01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Cloud : Déplacement et localisation physique des données à caractère personnel hors d’Europe

Logo HAAS 2022

De plus en plus d’européens se déplacent en dehors de l’Union Européenne et consultent leurs données sur le « cloud ». Ce dernier offre aux entreprises la possibilité de se libérer des contraintes techniques du stockage et une capacité de stockage bien plus grande.
Ce nuage qui est accessible de presque n’importe quel endroit de la planète a néanmoins une adresse (le data center) mais celle-ci est la plupart du temps inconnue de son utilisateur.  
Afin de poser un garde-fou aux risques liés à la non maîtrise du lieu de stockage des données, les députés européens ont voté au mois de mars 2014 à une très large majorité un projet de règlement introduisant des garanties plus solides pour les données à caractère personnel des citoyens européens transférées vers des pays non européens.
Ces nouvelles dispositions confèrent aux citoyens européens davantage de contrôle sur leurs données personnelles et elles permettent aux entreprises de travailler plus facilement au-delà des frontières, en assurant une harmonisation des règles à l’ensemble des États membres de l’Union Européenne.
 
La localisation de données pour une meilleure protection de ces dernières
La législation européenne sur la protection des données datait d’une directive de 1995 (95/46/CE), c’est-à-dire aux balbutiements d’Internet et bien avant la création du « cloud ». Une mise à jour s’est avérée urgente afin de répondre aux avancées réalisées dans les technologies de l’information, à la mondialisation ainsi qu’au recours croissant aux données à caractère personnel dans de nombreux domaines y compris à des fins répressives.
Il y avait urgence à refondre les textes européens mais les nouveaux ne sont pas encore sortis que d’autres nouveautés technologiques et les pratiques des échanges planétaires sur le « cloud » les rendent déjà en partie obsolètes.
La question de la résidence d’une donnée à caractère personnel, lorsque plusieurs intervenants sont présents, se pose afin de déterminer le lieu où doit se situer sa protection notamment hors d’Europe ?
En effet, une entreprise située en Europe peut mettre ses données sur un « cloud » d’une société d’un autre pays qui elle-même peut les héberger physiquement dans un data center situé à l’autre bout de la planète.
La localisation des données est donc multiple et les utilisateurs doivent en être informés.
Afin d’obtenir la confiance des entreprises et des administrations, il est devenu courant que le data center garantisse une implantation nationale ou européenne mais cela n’est pas toujours le cas.
 
Une réglementation sur les transferts de données aux pays tiers pour 2015
C’est dans ce contexte de manque de confiance et de suspicion et afin de mieux protéger les citoyens européens contre des activités de surveillance massive, telles que celles révélées par l’affaire Snowden ou de vols et piratages de données, que les parlementaires européens ont établi de nouvelles dispositions.
Avant de communiquer des données personnelles de citoyens européens vers un pays tiers, toute entreprise située en Europe (moteur de recherche, réseau social ou fournisseur de services « cloud ») sera tenue de demander une autorisation préalable à une autorité nationale de protection des données dans l’Union Européenne.
Les collectivités territoriales et les différentes administrations y voient des difficultés de gestion et de suivi auxquelles elles ne pensent pas être en capacité de répondre contrairement aux entreprises privées… Avec la Loi de 1978, dite Informatique et Libertés, la France est un cas à part en Europe et dispose d’une avancée certaine dans le domaine de la protection des données à caractère personnel.
De plus, ces mêmes entreprises et administrations devront informer la personne concernée de cette démarche.
En cas non-respect de ces règles, des amendes allant jusqu’à 100 millions d’euros ou équivalant à 5% de leur chiffre d’affaires annuel mondial, pourraient être infligées aux entreprises (Article 79, amendement 188).
Le contenu de ce règlement prévoit afin de mieux protéger les données sur le « cloud »:
–          Le droit à l’effacement des données (droit à l’oubli) ;
–          Des limites au « profilage » (analyse ou prédiction des performances professionnelles d’une personne, sa situation économique, sa localisation, etc.) ;
–          L’obligation d’utiliser un langage clair et simple pour expliquer les politiques sur le droit à la vie privée.
–          L’obligation d’obtenir par le fournisseur de services Internet le consentement libre, informé et explicite de la personne dont il souhaite traiter les données à caractère personnel.
 
Pour des raisons de coût de mise en place, ces textes du Parlement Européen se heurtent à l’heure actuelle aux réticences des Etats européens (Conseil de l’Europe) et de la Commission Européenne. Un vote définitif devrait néanmoins intervenir dans le courant de l’année 2015.

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com