Cloud computing : enjeux juridiques

844 vues

Publié le

Cloud computing : enjeux juridiques
Conférence données à l'ADI le 13.11.2014

Publié dans : Droit
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
844
Sur SlideShare
0
Issues des intégrations
0
Intégrations
9
Actions
Partages
0
Téléchargements
37
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Cloud computing : enjeux juridiques

  1. 1. Cloud Computing et ses enjeux juridiques ADI- Association des Diplômés ISEIG 13.11.2014 Florian Ducommun Avocat, L.LM (McGill) HDC Law Firm / Etude d’avocats Av. Auguste Tissot 2bis 1006 Lausanne 021/310.73.10 ducommun@hdclegal.ch @hdclegal / @florianducommun FutundBeidl
  2. 2. Plan I. Cloud computing a. Définition b. Avantages c. Risques II. Protection des données a. Définitions b. Principes de base c. Droits et obligations d. Cloud & protection des données III. Comparaison des lois CH – UE – USA a. CH b. UE c. USA IV. Principaux contrats du cloud a. Contrat d’hébergement / IaaS b. Conditions générales c. SLA d. Contrat de services (SaaS, Paas) e. Politique de confidentialité Cécile
  3. 3. I. Cloud Computing 3echeval
  4. 4. Définition Le cloud computing est l'accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables National Institute of Standards and Technologies Emmanuelle Pidoux
  5. 5. Virtualisation des infrastructures IT - SaaS - PaaS - IaaS Application Services OS Couche virtuelle Serveur physique Réseau Infrastructure Patrick Joset, Cloud Computing : tentative de définition http://www.abissa.ch/data/fichiers/tec_cloud_computing.pdf
  6. 6. Nuage 33 / Wikimedia Commons
  7. 7. Avantages  Réduction des coûts d’infrastructure informatique et des logiciels  Mise à jour des logiciels sur demande  Capacité de calcul  Espace de stockage de données dynamique  Mobilité  Agilité  Simplicité et la rapidité d’accès aux données  Extensibilité du système  Dans certains cas, amélioration de la sécurité
  8. 8. Risques  Perte de contrôle sur les données / Perte de données  Panne du système et de réseau et non-disponibilité des ressources et des services  Risque qu’une attaque contre un des utilisateurs affecte les autres  Manque de séparation et d’isolation des données (architecture partagée)  Accès d’autorités étrangères aux données
  9. 9. Risques  Captivité  Usage abusif des données  Propriété des données  Confidentialité des données / secrets d’affaires  Droit applicable et for  Protection des données
  10. 10. Protection des données Perspecsys Photos
  11. 11. Cadre légal Cadre légal  Article 8 CEDH « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance »  Convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (Convention 108)  Protocole additionnel à la Convention 108 concernant les autorités de contrôle et les flux transfrontières de données  Article 13, alinéa 2, Constitution fédérale : « Toute personne a le droit d’être protégée contre l’emploi abusif des données qui la concernent »  Loi fédérale du 19 juin 1992 sur la protection des données  Lois cantonales de protection des données
  12. 12. Définitions (art. 3 LPD)  Données personnelles: toute information qui se rapportent à une personne identifiée ou identifiable  Données sensibles o Opinions ou activités religieuses, philosophiques, politiques ou syndicales, o Santé, sphère intime, appartenance à une race o Mesures d’aide sociale o Poursuites ou sanctions pénales et administratives  Profil de la personnalité: assemblage de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique  Traitement: toute opération relative à des données personnelles – quels que soient les moyens ou procédés utilisés – notamment collecte, conservation, exploitation, modification, communication, archivage ou destruction des données  Fichier: tout ensemble de données personnelles dont la structure permet de rechercher les données par personne concernée.
  13. 13. ❶ Traitement licite Principes de base o loi o Intérêt privé ou public prépondérant o Consentement Lorsque le consentement de la personne concernée est requis pour justifier le traitement de ses données de ses données personnelles, la personne concernée ne consent valablement que si elle exprime sa volonté exprime sa volonté librement et après avoir été dûment informée. Lorsqu'il s'agit de données sensibles et de données sensibles et de profils de la personnalité, son consentement doit être au surplus explicite. explicite. ❷ Bonne foi o Principe de la transparence o Obligation d’information lors de la collecte de données sensibles et de profils de personnalité ❸ Finalité o Traitement des données uniquement dans le but qui est indiqué au moment de la collecte, qui est prévu par une loi ou qui ressort des circonstances ❹ Proportionnalité o Choix du moyen de traitement o Seules les données nécessaires et aptes à atteindre le but du traitement doivent être collectées o Principe de minimisation des données: éviter de collecter des données personnelles si pas nécessaire (pseudonymisation, anonymisation) o Conservation limitée à ce qui est nécessaire à la réalisation des finalités du traitement
  14. 14. Principes de base (2) ❺ Exactitude des données o Celui qui traite des données personnelles doit s'assurer qu'elles sont correctes. Il prend toute mesure appropriée permettant d'effacer ou de rectifier les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées (art. 5 LPD) o Droit d’effacer et de rectifier les données ❻ Sécurité des données o Mesures techniques et organisationnelles o Guide pratique http://www.edoeb.admin.ch/datenschutz/00628/00629/00636/in dex.html?lang=fr&download=NHzLpZeg7t,lnp6I0NTU042l2Z6ln 1ae2IZn4Z2qZpnO2Yuq2Z6gpJCDdH9_gGym162epYbg2c_JjKb NoKSn6A-- ❼ Niveau adéquat de protection
  15. 15. Droits (utilisateurs) Droit d’être informé du traitement de données Droit d’accès aux données en tout temps Droit d’opposition au traitement Droit de rectification ou d’effacement en cas d’inexactitude des données Droit d’agir en justice en cas de violation des principes de base
  16. 16. Obligations (responsable du fichier)  Mettre en oeuvre les principes de la protection des données et respecter les exigences de la LPD  Obligations de mettre en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données et éviter des traitements non autorisés  Assurer la transparence des traitements et notamment informer les personnes concernées lors de la collecte de données sensibles et de profils de la personnalité (art. 4 et 14 LPD)  Assurer l’exactitude et la mise à jour des données (art. 5 LPD)
  17. 17. Questions 1. Quelle est la nature de l’activité de la personne concernée par la collecte de donnée ? 2. Quels types de données sont collectées ? Y a-t-il des données sensibles ? Des informations confidentielles ? Des secrets commerciaux? 3. Quel est le motif justificatif pour la collecte (loi ou consentement)? Le consentement a-t-il été requis et est-il suffisamment large ? 4. Qui est le responsable du traitement (maître du fichier/data controller)?Qui est son sous-traitant (data processor) ? 5. Qui détient la propriété des données? 6. Où les données sont-elles stockés? Des transferts internationaux de données sont-ils opérés? 7. Quelle est le droit applicable ?
  18. 18. Cloud & Protection des données 1. Traitement de données personnelles découlant de l’utilisation du cloud = traitement de données par un tiers (art. 10a LPD) 2. La sécurité des données doit être garantie (art. 7 LPD et 8 ss LPD, 20 ss OLPD) 3. Transferts de données à l’étranger (art. 6 al. 1 LPD) 4. Droit d’accès (art. 8 et 5 LPD)
  19. 19. Cloud & Protection des données (2)  Identifier clairement les données personnelles et les traitements qui passeront dans le cloud  Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise ; Analyse d’impact relative à la protection des données: https://www.apps.edoeb.admin.ch/dsfa/fr/index.html Bien choisir le prestataire cloud ; bien négocier le contrat d’hébergement et lui demander des garanties de sécurité, de confidentialité, d’accès et de transparence ; éviter toute captivité  Faire preuve de transparence vis-à-vis des clients et utilisateurs S’assurer que les données sont compartimentées et restent en Suisse  Sécurité accrue pour les données sensibles et les secrets d’affaire  Respecter les règles en matière de protection des données par la mise en place d’une politique de confidentialité (privacy policy) et inciter vos clients à le faire s’ils traitent des données personnelles
  20. 20. III. Comparaison CH/UE/USA Privacy International 2007 privacy ranking map CC BY-SA 3.0
  21. 21. Union Européenne EU Directive 95/46/EC Décision de la Commission n°2000/518/CE du 26 juillet 2000 Proposition de Règlement
  22. 22. Etats-Unis (1) Digitale Gesellschaft  Principe: liberté individuelle  Pas de loi fédérale (d’application nationale) sur la protection des données  Certains Etats ont adoptés des règles sur la protection des données (privacy laws)  Lois réglementant la collecte de données personnelles applicables à certains secteurs d’activité (sectoral laws)  Nombreuses lignes directrices (qui n’ont pas force de loi) pour les agences gouvernementales et certains groupes industriels (autorégulation)  Californie
  23. 23. Etats-Unis (2) US- Swiss Safe Harbour privacy principles (16.02.2009)  Permet de garantir un niveau adéquat de protection des données au sens de l’art. 6 al. 1 LPD  Fortement inspiré des «US-EU Safe Harbour Principles»  Adhésion volontaire des organisations/ sociétés basées aux Etats-Unis de respecter les principes du Safe Harbour (ex. Groupon, Facebook, Airbnb, Novartis, etc.)  Principes http://export.gov/safeharbor/swiss/eg_main_018519.asp
  24. 24. IV. Principaux contrats du cloud
  25. 25. Hébergeur / Datacenter Cloud Service Provider Entreprise / Client Utilisateurs Hosting Agreement Iaas Agreement SLA Sub-data processor Data processor Cloud Service Agreement (SaaS, PaaS Agreements or T&Cs) Conditions générales Politique de confidentialité Filiale / Succursale Filiale / Succursale Filiale / Succursale Standard Clauses / Binding corporate rules Data controller
  26. 26. Contrat d’hébergement / IaaS  Généralement formulé sous forme de conditions générales («take it or leave it»)  Attention notamment aux clauses suivantes: o Mesures techniques et organisationnelles adaptées o Cloisonnement / ségrégation des données o Obligation de backup o Conséquences en cas de perte de contrôle des données o Responsabilité en cas de : - perte de données - usage abusif des données - disponibilité restreinte des services o Propriété des données o Portabilité et interopérabilité o Sécurisation accrue des données sensibles o Possibilité d’accéder aux données en tous temps o Obligation de notifier une violation de la sécurité ou une cyber attaque  Eviter de travailler avec des prestataires qui excluent toute responsabilité ou limitent leur responsabilité pour certains types de dommages et/ou les «cap» au montant payé et/ou insèrent des clauses de prescription contractuelles  Motifs/ Délais de résiliation; Mode de restitution des données au terme des relations contractuelles
  27. 27. Conditions générales Mentions légales (nom de l’entreprise exploitant le site, adresse, adresse email) E-commerce (art. 3 s LCD) Disproportion notable et injustifiée entre les droits et les obligations découlant du contrat (art. 8 LCD) Limitation de responsabilité / Disclaimer => 100 CO: exclut pour faute intentionnelle ou grave
  28. 28. Service Level Agreement (SLA)  Disponibilité (99.95% = 4:38 downtime/année !)  Eviter des formulations vagues du type : «Salesforce will use commercially reasonable efforts to make the Service available 24/24 »  Heures d’ouverture de la Hotline  Langue(s)  Degrés de priorité / Délais de réaction  Coûts (prévisibilité)  Responsabilité en cas de dommage survenu à la suite d’une violation du SLA  Crédits service  Droit applicable et for
  29. 29. SaaS Agreement  Définitions (en particulier «Services»)  Durée  Prix  Infrastructure / lieu de stockage des données (baack 2 back?)  Clause de protection & sécurité des données  Confidentialité  Propriété intellectuelle et licence (logiciel)  Restrictions d’utilisation  Exonération de responsabilité  Résiliation  Force majeure  Divers  Droit applicable
  30. 30. Politique de confidentialité  Mentions légales  Type de données collectées  But de la collecte  Transferts internationaux  Cookies  Transferts à des tiers (p.ex Google Analytics)  Sécurité  Utilisation des données dans les médias sociaux  Droit d’accès  Droit d’effacement des données  M&A  Droit applicable & for
  31. 31. Florian Ducommun Avocat ; LL.M (McGill University) Av. Auguste Tissot 2bis 1006 Lausanne 021/310.73.10 ducommun@hdclegal.ch @hdclegal / @florianducommun

×