- Christophe Gautié, Apollo : « Pouvez-vous nous rappeler, dans le cadre du RGPD, le nouveau partage de responsabilités entre les clients de Cloud et leurs prestataires ? (Editeurs, ESN, Hébergeurs,…) »
Olivier Iteanu : Jusqu’à présent, la réglementation spécifique informatique et libertés, en France depuis 1978, mettait en présence deux acteurs. D’un côté le « ficheur », de l’autre le « fiché ». Progressivement, dans les années 90, la notion de traitement s’est substituée à celle de fichier. On a créé le responsable de traitement pour remplacer le ficheur, et la personne concernée pour le fiché. Le responsable de traitement est celui qui a un pouvoir de décision sur les données traitées. La personne concernée est le citoyen, le salarié, le consommateur, toute personne physique concernée par les données traitées. Dans le RGPD, on retrouve bien le responsable de traitement, en anglais « controller » et la personne concernée, mais on y introduit un troisième acteur, le sous-traitant, en anglais « processor », celui qui est au contact des données personnelles et n’agit que sur instructions du responsable de traitement. Le sous-traitant endosse alors dans le RGPD des obligations dont certaines sont communes au responsable de traitement, c’est le cas de l’obligation de sécurité. D’autres obligations sont différentes de l’un à l’autre. Par exemple, le RGPD crée l’obligation de notifier une violation de données personnelles dont on aura eu connaissance. Pour le responsable de traitement, cette notification doit intervenir dans les 72 heures et être adressée à la CNIL. Pour le sous-traitant, il doit notifier son donneur d’ordre, le responsable de traitement et pas la CNIL, dans « les meilleurs délais ». Pour répondre à votre question, les clients du cloud sont les responsables de traitement et les prestataires cloud sont les sous-traitants. Ajoutons à cela que le RGPD a créé un statut de responsable de traitement conjoint, « joint controller », que pourrait endosser dans certains cas le prestataire cloud, en fonction des prestations qu’on lui confie vis-à-vis des données.
- Christophe Gautié, Apollo : « Selon vous, en quoi le prestataire Cloud passe-t-il désormais sous le contrôle de la CNIL? »
Olivier Iteanu : Parce que justement, il entre dans la réglementation informatique et libertés. Dès lors, la CNIL pourra le contrôler, ce qu’elle ne pouvait faire auparavant, du moins directement. Ajoutons à cela que la situation n’est pas toujours aussi claire. Prenons le cas de l’hébergeur, il héberge les donnée de ses clients selon contrat, il sera sous-traitant vis-à-vis de ces données, s’il se cantonne bien à cette activité. Mais la Loi pour la Confiance dans l’Economie Numérique (LCEN) lui impose de conserver les données techniques de connexion pendant une année, celles générées notamment par ce même client. Ces données techniques, notamment adresse ip, sont des données personnelles. Il sera responsable de traitement au titre de ces traces qu’il a enregistrées et que la Loi lui impose de conserver. Comme vous le voyez, tous les acteurs sont bien dans le RGPD et peut-être à plusieurs titres en fonction du traitement concerné.
- Christophe Gautié, Apollo : « Que recommandez-vous aux prestataires du Cloud à quelques semaines de l’entrée en application du RGPD? »
Olivier Iteanu : On constate chez les clients une exacerbation de la sensibilité envers les données personnelles. C’est sans doute dû au fait qu’on parle beaucoup du RGPD et de ses nouvelles sanctions. En outre, chaque semaine, la presse se fait l’écho d’accidents industriels ou de cyberattaques qui ont pour effet l’évasion de milliers voire de millions de données. Les clients sont donc devenus ultra sensibles à cette thématique. On les voit désormais refuser les clauses limitatives de responsabilité proposées par les prestataires dans leurs contrats en matière de données personnelles, des clauses qui sont généralement admises pour l’ensemble des autres obligations. Les clients ont désormais tendance à considérer que parce qu’ils confient leurs données à un prestataire cloud, celui-ci devient l’assurance de leurs données. Il est difficile au prestataire alors de résister face à l’angoisse exprimée par le client. Pourtant, cette position est exagérée. Le prestataire devra alors s’abriter derrière l’économie du contrat qu’il propose, pour résister à son client angoissé. On ne peut pas exiger d’un prestataire cloud qui facture quelques centaines d’euros d’abonnement par mois à un service, qu’il donne des garanties en matière de confidentialité et de sécurité qui lui imposeraient des investissements de plusieurs centaines de milliers d’euros. Les prestataires ne doivent pas craindre de rappeler les réalités économiques à leurs clients. Le RGPD lui-même leur reconnaît cette possibilité. Et bien entendu, nous recommandons vivement aux acteurs du Cloud de veiller à bien être assurés pour leurs nouvelles responsabilités dans le cadre du RGPD !
Olivier Iteanu
Olivier Iteanu est Avocat à la Cour d‘Appel de Paris depuis 1989 Chargé d‘enseignement à l’Université de Paris I Sorbonne en droit du numérique.
Fondateur et Gérant de la SELARL Iteanu Avocats, un Cabinet d’Avocats composé de 12 professionnels basé à Paris 8ème, 164 rue du Faubourg Saint-Honoré, dédié au droit du numérique et des communications électroniques
Olivier Iteanu est l’auteur du premier ouvrage jamais publié sur le droit français et Internet paru aux Editions Eyrolles en Avril 1996 « Internet et le droit » et de 4 autres ouvrages dont le dernier, « Quand le digital défie le droit », est publié aux Editions Eyrolles en novembre 2016
Olivier Iteanu est par ailleurs Vice-Président de l’Association Cloud Confidence, créée en Décembre 2014 réunissant prestataires du Cloud computing (Orange, Telehouse, Oodrive, Aspaway etc. …), clients et utilisateurs, l’écosystème (Avocats, experts-comptables, agents d’assurance etc. …) qui a pour objectif de constituer un référentiel des offres Cloud respectant la réglementation européenne, notamment en matière de données à caractère personnel. Initiative soutenue par le Medef et le Cigref, Administrateur et Secrétaire Général d’Eurocloud France, Président d’honneur du Chapitre Français de l’Internet Society (ISOC France) après avoir été son Président de Juin 2000 à Juin 2003 et Président de la coordination européenne des Chapitres de l’Internet Society de Juin 2003 à Juin 2004
Il a été également désigné par le conseil d’administration de l’Internet Corporation for Assigned Names and Numbers (ICANN), l’autorité mondiale de gestion des adresses et noms de domaine Internet basée aux Etats-Unis en Californie, comme un des 9 membres du Comité d’Etude At Large Membership et l’un des deux représentants européens auprès de ce comité. Il est également membre pour deux années du comité de sélection de l’Internet Review Panel, chambre des recours de l’ICANN.
