Cloud et règlementation
Les fournisseurs de service de cloud ne sont soumis à aucune législation spéciale, sauf si ils sont hébergeurs de données de santé !
Les entreprises utilisatrices de services « Cloud » doivent elles s’ assurer de la localisation physique des données qu’ elles hébergent dans le nuage.
Seule la loi « Informatique et libertés », qui oblige à garantir la confidentialité et la sécurité des données à caractère personnel va donc exercer une contrainte sur les fournisseurs de « cloud » et leurs clients.
La CNIL permet 3 exceptions pour lesquelles le transfert des données en dehors du territoire français ou européen est admis.
On a ce qui est permis par le « Safe Harbor » (transfert de ‘l UE vers les USA), par les « Binding Corporate Rules (règle spéciale pour les multinationales dont certains sites sont en dehors de l’ Union Européenne) et par l’article 69 de la loi « Informatique et libertés » .
Ce dernier point (article 69 de la loi « Informatique et Libertés » est assez précis:
Toutefois, le responsable d’un traitement peut transférer des données à caractère personnel vers un Etat ne répondant pas aux conditions prévues à l’article 68 si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l’une des conditions suivantes :
1° A la sauvegarde de la vie de cette personne ;
2° A la sauvegarde de l’intérêt public ;
3° Au respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice ;
4° A la consultation, dans des conditions régulières, d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime ;
5° A l’exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ;
6° A la conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers.
Il peut également être fait exception à l’interdiction prévue à l’article 68, par décision de la Commission nationale de l’informatique et des libertés ou, s’il s’agit d’un traitement mentionné au I ou au II de l’article 26, par décret en Conseil d’Etat pris après avis motivé et publié de la commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet.
et couvre a priori touites les exceptions « raisonnables » qu’on pourrait trouver.
Malgré ce cadre, les fournisseurs de solutions de Cloud ne regardent pas les contraintes de la loi et se contentent , dans leurs contrats, de se débarasser de toute responsabilité avec des clauses d’ exclusion de garantie et de responsabilité en ce qui les concerne.
ce sont donc les entreprises utilisatrices qui auront des ennuis en cas de non respect de la loi.
Cela vaut particulièrement pour les données comptables et financières pusique des règles précises de l’administration fiscale (en cas de contrôle), obligent à tenir notamment à disposition une documentation sur l’architecture des systèmes et des flux de données.
De plus, le droit fiscal français n’autorise pas le dépôt des données comptables EN DEHORS DES FRONTIERES DE L’ UNION EUROPENNE !!!
De même, les entreprises sont les factures électroniques sont stockées hors de France et dans l’ Union Européenne doivent en faire la déclaration !
hébergement, législationVoir aussi:
Cloud • Informatique et loi