Aller directement au contenu.

Utilisation des services en nuage

Services en nuage

De manière générale, les services en nuage (cloud services) s’appuient sur trois modèles:
 
  • Infrastructure as a Service (IaaS): utilisation, à partir d’un nuage, des composants d’une infrastructure de centre de calcul («composants matériels»). Exemples: puissance de calcul, espace de stockage, ressources réseau.
  • Platform as a Service (PaaS): utilisation, à partir d’un nuage, d’une ou de plusieurs plates-formes destinées aux environnements d’application. D’autres fonctions sont ajoutées à l’IaaS, notamment un environnement de développement et ses fonctions connexes. Cela peut aller jusqu’à la distribution du logiciel réalisé.
  • Software as a Service (SaaS): exécution et utilisation d’un logiciel sur une ressource réseau, en général sans qu’une installation locale ne soit nécessaire.
En fonction de la mise à disposition ou de l’accessibilité, on opère en outre une distinction entre un nuage «public», «communautaire», «hybride» ou «privé».
 
Dans chaque cas, l’utilisation des services en nuage s’accompagne d’une externalisation de l’infrastructure informatique, dont l’étendue et la pertinence dépendent des facteurs susmentionnés.

Cadre juridique pour l’utilisation des services en nuage

Législation sur la protection des données

Au regard du droit sur la protection des données, l’utilisation des services en nuage, à l’exception de celle d’un «nuage privé» exclusif du propriétaire des données, constitue une externalisation du traitement de données par un tiers. Par conséquent, les conditions correspondantes s’appliquent.

Traitement de données par un tiers
Réglementation contractuelle

Le transfert de la compétence de traitement des données à un tiers en vertu de la loi ou d’une convention fait partie des conditions. Dans la pratique, il est exécuté presque exclusivement au moyen d’un contrat. L’organisme public cédant est ainsi en mesure d’assumer sa responsabilité pour le traitement des données, car il continue d’en répondre malgré l’externalisation auprès d’un tiers. Cet organisme doit en particulier garantir et s’assurer que:
 
  • les données sont traitées uniquement selon le but prévu;
  • les exigences qui lui sont applicables en matière de sécurité des données sont respectées; et
  • ces dispositions peuvent également être vérifiées et imposées auprès d’éventuels sous-traitants.
Certains cantons ont des conditions générales (CG) qui doivent faire partie intégrante de ces contrats lorsqu’ils sont conclus.
Externalisation à l’étranger

Aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence d’une législation assurant un niveau de protection adéquat dans le pays hôte.
 
Le préposé fédéral à la protection des données et à la transparence (PFPDT) tient une liste de pays qui, selon son évaluation, disposent d’un niveau approprié de protection des données. Cette liste comprend notamment les États membres de l’Union européenne (UE) et de l’Espace économique européen (EEE).
 
Depuis le 12 avril 2017, les entreprises américaines ont également la possibilité de se faire certifier, auquel cas la Suisse les assimile à des États ayant un niveau suffisant de protection des données. Il convient cependant de préciser qu’en vertu du «CLOUD Act» signé le 23 mars 2018 par le Président des États-Unis, qui complète le précédent «Stored Communications Act» (SCA), les entreprises américaines sont tenues d’accorder un accès aux données aux autorités américaines, indépendamment du lieu de stockage de ces données.

Autres réglementations

En plus de la législation sur la protection des données, il faut tenir compte des réglementations légales suivantes lors de l’utilisation des services en nuage, car elles comportent des directives et des restrictions concernant l’externalisation de systèmes informatiques:
 
  • législation sur l’utilisation des moyens informatiques et la sécurité de l’information;
  • éventuelles dispositions générales sur l’externalisation de prestations informatiques;
  • éventuelles dispositions spécifiques à un domaine sur l’externalisation de prestations informatiques (p. ex. dans le droit du personnel ou le droit de la santé);
  • réglementations éventuelles sur l’obligation de garder le secret.

Procédure de déclaration, de contrôle et d’approbation

Selon le canton, il faut vérifier s’il existe une procédure de contrôle ou d’approbation pour l’externalisation de prestations informatiques ou le traitement de données personnelles (p. ex. TG, LU, BE, ZH, VS).
 
Par ailleurs, le droit de nombreux cantons prévoit une procédure de contrôle préalable. Il impose souvent une obligation d’approbation ou d’information lorsque la protection des données est assurée grâce à des garanties particulières en cas de transmission de données personnelles à l’étranger.