Arnaud Habran, chef du service Guidance au sein de la CNPD, et Alain Herrmann, chef du service Conformité au sein de la CNPD. (Photo: Maison Moderne)

Arnaud Habran, chef du service Guidance au sein de la CNPD, et Alain Herrmann, chef du service Conformité au sein de la CNPD. (Photo: Maison Moderne)

La généralisation du cloud et l’exploitation des données représentent d’importantes opportunités pour le business. Il faut toutefois pouvoir les concilier avec la protection du consommateur. Pour la CNPD (Commission nationale pour la protection des données), ces deux éléments ne sont pas antinomiques.

Les données, générées et traitées avec de plus en plus de facilité, sont devenues une ressource précieuse pour les organisations, qui cherchent à toujours mieux les exploiter afin de renforcer l’expérience offerte à leurs clients, anticiper leurs besoins, adapter la production de l’entreprise, affiner les procédures, etc. On peut toutefois oublier que cette explosion du volume de données, accélérée par l’usage élargi du cloud, représente un véritable défi pour les institutions chargées de veiller à la protection des données.

Au Luxembourg, c’est la CNPD (Commission nationale pour la protection des données) qui relève cette mission, principalement en veillant au respect du RGPD (règlement général sur la protection des données), entré en application le 25 mai 2018. «Il est clair que les nouvelles technologies – le cloud, mais aussi l’IoT, l’intelligence artificielle, etc. – ont fait augmenter le traitement des données ces dernières années», explique Arnaud Habran, chef du service Guidance au sein de la CNPD. «Cela offre des avantages, mais présente aussi des risques en matière de protection des données: failles de sécurité donnant lieu à des fuites de données, violation de la confidentialité, attaques informatiques, etc. On le voit au jour le jour, le nombre de demandes d’information, les réclamations, procédures d’audit, ou notifications de failles de sécurité sont en hausse.»

Garder le rythme de l’innovation

Pour une organisation comme la CNPD, l’enjeu est de parvenir à suivre le rythme très élevé auquel évoluent les technologies. «Tout va très vite, et il est évident qu’on ne peut pas avoir un expert dans tous les domaines», relève Alain Herrmann, chef du service Conformité au sein de la CNPD. «Dans notre mission de supervision, nous devons donc être nous-mêmes innovants pour conserver une bonne compréhension de chaque nouvelle technologie et des enjeux qu’elle soulève en matière de protection des données. Nous devons travailler de plus en plus en coopération avec des acteurs extérieurs à la CNPD, qui suivent de près ces évolutions.» Par ailleurs, depuis l’entrée en application du RGPD, qui offre un cadre légal harmonisé pour la protection des données dans l’ensemble de l’Union européenne, la CNPD a déjà doublé ses effectifs pour faire face à une masse de travail qui a, elle aussi, explosé.

Le texte du RGPD se veut assez neutre d’un point de vue technologique.
Arnaud Habran

Arnaud Habranchef du service GuidanceCNPD

Parmi les innovations largement adoptées au cours des dernières années, le cloud est certainement l’une des plus populaires. Pourtant, le RGPD ne l’évoque pas directement. «Le texte du RGPD se veut assez neutre d’un point de vue technologique», poursuit Arnaud Habran. «Il a été conçu pour pouvoir être valable durant de nombreuses années et ne décrit donc pas des technologies en particulier. Ceci étant dit, certains de ses principes généraux s’appliquent tout à fait au cloud. C’est le cas des articles qui concernent l’intégrité des données et la confidentialité, ou encore la sécurité du traitement. Les organisations qui recourent au cloud doivent nécessairement mettre en place des mesures de sécurité adaptées au risque, que ce soit au niveau technique ou opérationnel. Elles ont en outre l’obligation de notifier la CNPD en cas de faille de sécurité, si elle est susceptible d’engendrer un risque pour les individus.» Certaines obligations sont également définies dans le RGPD par rapport aux sous-traitants — en l’occurrence, le prestataire cloud. «Un contrat doit être signé entre les parties, qui explicite quelles sont les données couvertes, qui y a accès, quand les données sont supprimées, etc.», ajoute Arnaud Habran.

Il faut aussi noter que d’autres obligations s’ajoutent à celles définies dans le contrat de sous-traitant signé avec l’opérateur cloud, lorsque celui-ci est situé en dehors de l’Union européenne. «Une décision d’adéquation peut avoir été prise dans le cas où le pays tiers où est installé le prestataire dispose d’une loi proche du RGPD, offrant un niveau de protection équivalent. Si ce n’est pas le cas, des garanties appropriées, telles que des clauses contractuelles types, doivent également être signées pour obliger le prestataire à respecter certaines mesures visant à protéger l’utilisateur», explique encore le chef du service Guidance de la CNPD.

Vers une souveraineté numérique européenne

Malgré ces contraintes, la très régulière médiatisation de fuites de données ou d’attaques informatiques semble inciter les organisations à de plus en plus de prudence par rapport à la protection des données en leur possession ou hébergées dans le cloud. «Il y a clairement une prise de conscience par rapport au RGPD et aux atouts que son respect peut offrir à n’importe quelle organisation», indique Alain Herrmann. «Au vu de l’importance que prend la RSE au sein des entreprises, je pense que le respect du RGPD sera bientôt un prérequis normal pour faire du business. Certains secteurs se sont toutefois plus rapidement adaptés que d’autres, notamment la finance ou l’assurance. De manière générale, du travail reste à faire au niveau des PME et TPE, et nous travaillons sur plusieurs projets qui nous permettront de mieux les accompagner.»

Si tout le monde y met du sien, l’application du RGPD sera un plus pour l’ensemble de l’économie et pour les droits des individus.
Alain Herrmann

Alain Herrmannchef du service ConformitéCNPD

Le RGPD pourrait également servir de levier pour atteindre une forme de souveraineté numérique européenne qui, aujourd’hui, est de l’ordre du fantasme, tant les acteurs américains du cloud sont présents auprès des organisations européennes. Il s’agit pourtant d’un véritable enjeu géopolitique auquel la présidence française de l’Union, qui débute en 2022, sera particulièrement attentive. «Le RGPD, mais aussi une jurisprudence comme Schrems 2, qui oblige les entreprises européennes à vérifier que les lois des pays tiers ne mettent pas à mal les garanties offertes par le droit européen, rendent plus contraignant le recours à un prestataire cloud situé en dehors de l’Union européenne. Cela pourrait conduire de nombreux acteurs à choisir l’Europe plutôt que d’autres régions du monde pour héberger leurs données, pourquoi pas dans l’infrastructure Gaia-X», avance Arnaud Habran.

Ce qui est clair, c’est que le RGPD doit dès à présent être vu non pas comme une entrave au flux des données, mais bien comme un outil positif pour tous. «La protection des données ne doit pas être opposée au business. Si tout le monde y met du sien, l’application du RGPD sera un plus pour l’ensemble de l’économie et pour les droits des individus», conclut Alain Herrmann.