La Commission de contrôle flamande pour le traitement des données à caractère personnel (VTC) s’est exprimée dans un nouvel avis sur l’utilisation des applications bureautiques dans un modèle de cloud public. La commission s’appuie ainsi sur l’un de ses avis antérieurs : le cloud public ne doit, en principe, pas être utilisé pour le traitement des dossiers, mais plutôt comme une application bureautique générale. L’avis est applicable à toutes les applications bureautiques générales dans un modèle de cloud.
La VTC a précédemment déjà indiqué dans un avis (VTC/A/2020/05) que ce n’était pas une bonne idée de stocker les données des étudiants flamands pendant une longue période et à grande échelle sur les serveurs d’Amazon (fournisseur de cloud non européen). Cela serait contraire à la législation européenne en matière de protection de la vie privée. Seules les données sensibles qui ne faisaient pas l’objet d’un traitement à grande échelle et qui étaient temporaires, pouvaient encore être tolérées.
Dans son nouvel avis (VTC/A/2021/12), la VTC applique le principe de territorialité aux applications bureautiques dans le cadre desquelles des données sont traitées dans le cloud public. Le problème qui se pose à cet égard est qu’un fournisseur de services de cloud est généralement non européen, indépendamment de l’emplacement des données choisi. Cela signifie que la conformité aux exigences européennes en matière de protection des données ne peut être garantie.
Une conséquence de cette situation pourrait être, selon la VTC, que « la législation applicable au fournisseur, comme celle des États-Unis, par exemple, permettrait aux pouvoirs publics de réclamer massivement les données gérées par ces fournisseurs de cloud, même si les serveurs ne sont pas situés aux États-Unis ».
Lignes directrices pour le cloud public
Dans son avis, la VTC fournit quelques lignes directrices devant servir de point de repère aux administrations et aux organisations. Elle indique ainsi par exemple qu’il faut d’abord examiner pour quels traitements l’utilisation d’une application de cloud public est ou n’est pas acceptable. Si elle est acceptable, il convient de vérifier quelles mesures peuvent être prises pour protéger davantage le traitement des données à caractère personnel.
Pour la gestion structurelle de dossiers contenant des données à caractère personnel, le cloud public n’est en principe pas acceptable. Il en va de même pour le partage ou l’échange de données à caractère personnel sensibles (par exemple, le statut vaccinal), ainsi que pour l’utilisation du cloud pour la participation citoyenne, comme les dossiers partagés dans le cloud.
L’utilisation du cloud public serait alors en principe possible pour l’échange de projets de document ne contenant pas d’informations confidentielles et pour l’exécution de tâches pratiques. La VTC pense par exemple au fait de collaborer à un plan de gestion. Des données à caractère personnel peuvent à cet égard être échangées de manière occasionnelle, comme le nom ou l’adresse électronique d’un collègue ou des informations limitées sur le collaborateur.
Quoi qu’il en soit, les lignes directrices ci-dessus ne sont qu’indicatives. Au moment de décider si une application de cloud peut ou non être utilisée, il importe de toujours effectuer une analyse des risques conformément au RGPD. L’avis du délégué à la protection des données/DPO est toujours requis à cet égard. La structure des données à caractère personnel, l’échelle du traitement et la sensibilité des informations sont des critères avancés par la VTC. Ils servent à déterminer si les informations peuvent ou non être traitées dans le cloud public.
Si le traitement dans le cloud public a quand même lieu, la VTC a également fourni des conseils et des exigences minimales à cet effet. Il s’agit notamment de la conclusion obligatoire d’un contrat de sous-traitance avec le fournisseur de cloud ou du traitement des données uniquement dans des serveurs situés en Europe.
Conclusion : applications bureautiques dans le cloud hors UE uniquement en tant qu’applications bureautiques générales
En bref, le cloud public ne peut être utilisé que comme une application bureautique générale et non pour le traitement des dossiers. La VTC laisse aux administrations le choix d’opérer eux-mêmes une pondération. Cela concerne à la fois le choix des prestataires de services et l’utilisation correcte des services. La responsabilité finale incombe donc aux administrations, qui ont tout intérêt à toujours rechercher des solutions alternatives.