Pour sa deuxième édition, Legimag, le magazine du droit au Luxembourg, offre un avis éclairé sur la réforme de la protection des données.

Legimag, une vision panoramique du droit

Trimestriel de 60 pages, ce magazine « écrit pour des juristes, par des juristes » propose une large revue du spectre judiciaire et du droit au Luxembourg. Traitant de sujets juridiques, Legimag allie légèreté et sérieux, couvrant l’actualité au travers de débats de fond et d’analyses tout en gardant les valeurs des professions juridiques, c’est-à-dire la compétence et l’indépendance, le respect du droit et du principe d’égalité qui le fonde. Ainsi Legimag s’organise en trois temps forts, le « Positionnement » (l’éditorial, les nouvelles publications juridiques et fiscales, l’interview du mag, juriste et geek, et, pour finir l’invité du mag), « l’Expertise » (qui aborde de grands domaines du droit — place financière, fiscalité, droit des sociétés, droit social, droit public — avant de revenir sur un procès important) et « le Mag » qui est consacré à des sujets plus légers, mais toujours avec le même esprit de rigueur que l’ensemble du magazine.

Réforme de la protection des données : quels impacts sur le cloud ?

( article extrait du Legimag N°2 | Janvier-Mars 2013 | Droit des sociétés | Catherine Leroy)

Fin janvier, la Commission européenne a présenté un projet de règlement réformant la protection des données à caractère personnel. L’objectif de ce projet est d’adapter le cadre juridique dans ce domaine pour permettre le développement de l’économie numérique notamment.

Personne ne conteste l’utilité ni même l’urgence de réformer le droit de la protection des données. La législation est en effet quasi inchangée depuis qu’elle a été adoptée en 1995. On en était alors aux premiers balbutiements d’internet. Dix-sept ans plus tard, le cloud computing est un élément clé pour de nombreuses entreprises. Un dépoussiérage s’impose.

Le cloud computing, ou informatique en nuage, peut être défini comme un « modèle permettant d’accéder aisément et à la demande, par le réseau, à des ressources informatiques configurables mutualisées qui peuvent être rapidement mobilisées et libérées avec un minimum d’effort ou d’intervention d’un prestataire de services »[1]. Autrement dit, il permet le stockage, le traitement et l’utilisation de données contenues dans des ordinateurs distants et auxquelles on accède par internet.

Une adaptation nécessaire de la règlementation

Mme Neelie Kroes, vice présidente de la Commission européenne en charge de la société numérique a déclaré le 27 septembre 2012 : « L’informatique en nuage peut changer la donne de notre économie. Nous devons travailler de front à réduire les risques perçus de l’informatique en nuage ».

Et cela inclut la question de la protection des données à caractère personnel dans le cloud. L’objectif de la Commission s’affiche clairement : le projet de règlement se veut « technology savy » et « cloud aware ». M. Gérard Lommel, président de la Commission nationale pour la protection des données (CNPD) exprime sa satisfaction et constate que la réforme présentée marque un progrès significatif pour la protection de la vie privée des citoyens, consommateurs et utilisateurs d’internet : « le règlement est un important pas en avant même si certains détails sont trop rigides ». Il salue « la démarche moderne plus soucieuse de simplification administrative qui met d’avantage l’accent sur la responsabilité des acteurs. Ce projet revient à assurer la protection des données en tenant compte des bouleversements technologiques, de la globalisation et de l’intensification des traitements telles qu’elles se sont installées réellement et effectivement dans notre quotidien ».

Mais est-il possible d’offrir un cadre européen solide, clair et uniforme à la protection des données dans le cloud ?

Pour M. Lommel « c’est un véritable challenge ! ». Me Vincent Wellens, Head of IP/ICT & Commercial chez NautaDutilh, relève que « plus on parle du cloud, plus on parle des règles qui l’entourent, ce qui entraine une sensibilisation des entreprises ».

Le groupe de travail G29, organe consultatif européen indépendant, met en garde contre les risques engendrés par le cloud. Certes, cette technologie à la disposition des entreprises procure des avantages économiques et pratiques, elle n’en recèle pas moins des lacunes au regard de la protection des données. Il recommande ainsi aux entreprises de faire une analyse de risques avant d’adopter un service de cloud.

Le Luxembourg, avec ses structures d’accueil, ses opportunités de financement et d’optimisation des dépenses, représente une destination de choix pour les entreprises voulant doper leur croissance. Me Wellens relève ainsi que « le secteur financier devrait être prêt rapidement pour mettre en œuvre cette nouvelle règlementation. En effet, les banques et les PSF de support IT doivent déjà appliquer une abondante règlementation financière, laquelle couvre déjà plusieurs obligations similaires à celles qui seront instaurées, voire précisées par le projet de règlement (l’information aux clients, la problématique de la sous-traitance, la traçabilité des données, etc.) ».

Il a d’ailleurs constaté une nouvelle tendance, du moins dans sa pratique : « de plus en plus de banques établies à l’étranger ont recours à des supports IT établis au Luxembourg.  Reste à savoir si le principe de la double ceinture est la bonne technique à appliquer. Il serait intéressant de voir si des synergies sont possibles afin que le fardeau administratif reste gérable pour le secteur financier. À l’heure actuelle de nombreuses discussions sur la cohérence entre la règlementation bancaire et le projet de règlement sont en cours, notamment au regard du blanchiment d’argent. Le monde bancaire fait face ici à un véritable défi ».

La consultation publique organisée par le Ministre des communications et des médias, M. François Biltgen, met en avant que ce projet pourrait constituer un frein au développement du cloud.

Un sous-traitant responsable

L’ambition d’encadrer les règles applicables pour mieux dynamiser le secteur est méritoire, mais difficile à mettre en œuvre dans le cadre des données personnelles, sujet sensible s’il en est. M. Lommel note que « le projet de règlement comporte trois fois plus d’articles que la directive qu’il remplace. La volonté de s’appuyer sur la prise en compte des bonnes pratiques nécessaires par les acteurs eux-mêmes et sur le renforcement des moyens de contrôle à disposition des personnes concernées et des autorités de supervision telle qu’elle est perçue dans les considérants ne se retrouve pas toujours dans les articles. Il serait bon de s’attarder sur l’objectif à atteindre plutôt que de prescrire de façon trop détaillée les moyens pour y parvenir. La mise en place d’obligations formelles purement administratives était nécessaire et bénéfique au début de la règlementation de la protection des données. Aujourd’hui à l’époque de la “privacy by design”, des délégués à la protection des données propres aux organismes publics et entreprises, et de l’”accountability”, une telle approche n’est plus adaptée ».

La privacy by design, ou protection intégrée de la vie privée, part en effet du principe que le cadre légal en matière de protection des données n’est pas suffisant. Elle vise donc à intégrer le respect de la vie privée dans la conception et le fonctionnement des systèmes et réseaux informatiques. L’élaboration de pratiques responsables devient ainsi la clé de la protection des données.

Ce constat est partagé par les professionnels. Me Wellens constate que « plusieurs nouvelles obligations introduites pour les entreprises ne sont pas suffisamment claire en l’état. Il y a de bonnes initiatives mais des lacunes au niveau des définitions pour les adapter à l’environnement technologique restent. Faute de clarification de certaines définitions et obligations, il y a un risque que les divergences dans les pratiques des autorités nationales persisteront, ce qui sous-mine d’une plus grande harmonisation de la protection des données, idée pourtant sous-jacente de ce projet ».

Me Wellens avertit : « Ce qui va sans doute poser problème, c’est que le cadre règlementaire sera plus prescriptif en matière de droit des contrats. Le nouveau règlement énumère plusieurs éléments à inclure dans des contrats de sous-traitance impliquant un traitement de données personnelles (autorisation d’une sous-traitance en cascade, etc.). Cela résultera probablement dans une renégociation d’une partie des contrats IT déjà en place. À l’heure actuelle, les offres dans le domaine du cloud computing sont souvent standardisées, et le nouveau règlement va requérir plus de flexibilité de la part des fournisseurs. Au niveau contractuel, il faudra veiller à mieux définir les rôles et les responsabilités de chacun ».

Le projet maintient pourtant l’approche classique des notions de « responsable du traitement » et de « sous-traitant ». Pourtant, les fournisseurs de cloud entrent difficilement dans l’une ou l’autre de ces catégories. Ils offrent en effet soit l’infrastructure informatique sur laquelle les données seront stockées (IaaS : Infrastructure as a Service) soit les outils de programmation de langage pour des applications (PaaS : Platform as a Service).

En général, ils n’ont pas de contrôle sur les données elles-mêmes, et ne devraient donc pas être considérés comme des « responsables du traitement ». Comme ils se contentent de fournir de l’espace à leurs clients, la qualification de « sous-traitant », c’est-à-dire la personne « qui traite des données à caractère personnel pour le compte du responsable du traitement » n’est dès lors pas non plus adaptée.

Une telle qualification n’est pas cosmétique, loin de là. L’article 77 du projet instaure une responsabilité civile solidaire entre le responsable du traitement et le sous-traitant. L’exonération de la responsabilité de ce dernier ne pourra être obtenue que s’il prouve que les faits dommageables ne lui sont pas imputables. Cette disposition est considérée comme « raisonnable et équitable » par le Contrôleur européen de la protection des données. M. Lommel exprime sa forte conviction que « la sensibilisation du public ainsi que la responsabilisation des acteurs  constituent les axes les plus prometteurs une meilleure protection des données ».

Pourtant, une telle disposition renverse la charge de la preuve au désavantage du sous-traitant. Cela est d’autant plus léonin qu’il agit selon les instructions du responsable du traitement, sous peine de devenir coresponsable lui-même.

Me Wellens analyse : « le projet de règlement est schizophrène à ce sujet. Le sous-traitant agit au nom et pour le compte du responsable du traitement et est donc un acteur “passif” au regard de la définition qui en est donné, mais le projet attribue au même sous-traitant un rôle plus “actif” au regard de la mise en œuvre des solutions de protection des données ».

Il ajoute : « le grand changement de paradigme que le projet de règlement implique est la responsabilisation du sous-traitant. Ce qui rend plus flou les limites du rôle du responsable du traitement et de sous-traitant, notamment avec le nouveau principe de la coresponsabilité sur le plan civil et du renversement de la charge de la preuve en cas de violation des dispositions du projet. Il est donc dans l’intérêt du sous-traitant de bien définir son rôle dans le contrat pour qu’il puisse démontrer qu’une éventuelle faute ou violation ne lui est pas imputable. L’enjeu est immense pour les fournisseurs IT ».

Un projet pusillanime inadapté au cloud

Le projet modifie la définition de « donnée à caractère personnel », mais cette révision n’est pas suffisante pour permettre une application sereine du règlement. Il énonce qu’une personne est « identifiable » lorsque des « moyens raisonnablement susceptibles d’être utilisés » sont déployés. Cette précision était appelée à la fois par le G29 et la CNPD.

Le texte du projet s’arrête pourtant là, et ne profite pas de cette opportunité pour prendre position quant aux données anonymisées ou pseudonymisées. La CNPD souhaite « ne pas exempter de toutes obligations les traitements opérés sur des données qui ont fait l’objet d’une anonymisation partielle ou réversible, car cela est cohérent avec la logique juridique de protection aussi longtemps que des individus pourraient être identifiés ».

M. Lommel souhaite l’introduction d’incitatifs sous forme d’un allègement substantiel des obligations pour les entreprises, chercheurs et acteurs publics et privé limitant -du moins pour l’essentiel- leur utilisation à des données codées, pseudonimisées ou anonymisés même imparfaitement en contrepartie de la réduction des risques pour les personnes concernées ainsi obtenue.  Il estime qu’« il faudrait également des exemptions pour les traitements usuels, qui sont maitrisés et qui ne présentent pas de risques particuliers ».

Ce manque de précision et d’adaptation au contexte technologique actuel pourrait entrainer des différences d’interprétation entre les Etats membres. Tant les consommateurs que les entreprises traitant des données cryptées pourraient en subir les conséquences.

Me Wellens note que « le principal problème du règlement est qu’il se base sur une approche “one-size-fits-all”, alors que le domaine du cloud computing est un domaine particulier. Il y a une confusion entre neutralité technologique et la volonté d’obtenir un cadre horizontal englobant le cloud. Pour obtenir une règlementation spécialisée adaptée, il faudrait travailler dans le même sens que la directive sur le commerce électronique[2] qui règle plusieurs aspect du commerce électronique tout en utilisant des notions qui respectent le principe de la neutralité technologique ».

Afin de respecter ce principe, il aurait été judicieux de rattacher le terme « identifiable » uniquement dans le chef du responsable du traitement. Les sous-traitants n’auraient donc pas à mettre en œuvre toutes les lourdes obligations prévues par ce nouveau règlement. Car celles-ci ont fortement augmentées, notamment en ce qui concerne la documentation des traitements effectués.

Pour M. Lommel, « un rôle plus important aurait du être laissé aux acteurs institutionnels et aux entreprises. Dans la mesure où les sanctions mises en place seront lourdes, ces derniers devraient avoir plus de flexibilité dans l’exécution de leurs obligations ». Il met cependant « tout [s]on espoir dans le potentiel d’amélioration de ce projet. Il était nécessaire mais les vrais progrès de la protection des données ne peuvent se réaliser qu’avec le dialogue entre les acteurs et les autorités de protection des données qui devront être davantage actives sur le terrain sous forme de guidance et de contrôles ».

Ce projet, dont le vote au parlement est prévu en avril 2013, ne satisfait pas en l’état. L’avancée apportée aux droits des particuliers (transparence, accès aux données, droit à l’oubli) et de leurs possibilités de recours (actions collectives) s’est semble-t-il faite au détriment des professionnels. Leurs obligations ainsi que leur responsabilité se sont considérablement accrues, au point de mettre en péril l’objectif affiché de stimuler la croissance et la compétitivité des entreprises.