Print Friendly, PDF & Email

Le SPF Economie belge (responsable du droit d’auteur) vient de rendre public une étude réalisée par Unisys Corporation à sa demande (« Le cloud computing: une opportunité pour l’économie en Belgique »).

Ce rapport présente les différentes facettes du cloud computing tel qu’on le conçoit actuellement. Il analyse aussi brièvement les risques que comportent le fait pour une entreprise de passer au cloud. Mais le plus intéressant pour nous est qu’il étudie aussi le cadre juridique du cloud computing en Belgique et en Europe.

Il termine en formulant des recommandations à l’égard du gouvernement belge. Nous verrons que nous ne sommes pas tout à fait d’accord avec certaines des recommandations formulées.

Le rapport est disponible à cette adresse.

Je vous avais déjà brièvement présenté les infrastructures liées au cloud computing dans un précédent billet. Je vous conseille de le parcourir à nouveau avant de vous plonger dans la lecture de ce rapport somme toute assez court (100 pages et bien écrit même si clairement avec un objectif derrière la tête…).

Des premières parties assez convenues

Le rapport commence, dans ses 4 premières parties, par: présenter ce que l’on entend par cloud computing, ses caractéristiques, ses avantages et ses inconvénients, ses aspects économiques et écologiques, les différents métiers liés au cloud, ses opportunités et ses risques (principalement liés à la divulgation de données non autorisées), une bonne gestion des risques liés à l’utilisation par les entreprises du cloud, le marché du cloud en Europe et en Belgique ainsi que les freins au développement du cloud et l’analyse des trois scénarios économiques possibles (un scénario pessimiste lié à un ralentissement de l’utilisation du cloud, un scénario linéaire et un scénario optimiste ou interventionniste).

Une étude transversale du cadre juridique belge…

L’étude du cadre juridique actuel et futur constitue la gros morceau du rapport.

Le rapport analyse la situation belge tout d’abord avant de se consacrer aux projets de réglementations européennes qui pourraient concerner le cloud.

Il commence par rappeler qu’à l’heure actuelle « il n’y a pas de dispositions réglementaires particulières relatives au cloud. ». Il faut donc partir des dispositions qui s’appliquent à ce qui touche la société de l’information en générale.

En matière de protection de données à caractère personnelle et de cloud, c’est le client du fournisseur cloud qui est le contrôleur de ses données, c’est-à-dire en Belgique le « Responsable du traitement ». Le fournisseur lui est considéré comme un simple « sous-traitant ». C’est donc le client du cloud qui est responsable de la protection des données.

Toutefois, vu l’importance des fournisseurs cloud en Belgique, ils ne sont pas dépourvus de toute responsabilité contractuelle. De plus, indépendamment de tout contrat, le fournisseur cloud est tenu légalement par une interdiction de faire quelque traitement que ce soit par rapport aux données personnelles sans avoir reçu pour cela instruction de son client (sauf en cas d’obligation légale) et par une obligation de conservation des données.

Toute donnée (personnelle ou non) peut faire l’objet de transferts à travers l’Union européenne. Lorsque les transferts concernent des données personnelles, un régime particulier est mis en place.

Les données peuvent circuler à travers toute l’Union européenne. Elles ne peuvent circuler vers des pays tiers que si ce pays a un niveau de protection adéquat. La commission européenne publie la liste de ces pays sur son site.

En cas de litige judiciaire, il faudra déterminer la loi qui devra régler la procédure. La loi applicable en matière de protection de données personnelles sera généralement (mais pas toujours) la loi belge. Si le litige concerne les mesures de confidentialité et de sécurité, la loi applicable sera celle de l’Etat membre où le fournisseur cloud est établi. Néanmoins, il est exigé que les garanties offertes par la loi belge doivent se retrouver dans tous les cas dans le contrat qui lie le client au fournisseur cloud afin de pouvoir appliquer les dispositions belges relatives à la sécurité des données à caractère personnelles à toutes les situations (= notamment au cas où une autre loi moins exigeante que la loi belge serait applicable si le fournisseur est établi ailleurs qu’en Belgique).

Pour certaines activités liées au cloud computing, on pourrait avoir à appliquer les dispositions belges issues de la transposition de la directive commerce électronique de 2000 afin de déterminer dans quelles circonstances il n’est plus simple hébergeur mais éditeur.

Un hébergeur n’est pas responsable des informations stockées à la demande de son client mais uniquement sous certaines conditions: quand il ne peut avoir une connaissance effective de l’activité ou de l’information illicite ou même de circonstances pouvant faire apparaître le caractère illicite de l’activité ou de l’information. Le rapport poursuit en disant que la connaissance pourrait être facile à affirmer pour les fournisseurs qui ont organisé un service d’application (SaaS) spécifiquement destiné au partage, à l’échange et à la distribution de films ou de musique. De même, si d’une manière ou d’une autre, le fournisseur-hébergeur a participé à la diffusion de l’information, il ne pourra s’exonérer.

Il doit agir promptement dès le moment où il a une telle connaissance, pour retirer les informations ou rendre l’accès à celles-ci impossible. Il doit informer immédiatement le procureur du roi. Cela ne transforme pas le fournisseur du cloud en «policier», car il n’a pas d’obligation générale de «
surveillance active» ni de «prévention des infractions» mais il doit bien agir «sur-le-champ», c’est-à-dire dès qu’il a eu connaissance des faits.

Je ne reviens pas sur ce point que je vous avais présenté à l’époque ici.

… et des projets européens en la matière

La Commission européenne a déposé, début 2012, une proposition pour un règlement général sur la protection des données personnelles. La Commission n’a pas voulu se limiter à un simple toilettage des textes existants mais a voulu harmoniser le cadre légal, renforcer les droits des personnes concernées ainsi que rendre le respect de la réglementation plus effectif.

La commission entend faire en sorte que les règles européennes aient une application extraterritoriale (dès que tout opérateur dirigerait ses activités de traitement vers l’Union européenne même lorsque l’opérateur ne dispose pas d’établissement dans l’Union ou de moyens localisés sur le territoire d’un Etat membre). Autre point à retenir des règles qui sont maintenant en discussion: la nomination d’un « agent qualifié responsable des données personnelles » dans les entreprises de plus de 250 travailleurs.

L’étude d’Unisys mentionne brièvement la problématique de la copie privée en renvoyant vers les (à l’époque futures) conclusions du rapport Vitorino (conclusions que nous avions il y a quelques mois vivement rejetées).

Elle propose aussi de mettre en place des conditions de contrats sûrs et justes (des best practices) dans le but d’offrir plus de protection pour les consommateurs finaux du cloud qui n’ont souvent devant les yeux que des contrats « à prendre ou à laisser ».

En matière de commerce électronique, la Commission entend analyser les différentes procédures nationales de notice and action afin de les harmoniser et de les coordonner.

Sur un plan plus technique, la Commission a l’intention d’introduire des normes européennes relatives au cloud computing ainsi que de créer une liste des fournisseurs cloud fiables (certification).

Conclusion

L’étude d’Unisys est une très bonne étude pour qui veut aborder sur un plan transversale la problématique du cloud.

Elle est écrite dans le but de conseiller le gouvernement sur cette matière toujours en mouvement.

Unisys conseille au gouvernement de s’inscrire dans les différents projets européens en la matière plutôt que de faire cavalier seul. C’est évident en matière de protection des données personnelles mais ce l’est moins par exemple quand cela concerne les copies privées où là aussi Unisys propose d’attendre les solutions européennes et de ne surtout pas les devancer. Je ne vois pas pourquoi le législateur belge ne pourrait pas nettoyer son exception pour copie privée dans le but de la mettre en concordance avec les textes européens et avec la technologie actuelle dans le but de permettre l’application de l’exception aussi quand les copies sont réalisées pour le cercle familial mais stockées en-dehors de l’espace physique familial.

Il y a là d’ailleurs urgence à agir.