GDPR : quels enjeux pour le cloud computing ?

Les règles sur la protection des données personnelles ont changées pour nombre d’entreprises : le GDPR est entré en application le 25 mai 2018. Qu’est-ce que ce règlement ? Quelles seront les conséquences de sa mise en application ? S’agit-il d’une révolution ou d’une prolongation du travail de la CNIL ?

Gérard Haas, avocat spécialisé en droit de l'information et fondateur du cabinet Haas avocats nous apporte son éclairage sur ce sujet qui concerne le consommateur final et l’entreprise, notamment celle qui s’appuie sur un hébergement dans le cloud.

Pourquoi le GDPR ?

« La loi informatique et libertés était devenue obsolète du fait des Big Data et du cloud computing », explique Gérard Haas, « son efficacité était contestée ». Nous sommes, en effet, dans une période où les principes de transparence, de confiance, de neutralité et de loyauté se confrontent à la collecte de données personnelles du client consommateur. Les droits de celui-ci doivent donc être renforcés : le GDPR répond à ce nouveau besoin en apportant un cadre légal à la protection des données à caractère personnel.

Qu’est-ce qui change ?

Le règlement complet est consultable sur le site du journal officiel de l’Union Européenne. Voici les points principaux du GDPR que Gérard Haas nous résume :

  • Le consentement : celui qui collecte les données doit être en mesure d’apporter la preuve qu’il a obtenu l’accord (opt-in) de la personne concernée. « En plus de l’obtention du consentement, il faut également prévenir la personne de ce que l’on va faire de ses données », précise Gérard Haas.
     
  • La réversibilité : le consentement n’est pas éternel. En effet, « un client peut demander à tout moment la suppression de ses données personnelles des serveurs de l’entreprise ». Ce point, qui a reçu un fort écho médiatique, est appelé « droit à l’oubli ».
     
  • La portabilité : le responsable de traitement d’une entreprise doit, sur demande du client, fournir les données personnelles au client. Le client peut également demander le transfert de ses données d’un responsable de traitement d’une entreprise à un autre si cela est techniquement réalisable. « A l’inverse, la revente des données entre responsables de traitement sans le consentement du client est interdite », prévient Gérard Haas.
     
  • Privacy by design (ou protection des données dès la conception) : le règlement prévoit que, dès la conception d’un traitement, les conséquences que pourraient avoir le traitement de ces données sur les libertés fondamentales doivent être prises en compte. « Autrement dit, l’entreprise doit déjà avoir anticipé ces problèmes lors de la conception de son système d’information ».
     
  • S’il y a des failles de sécurité, qui vont de l’intrusion à la suppression de données, une déclaration de notification doit être faite auprès de la CNIL dans les 72 heures. Tout responsable de traitement doit au préalable avoir réalisé une étude d’impact et cartographié les risques. Ce sera la preuve qu’il a bien pris les dispositions nécessaires dès la conception du SI.
     
  • Chaque éditeur sera obligé de tenir un registre des réclamations des clients.

Dans le contexte du cloud computing, notons que ces obligations s’imposent aux entreprises, pour le bénéfice du consommateur, et lient l’ensemble des acteurs à l’origine de ces transactions commerciales, dans une chaîne complexe et solidaire. L’éditeur ne peut, en effet, se défausser, tout comme l’hébergeur qui doit prendre ses responsabilités.

Quelles seront les sanctions en cas de non-respect de ces règles ?

« Les sanctions seront plus lourdes qu’aujourd’hui », prévient Gérard Haas. « Le non-respect du « privacy by design » peut entraîner une amende qui va jusqu’à 10 millions d’euros, ou 2 % du chiffre d’affaires mondial de l’entreprise, et le non-respect des obligations sur les personnes concernées va jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial ». L’objectif de ces sanctions est de pouvoir sanctionner efficacement les grands acteurs de l’internet (les GAFAM) : « ils ne respectent pas les règles : cette règlementation ne va pas affaiblir les acteurs du cloud mais au contraire les renforcer parce qu’elle va leur mettre à disposition des moyens pour assurer la confiance, la transparence et la loyauté. A l’inverse, les GAFAM auront désormais des comptes à rendre, et encourront des risques de sanction » ajoute l’avocat parisien.

« La donnée est aujourd’hui politique », précise Gérard Haas, « il y a 250 millions d’individus européens, et notre enjeu est de trouver une place entre les Etats-Unis, la Chine et la Russie ». L’efficacité du GDPR sera alors informatique économique, et politique.

Pour aller plus loin

Découvrez nos solutions pour le cloud.

Le cloud expliqué à votre DSI

Bien préparer le GDPR

Yann Gourvennec

Je suis spécialiste en systèmes d'information, marketing de la highTech et Web marketing. Je suis auteur et contributeur de nombreux ouvrages et Directeur Général de Visionary Marketing. A ce titre,  je contribue régulièrement sur ce blog pour le compte d'Orange Business sur les sujets du cloud computing et du stockage dans le cloud.