commission. L'utilisation de services basés sur le cloud soulève une problématique similaire.

En mai 2021, le CEPD a lancé deux enquêtes sur l'utilisation par les institutions bruxelloises des services de cloud computing de Microsoft et d'Amazon. L'autorité estime que les garanties proposées par ces entreprises américaines sont insuffisantes pour s'assurer que les données qu'elles hébergent sont protégées des autorités américaines en vertu du CLOUD Act.

La Cnil s'est également déjà penchée sur cette question. Elle a demandé aux établissements supérieurs et de la recherche de ne plus utiliser de solutions collaboratives américaines. Elle s'inquiétait du transfert de données personnelles vers les Etats-Unis. Cet avis, sollicité par la Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU), s'inscrit dans le contexte de l'invalidation du Privacy Shield par le juge européen. C'est la possibilité pour les autorités américaines d'accéder aux données personnelles des Européens sans leur consentement qui justifiait cette décision.

Une demande d'éclaircissement nécessaire
Or, les implications exactes de cette invalidation restent floues. Les responsables de traitement doivent signer des clauses contractuelles types pour s'assurer que les données personnelles seront traitées conformément à la réglementation européenne. Mais sont-elles suffisantes ? Dans sa décision sur Google Analytics, la Cnil mentionne la nécessité dans certains cas (situations non précisées) que des garanties supplémentaires soient adoptées pour que le traitement de données soit légal.

L'action coordonnée pourrait justement être l'occasion d'établir une grille de lecture pour tous les acteurs, publics et privés, confrontés à cette problématique.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS