Données personnelles : la CNIL enfonce le cloud

IP et cumulonimbus 21
Le Cloud Computing est-il une menace pour les données personnelles ? Si oui, comment réglementer la manipulation dans les nuages des informations nominatives ? C’est à ces questions que veut répondre la CNIL.

cloud computing

Dans un communiqué, celle-ci vient de lancer une consultation ouverte aux seuls professionnels pour se pencher sur ces problématiques. La consultation est organisée jusqu’au 17 novembre et poursuit un objectif : « envisager toutes les solutions juridiques et techniques permettant de garantir un haut niveau de protection de ces données » personnelles.

La CNIL n’est pas la seule à se questionner sur ces stockages déportés. Le CSPLA, qui assure un rôle de conseil au ministère de la Culture, a également le sujet sur le feu notamment au regard de la rémunération pour copie privée.

Ici, comme à la Rue de Valois, une des difficultés préalables à ces examens est de définir ce qu’est le cloud. La CNIL esquisse quelques traits : « le Cloud computing est une forme avancée d'externalisation qui se caractérise par la simplicité d'un service à la demande, une extrême flexibilité, le paiement à l'usage, un accès léger depuis tout type de terminal et enfin par la virtualisation et la mise en commun de ressources qui peuvent être réparties sur le monde entier ». Pour autant, cette définition n’est pas pleinement satisfaisante, les termes de simplicité, de flexibilité, d’accès léger sont subjectifs. Autre chose, le critère économique (le paiement à l’usage) n’est pas toujours déterminant.

Pour la CNIL, les offres de Cloud ont néanmoins ce trait commun : une « opacité consubstantielle » destinée à masquer aux clients la « complexité du système informatique pour les aider à se concentrer sur leur cœur de métier ». Or, cette opacité est d’autant plus vraie que « la volatilité des données et la multiplicité des serveurs sont inscrites dans l'ADN du Cloud Computing ». Une opacité qui pose du coup la question de la protection des données personnelles.

Outre la problématique de la définition juridique de Cloud – si elle existe – et de l’opacité des traitements, d’autres interrogations s’engagent : c’est notamment celle de la compétence territoriale des autorités françaises. Qui est en effet compétent pour jauger les conditions de collecte et de stockage des données nominatives dans des contrées lointaines, presque au-delà des nuages ?
Publiée le 17/10/2011 à 17:00
Marc Rees

Journaliste, rédacteur en chef

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €

Publicité