Analyse juridique | 13/02/2015

« Cloud computing » et marchés publics : garantir la confidentialité

par Auteur associé © Flickr-CC-C.Potter

L’« informatique en nuage » ou « cloud computing » permet à la personne publique de s’affranchir des contraintes liées à une infrastructure informatique complexe, et aux services publics de gagner en efficacité. Son utilisation pose cependant des questions sur la sécurité et sur la gestion des données transmises et stockées dans le cloud, qui est l’origine des normes mises en place depuis trois ans, fort utiles aux acheteurs publics.

Une analyse juridique de Nicolas Nahmias et Emmanuelle Bénoit, avocats à la cour, cabinet AdDen avocats

Le « cloud computing » ou « informatique en nuage » désigne le stockage de données (telles que des fichiers de texte, des images et des vidéos) et de logiciels, auxquels les utilisateurs accèdent par internet en utilisant l’appareil de leur choix.

Selon la Commission nationale de l’informatique et des libertés (Cnil), il s’agit de la forme la plus évoluée d’externalisation, dans laquelle le client ou l’utilisateur dispose d’un service en ligne dont l’administration et la gestion opérationnelle sont effectuées par un sous-traitant (entendu comme celui qui traite les informations personnelles pour le compte du responsable de traitement, selon ses instructions). Ce type de services permet à la personne publique de s’affranchir des contraintes liées à une infrastructure informatique complexe (il suffit de disposer d’un ordinateur, d’une tablette ou d’un smartphone connecté à internet) et aux services publics de gagner en efficacité.

Le recours au cloud pose néanmoins d’assez nombreuses questions auxquelles les personnes publiques doivent impérativement être attentives : la sécurité des données transmises et stockées dans le cloud est-elle assurée ? Le choix du modèle économique de certains prestataires est-il compatible avec le fait que les personnes publiques gèrent des données sensibles, personnelles et d’intérêt général ? Ces problématiques et d’autres sont à l’origine d’une nouvelle norme qui peut s’avérer fort utile aux acheteurs publics.

 

I. La normalisation du cloud computing

Le cadre réglementaire. La directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données constitue aujourd’hui le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l’Union européenne (UE) (1). En France, c’est la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qui constitue le fondement de la protection des données personnelles. Elle a notamment été modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, qui a transposé la directive de 1995.

Il existe également plusieurs normes internationales en matière de sécurité de l’information, et notamment la norme certifiante ISO/CEI 27001 Management de la sécurité de l’information et la norme ISO/CEI 27002 Technologies de l’information/Techniques de sécurité/Code de bonne pratique pour le management de la sécurité de l’information.