Loi SREN : dynamiser la concurrence sur le marché du Cloud

 

 Ce qu’il faut retenir

La loi Sécurité et Régulation de l’Espace Numérique (“loi SREN”) a été adoptée le 21 mai 2024. L’un des objectifs de la loi est de réduire la dépendance des utilisateurs aux fournisseurs de services Cloud (particulièrement les GAFAM) en prévoyant un certain nombre de mesures pour fluidifier le marché, mais également de renforcer la protection des données stratégiques et sensibles de l’administration dans le cadre de l’utilisation de ces services.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-loi-sren-dynamiser-la-concurrence-sur-le-marche-du-cloud

Hébergement de données de santé : les modifications apportées par la loi du 26 janvier 2016

Le Code de la santé publique dispose que toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant. Les professionnels de santé, ainsi que ceux intervenant dans le système de santé, sont soumis au secret médical (art. L.1110-4 CSP).

Les professionnels de santé sont également tenus de respecter les obligations relatives aux traitements de données à caractère personnel, en leur qualité de responsable du traitement. Parmi ces obligations, la sécurité des données de santé constitue un impératif.

Les données de santé à caractère personnel sont considérées comme des informations sensibles, soumises à un haut niveau de sécurité, physique et technique, a fortiori en cas d’hébergement par un prestataire tiers.

Depuis l’entrée en vigueur de la loi “Kouchner” de 2002, les prestataires hébergeurs de données de santé doivent être agréés. La loi du 26 janvier 2016 de modernisation de notre système de santé a apporté un certain nombre de modifications à l’article L.1111-8 du Code de la santé publique relatif à l’hébergement de données de santé. Le périmètre des données, et les catégories de personnes concernées par l’hébergement agréé, ont été élargies. L’obligation d’agrément est maintenue et renforcée. (1)


1. L’élargissement des catégories de données et des parties concernées

Les données de santé hébergées par un prestataire tiers, doivent l’être chez un hébergeur agréé. La loi santé du 26 janvier 2016 a modifié le périmètre des catégories de données de santé concernées par cette obligation.

Qu’entend-on par “donnée de santé” ?
On entend généralement par “donnée de santé” les informations relatives à l'état de santé (tant physique que psychique) d'un patient, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins du patient. Il s’agit de données à caractère personnel, dont la collecte et le traitement sont régis par les dispositions de la loi Informatique et Libertés, complétée en l’espèce par le Code de la santé publique (CSP).(2)

Bien que la collecte et le traitement de données de santé à caractère personnel soit interdit par principe, il existe en pratique de nombreuses exceptions, notamment pour les cas de collecte par les professionnels et établissements de santé, les services médico-sociaux, mais également la collecte et le traitement par des organismes tiers, tels les compagnies d’assurance et sociétés mutuelles.

Les catégories de données concernées par l’hébergement agréé :
Dans son ancienne rédaction, l’article L.1111-8 al.1 du CSP disposait que les données de santé à caractère personnel “recueillies ou produites à l’occasion des activités de prévention, de diagnostique ou de soins” étaient concernées par cette obligation d’hébergement agréé. Or, si la question était claire pour les données de santé recueillies par les professionnels et les établissement de santé (médecins, infirmiers, hôpitaux et cliniques), la situation était plus confuse pour les autres acteurs pouvant intervenir, même à titre accessoire, dans le domaine de la santé.

Cette ambigüité est levée avec la nouvelle rédaction de l’article L.1111-8 qui étend les catégories de données concernées et inclut désormais les données recueillies à l’occasion du “suivi social et médico-social”.

Les parties concernées par l’hébergement agréé :
Selon l’ancien article L.1111-8 al.1 du CSP les professionnels de santé, les établissements de santé et la personne concernée étaient les seules parties explicitement visées par cette obligation.  Une question se posait pour les autres organismes amenés à collecter des données de santé.

Le nouvel article ne précise plus les personnes concernées par la collecte et le traitement, et suit la doctrine de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé (CAH). Ceci signifie qu’en pratique, toute personne physique ou morale qui collecte et/ou traite des données de santé à caractère personnel et souhaite les faire héberger par un tiers, est soumise à l’obligation d’avoir recours à un hébergeur agréé.

Ainsi, non seulement les médecins et autres professionnels de santé (professions para-médicales), les établissements de santé (hôpitaux et cliniques) restent concernés mais également le cas échéant, les compagnies d’assurance et les mutuelles (collecte et traitement de données de santé dans le cadre de leur procédure d’octroi de prêts, assurance-vie, contrats de prévoyance, remboursement de frais de santé, etc.), les maisons de retraite (EHPAD - suivi de l’état de santé des résidents), les services de santé au travail (état de santé des salariés), les fédérations sportives (aptitude physique des licenciés à la pratique du sport).

Le stockage de données en interne et le stockage mutualisé :
Il convient de noter que les parties qui collectent et traitent des données de santé sans hébergement tiers ne sont pas soumises à l’agrément. Ainsi, un établissement hospitalier qui stockerait les données de ses patients sur ses propres serveurs en interne n’est pas concerné par l’obligation d’agrément. En revanche, si cet établissement stockait non seulement ses propres données de santé, mais également celles d’établissements ou de médecins tiers, il s’agira pour ces données, d’une prestation d’hébergement tiers soumise à l’agrément. De même, les établissements de coopération sanitaire (Groupements de coopération sanitaire, Communautés hospitalières, etc.) qui mettent leur système d’hébergement à la disposition de leurs membres sont soumis à la procédure d’agrément. (3)

L’information de la personne prise en charge :
Par ailleurs, le consentement exprès de la personne concernée (patient, personne prise en charge) pour l’hébergement externalisé de ses données n’est plus requis. Répondant à une contrainte pratique, la personne prise en charge doit être “dûment informée” et ne pourra s’opposer à l’hébergement externalisé de ses données “que pour un motif légitime”.


2. L’agrément de l’hébergeur de données de santé : une obligation maintenue et renforcée

On soulignera que l’ancienne rédaction de l’article L.1111-8 al.1 du CSP faisait peser l’obligation du dépôt de données de santé chez un hébergeur agréé sur les déposants (professionnels et établissements de santé), en qualité de responsables de traitement. Or, la nouvelle rédaction met désormais l’accent non plus sur les déposants, mais sur le prestataire, précisant que la personne qui héberge des données de santé doit être agréée à ce effet. Il en ressort donc un infléchissement de la responsabilité vers le prestataire d’hébergement.

Les conditions de l’agrément :
Seuls les prestataires hébergeurs agréés sont habilité à héberger des données de santé à caractère personnel. L’agrément est délivré après une évaluation des capacités des prestataires candidats, portant sur les aspects financiers, éthiques et de sécurité de leur activité.

Les conditions de l’agrément n’ont pas changé avec la loi du 26 janvier 2016. Celles-ci ont été fixées par deux décrets de 2006 et 2011, codifiés aux articles R.1111-9 et suivants du CSP, et précisées par l’ASIP-Santé.

Le délai de traitement de la demande d’agrément est de cinq à huit mois. L’agrément est prononcé par le ministre chargé de la santé, après avis de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé. L’agrément est délivré pour une durée de trois ans. Il peut être retiré en cas de non-conformité de l’hébergeur aux obligations légales, réglementaires ou aux prescriptions fixées par l’agrément. (4)

Il existe actuellement 92 hébergeurs agréés, dont la liste à jour figure sur le site de l’ASIP-Santé. (5)

Le contrat d’hébergement de données de santé :
L’hébergement de données de santé à caractère personnel doit faire l’objet d’un contrat, conclu entre l’hébergeur et le déposant des données (professionnel ou établissement de santé, etc.). Le modèle de contrat est communiqué par le prestataire avec son dossier de demande d’agrément. Ce contrat doit comprendre, a minima, les conditions listées à l’article R.1111-13.

A l’issue de la prestation d’hébergement des données de santé, l’hébergeur restitue les données à la personne qui les lui a confiées sans en garder de copie. Le contrat d’hébergement prévoit les “prestations à la fin de l’hébergement”, à savoir, les conditions de la réversibilité de la base de données à la personne qui les lui a confiées ou au nouveau prestataire d’hébergement.

L’hébergement en dehors du territoire français :
L’obligation de recourir à un hébergeur agréé pour l’hébergement de données de santé recueillies en France peut produire des effets extra-territoriaux. En effet, selon l’ASIP-Santé, rien ne s’oppose à ce qu’une base de données de santé à caractère personnel soit hébergée en dehors du territoire français. Cependant, l’hébergeur étranger est tenu de respecter les conditions légales et réglementaires applicables en France, notamment en matière d’agrément.

De même, les hébergeurs étrangers qui seraient amenés à proposer une prestation d’hébergement de données de santé en France devront s’assurer que leur activité est conforme à la réglementation française.

En outre, en cas de transfert des données de santé à caractère personnel en dehors de l’Union européenne, les parties devront par ailleurs respecter dispositions de la loi Informatique et Libertés applicables. Il conviendra notamment d’être vigilant en cas d’hébergement des données en mode Cloud. (6)


                                                           * * * * * * * * * * * *

(1) Loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé et plus particulièrement, voir article 96, codifié sous l’article L.1111-8 du Code de la santé publique

(2) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, et concernant les données de santé, l’article 8 ; Loi n°2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de soins (dite “Loi Kouchner”) ; Articles L.1110-4, L.1111-7, L.1111-8, R.1110-1, R.1111-1 et suivants du Code de la santé publique; Articles 226-16 et suivants du Code pénal.

(3) FAQ Asip-Santé

(4) Décret n°2006-6 du 4 janvier 2006 relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique (dispositions réglementaires) ; Décret n°2011-246 du 4 mars 2011 relatif à l'hébergement de données de santé à caractère personnel sur support papier et modifiant le code de la santé publique et articles R. 1111-9 et suivants du CSP.

(5) http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees

(6) Voir également nos précédents articles sur ce sujet publiés sur le blog du Cabinet: “L’hébergement de données de santé en Cloud soumis à des contraintes particulières” et “Données de santé : des obligations de sécurité spécifiques pour les professionnels de santé”

Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2016

Un référentiel de sécurité pour la qualification des prestataires de services en Cloud

L’un des avantages mis en avant pour la promotion des services en Cloud computing (ou informatique en nuage) est le fait que la mutualisation des ressources (au moins pour les clouds publics et hybrides) permet de réduire les coûts d’infrastructure. Cependant, le revers de la mutualisation est l’absence de flexibilité contractuelle, les contrats Cloud étant le plus souvent des contrats d’adhésion, non négociables par les clients.

Par ailleurs, la plupart des clients-utilisateurs ne procéderont jamais à un audit technique des services, ce qui peut aboutir à des situations très difficiles à surmonter en cas de défaillance technique (et/ou financière) d’un prestataire qui n’aurait pas sauvegardé les données clients par exemple.

Partant de ces constats, et du besoin d’assurer une plus grande confiance dans ces services, deux initiatives ont récemment été lancées autour de la sécurité du Cloud.

Ainsi, en juin 2014, dans le cadre du vaste projet « La Nouvelle France Industrielle », le gouvernement a validé le plan consacré au cloud computing. Parmi les 10 mesures proposées par Messieurs Klaba (OVH) et Breton (Atos), on retiendra ici la proposition de créer un label « Secure Cloud » pour les acteurs hébergeant leurs données sur le territoire européen. (1)

Dans la continuité de ce plan, l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi), vient de publier un projet de référentiel général de sécurité auquel les prestataires Cloud devront se conformer s’ils souhaitent obtenir une « qualification ». (2) Ce futur référentiel, ayant vocation à converger avec le label « Secure Cloud » mentionné ci-dessus, servira en premier lieu pour les besoins de l’Etat. Il pourra néanmoins être réexploité par les entreprises utilisatrices.


1. La qualification des prestataires Cloud

Le document de l’Anssi, intitulé « Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage », concerne les prestataires fournisseurs de services Cloud - en mode SaaS, PaaS ou IaaS, et ce quelque soit le profil de leurs clients (administrations, collectivités territoriales, OIV, entreprises, etc.).

Ce projet de référentiel général de sécurité (RGS) définit les exigences de sécurité ainsi que les recommandations (ou bonnes pratiques) que les prestataires Cloud devront respecter pour obtenir la qualification. Ces exigences seront vérifiées dans le cadre d’un audit des lieux liés à la prestation visée par la qualification.

Ce document vise à donner aux clients, utilisateurs de services Cloud, des garanties quant à la compétence du prestataire, à la qualité de ses services et à la sécurité du traitement des données qui lui sont confiées. Le référentiel a ainsi pour objectif de favoriser l’émergence et la promotion d’offres de services sécurisées qualifiées et ainsi, garantir un niveau de confiance envers les prestataires qualifiés - même si le RGS est avant tout destiné aux administrations.


2. Le contenu du projet de référentiel

Les exigences et recommandations contenues dans le référentiel de l’Anssi portent notamment sur l’organisation interne du prestataire Cloud et ses relations avec ses clients et les tiers. On retiendra notamment :

- Le périmètre de qualification : le prestataire doit établir le périmètre qu’il souhaite qualifier, la liste des exigences y afférentes, le niveau de sécurité visé pour la qualification (élémentaire ou standard) et une analyse de risques couvrant le périmètre de la qualification ;

- Une politique générale de sécurité : le prestataire doit définir une politique de sécurité détaillant les différentes mesures mises en oeuvre, a minima, dans les domaines suivants : organisation de la sécurité ; sécurité des ressources humaines ; gestion des biens ; sécurité physique et environnementale ; contrôle d’accès et gestion des identités ; cryptologie ; sécurité des opérations ; acquisition, développement et maintenance ; relation avec les sous-traitants ; gestion des incidents et de la continuité des activités et enfin la conformité ;

- Les relations contractuelles avec les clients et les tiers : un contrat doit détailler les tâches et les responsabilités incombant tant au prestataire qu’au client.

Par ailleurs, le prestataire doit identifier l’ensemble des tiers (sous-traitants hébergeurs, éditeurs des logiciels, etc.) et des prestations externalisées participant à la fourniture du service Cloud. Ces tiers doivent fournir des garanties en matière de sécurité, au moins équivalentes à celles mises en oeuvre dans sa propre politique de sécurité. Ces exigences de sécurité doivent impérativement être contractualisées avec le prestataire (par exemple, dans un cahier des charges ou à travers des clauses de sécurité dans contrats conclus avec ces tiers). En outre, le prestataire doit pouvoir régulièrement auditer et contrôler les mesures de sécurité mises en place par les tiers.

- La gestion interne : le prestataire Cloud doit mettre en place une procédure de vérification des candidats à l’embauche, faire signer à tout nouveau salarié un engagement de confidentialité et les sensibiliser notamment à la sécurité informatique.

En outre, le prestataire doit réaliser un inventaire des équipements informatiques ainsi que des licences utilisées dans le cadre de la prestation Cloud.

Enfin, il doit notamment établir une politique de contrôle d’accès et de gestion des identités, généraliser le chiffrement des données stockées et de flux, mettre en oeuvre des mesures de détection, de prévention et de restauration pour se protéger des codes malveillants et ainsi élaborer des politiques et procédures de gestion des incidents de sécurité.

- Les exigences contractuelles et législatives : le contrat de service entre le prestataire Cloud et le client doit être soumis au droit français et la juridiction compétente doit être localisée en France. Le prestataire doit par ailleurs, non seulement s’engager à respecter les exigences légales, règlementaires et contractuelles en vigueur, mais également et effectuer une veille active de l’évolution de ces exigences.

- Une fourniture de services localisée en France : on retiendra enfin que le projet de référentiel exige que la fourniture des services soit localisée sur le territoire français. Il est précisé, en effet, que le stockage et le traitement des données doivent être opérés en France, et que les produits participant à la prestation (logiciels) et visibles par le client soient accessibles en français. Enfin, le support de premier niveau doit être fourni en français et localisé en France.


3. L’appel public à contributions et candidatures lancé par l’Anssi

L’Anssi a lancé un appel public à participation sur ce projet début août et invite les prestataires Cloud à lui adresser des commentaires et remarques sur ce projet de référentiel avant le 3 novembre 2014.

Après l’analyse des contributions reçues, l’Anssi lancera une phase dite « expérimentale », visant à tester la mise en oeuvre pratique du référentiel. A ce titre, l’Agence invite les sociétés prestataires de services Cloud souhaitant participer à cette phase expérimentale à la contacter.

Enfin, l’Anssi propose aux entreprises du Cloud souhaitant obtenir la qualification, de déposer leur candidature.

Pour en savoir plus : http://www.ssi.gouv.fr/fr/menu/actualites/appel-commentaires-referentiel-d-exigences-informatique-nuage.html


                                                       * * * * * * * * * * *

(1) Article « Redressement productif : le gouvernement valide les plans cybersécurité, cloud et souveraineté télécom », publié par zdnet.fr, le 5 juin 2014 (http://www.zdnet.fr/actualites/redressement-productif-le-gouvernement-valide-les-plans-cybersecurite-cloud-et-souverainete-telecom-39802045.htm)

(2) « Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing) - référentiel d’exigences », Anssi, version du 30.07.2014.


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2014

Protection des données personnelles : qui est responsable en cas de manquement à la loi ?

Toute entreprise, quels que soient son domaine d’activité et sa taille, collecte et traite des données à caractère personnel concernant notamment ses employés et clients, pour des traitements divers (gestion du personnel, gestion clients, contrôles d’accès, etc.).

Les règles de collecte et de traitement de ces données doivent respecter les dispositions de la loi Informatique et Libertés. Cette loi impose au "responsable de traitement" le respect de nombreuses obligations, sous peine de sanctions administratives et pénales.(1)

En pratique, il n'est pas toujours facile de déterminer la personne ou l'entité sur laquelle pèsent ces obligations. Par ailleurs, les problèmes soulevés par le déploiement de nouveaux types de traitements ou de nouveaux services peuvent poser des questions complexes relatives à la conformité à la loi.

Nous rappelons ci-après la notion de responsable de traitement et les responsabilités et sanctions applicables en cas de manquement à la loi Informatique et libertés.


1. Le responsable de traitement de données personnelles

Un traitement de données à caractère personnel comprend tous types d'opérations, quel que soit le procédé utilisé, qui permettent d'identifier une personne physique, directement ou indirectement, et notamment, le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles.

La loi Informatique et Libertés définit le responsable de traitement de données personnelles comme la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens dudit traitement (art.3).

Dès lors, pour qu'une personne ou un organisme soit qualifié de responsable de traitement, les deux critères suivants doivent être réunis :

- Décider de la finalité du traitement : le responsable de traitement est la personne qui détermine les raisons du traitement, ainsi que les catégories de données collectées. La finalité correspond à des besoins propres à chaque organisme, tels que la nécessité de constituer un fichier clients/prospects pour les activités commerciales. 

- Décider des moyens du traitement : le responsable de traitement est la personne qui détermine les modalités de mise en oeuvre de ce traitement. Le responsable déterminera ainsi quels types de données seront collectées, pendant combien de temps elles seront conservées, qui sera le (ou les) destinataire(s) des données, comment les personnes dont les données sont collectées pourront exercer leurs droits (opposition, rectification), etc.

En conséquence, le responsable de traitement est la personne qui détermine et décide de la politique de gestion des données personnelles dans l’entreprise. Le responsable de traitement doit être distingué des personnes (salariés, responsables opérationnels, ou sous-traitants) qui mettent en oeuvre ces traitements, et ce quelque soit leur degré d'autonomie.

Le responsable de traitement est, en règle générale, le dirigeant de l'entreprise. Celui-ci peut cependant décider de mettre en place une délégation de pouvoirs à l’un de ses directeurs (DSI, directeur juridique, etc.) afin d’aménager sa responsabilité, et sous réserve de la validité de cette délégation de pouvoirs. (2)


2. La responsabilité et les sanctions encourues en cas d'infraction à la loi Informatique et Libertés

La collecte et le traitement des données personnelles doivent respecter les principes définis par la loi Informatique et Libertés. 

De nombreuses obligations pèsent sur le responsable de traitement, notamment : (i) déclarer à la CNIL tout traitement ou fichier automatisé de données (déclarations ou demandes d'autorisation et d'avis selon les données concernées et les traitements envisagés), préalablement à sa mise en oeuvre, (ii) faire une collecte loyale et licite des données, (iii) respecter la finalité du traitement, (iv) conserver les données pendant une durée raisonnable, (v) assurer l’intégrité des données en adoptant des mesures de sécurité et (vi) permettre aux personnes concernées par le traitement de leurs données, d’exercer leurs droits (droits d'accès, de contestation, de rectification et d’opposition).

En cas de manquement à ces obligations, le responsable de traitement encourt deux types de sanctions : des sanctions administratives, et des sanctions pénales.

    2.1 Qui encourt les sanctions administratives ?
La Commission Nationale de l'Informatique et des Libertés (CNIL) dispose de pouvoirs de contrôle et de sanction à l'encontre des responsables de traitements.

Les sanctions prononcées par la CNIL  - Des contrôles sur place (dans les locaux de l’entreprise) peuvent être réalisés, au cours desquels les agents de la CNIL peuvent demander la communication de tout document, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données afin de vérifier la conformité à la loi. Ces contrôles peuvent être réalisés de façon inopinée pour répondre à des besoins ponctuels, dans le cadre de l'instruction de plaintes, à l’encontre d’un site web par exemple.

Lorsque des manquements à la loi sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une injonction de cesser le traitement, un retrait de l’autorisation éventuellement accordée ou une sanction pécuniaire d'un montant maximum de 300.000€ (ou 5% du chiffre d'affaires hors taxes du dernier exercice clos de l’entreprise, dans la limite de 300.000€). Le montant de la sanction est proportionné à la gravité des manquements commis et des avantages tirés de ces manquements.

Les personnes ou entités responsables  -  En pratique, les mises en demeure et autres sanctions délivrées par la CNIL concernent la société, personne morale, mais sont notifiées au chef d'entreprise, en sa qualité de représentant légal. Les traitements de données personnelles étant réalisés pour le compte de la personne morale, c'est généralement cette dernière qui va être sanctionnée par la CNIL. Même si le chef d'entreprise aura décidé des finalités et des moyens du traitement, ce dernier sera rarement sanctionné personnellement. Ce n'est donc pas lui qui va, le cas échéant, payer l'amende.

En principe, il en va de même dans l'hypothèse où le chef d'entreprise aurait délégué la gestion du traitement des données personnelles à un collaborateur. La délégation de pouvoirs ne vise qu'à exonérer le chef d'entreprise de sa responsabilité pénale. Or, dans l'hypothèse où la CNIL serait saisie d'un dossier, le chef d'entreprise n'engagerait pas sa responsabilité pénale en tant que telle, les sanctions prononcées par la CNIL étant d'ordre administratif.

    2.2 Qui encourt les sanctions pénales ?
Les infractions à la loi informatique et Libertés sont également sanctionnées pénalement.

Les sanctions pénales  -  La CNIL peut décider de dénoncer les infractions à la loi au procureur de la République. Par ailleurs, le procureur de la République pourra aviser le Président de la CNIL de toutes poursuites relatives aux infractions Informatiques et Libertés et le cas échéant, des suites qui leur sont données.

Le Code pénal prévoit, aux articles 226-16 et suivants, des sanctions spécifiques aux "atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques". Ainsi, le fait de procéder, y compris par négligence, à des traitements de données personnelles non conformes à la loi Informatique et Libertés est sanctionné jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende.

Ces sanctions concernent les personnes physiques, mais le Code pénal prévoit également des sanctions pour les personnes morales. En effet, les entreprises déclarées responsables pénalement des infractions à la loi Informatique et Libertés encourent jusqu'à 1.500.000€ d'amende et des peines complémentaires, telles que (i) l'interdiction, à titre définitif ou provisoire, d'exercer l'activité dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise et (ii) la diffusion de la décision de justice par tout moyen de communication au public.

Les personnes ou entités responsables  - Deux catégories de personnes peuvent encourir des sanctions pénales en cas de manquement à la loi Informatique et Libertés : le responsable de traitement, personne morale et le responsable de traitement, personne physique.

- La responsabilité de l'entreprise : l'entreprise, personne morale, peut sous certaines conditions, engager sa responsabilité pénale, soit à la place de la personne physique auteur de l'infraction, soit conjointement avec l’auteur de l’infraction. L'entreprise peut être déclarée responsable pénalement d'infractions, sous réserve qu'elles aient été commises, d'une part, pour "son compte" et d'autre part, par ses organes ou représentants (article 121-2 Code pénal). Le traitement de données personnelles mis en oeuvre au sein d'une entreprise par son dirigeant, pour les besoins de l’entreprise, remplit ces deux conditions.

Dès lors, une entreprise peut être condamnée à payer une amende pour manquement à la loi relative à la protection des données personnelles. Toutefois, sa responsabilité pénale n'exclut pas celle des personnes physiques, auteurs ou complices des mêmes faits.

- La responsabilité du chef d'entreprise ou du titulaire d'une délégation de pouvoirs : le chef d'entreprise est généralement considéré comme le responsable du traitement des données personnelles mis en oeuvre au sein de sa société, car c'est lui qui détermine la politique de gestion des traitements.

La responsabilité pénale de l'employeur sera donc engagée en cas d'infraction à la loi Informatique et Libertés commise par l'un de ses salariés, dans l'hypothèse, par exemple, où il n'aurait pas pris les mesures de sécurité suffisantes pour éviter la perte de données personnelles. Dans ce cas, il sera reproché au chef d'entreprise une négligence fautive dans son devoir de contrôle de l'application de la réglementation par ses employés.

L'employeur poursuivi pour une infraction à la législation Informatique et Libertés peut-il cependant s’exonérer de sa responsabilité s'il justifie d'une délégation de pouvoirs ? En cas de délégation de pouvoirs, le délégataire pourrait être tenu responsable des infractions à la loi, sous réserve que la délégation recouvre le même domaine que celui de l'infraction poursuivie et remplisse les conditions de validité y afférentes.

La charge de la preuve de l’existence d’une délégation de pouvoirs valide incombera au chef d'entreprise ; cette preuve peut être rapportée par tous moyens. Aussi celui-ci devra démontrer que :
    (i) la délégation portait sur la gestion des traitements de données personnelles. En présence d'une délégation de pouvoirs écrite, cette dernière devra contenir une mention précise à cet effet, à savoir une clause spécifique Informatique et Libertés ;
    (ii) le délégataire est pourvu de l'autorité, de la compétence et des moyens nécessaires pour remplir sa mission. Déléguer cette mission à un simple exécutant, sans pouvoir décisionnaire, n'est pas valable.


Les questions relatives à la responsabilité des manquements à la protection des données personnelles feront encore l'objet de nombreux débats dans les mois à venir. En effet, la proposition de règlement européen portant sur la protection des données personnelles, censé être adopté d'ici 2015, prévoit deux nouveautés, dans sa première version (3) :
  - une augmentation sensible des sanctions financières en cas d'infractions : le projet de texte européen prévoit d’imposer des amendes pouvant s'élever à 2% du chiffre d’affaires annuel mondial de l’entreprise fautive ;
  - une définition étendue de la notion de responsable de traitement : le projet de texte européen prévoit que le responsable du traitement est "la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel”.

Cette nouvelle définition permettra la mise en oeuvre d’un système de co-responsabilité entre tous les acteurs ayant décidé, de manière autonome et concertée, de la création d’un traitement de données à caractère personnel, qu'ils soient salariés, responsables opérationnels ou sous-traitants. L’objet de cette nouvelle définition est notamment de prendre en compte la réalité imposée par les traitements gérés en mode Cloud, pour lesquels les conditions et les moyens de traitements sont généralement déterminés par le prestataire Cloud et non par l’entreprise. Cependant, cette co-responsabilité pourrait être source d’insécurité juridique dans sa mise en oeuvre.

                                               * * * * * * * * * * *

(1) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(2) La délégation de pouvoir est soumise à des conditions de validité - conditions de fond et conditions de forme -pour pouvoir être considérée comme effective vis-à-vis du déléguant.

(3) Proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD)

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2013

La recommandation de la CNIL sur le Cloud computing : vers une évolution des rôles et responsabilités entre clients et prestataires

Les services de Cloud computing sont en fort développement, tirés par des aspects économiques et de flexibilité de service, possibles grâce à la mutualisation des ressources entre les clients. Le recours au Cloud computing pose cependant plusieurs questions et problèmes liés notamment à la localisation des données, à leur sécurité, à leur accessibilité, au droit applicable, à la réversibilité. (1)

La CNIL avait publié une consultation publique fin 2011, demandant aux entreprises qui le souhaitaient de fournir leurs réflexions, dans le cadre des questions posées, avec pour finalité la publication d’un rapport pour améliorer l’encadrement juridique du Cloud computing. Pour rappel, la consultation portait sur cinq séries de questions : 1) qu'est-ce qui caractérise un service de Cloud computing ? 2) Le statut et les responsabilités du sous-traitant des données, applicables au prestataire Cloud, doivent-ils évoluer ? 3) Quels critères utiliser pour déterminer la loi applicable aux services Cloud ? 4) Quels outils juridiques permettraient de mieux encadrer les transferts de données vers des pays ne disposant pas d'un niveau de protection adéquat ? 5) Quelles mesures de sécurité devraient être adoptées (mesures techniques et gestion des accès aux données) pour garantir la confidentialité des données ?

Après analyse des contributions, la CNIL a publié ses recommandations le 25 juin dernier. (2)

Nous faisons ci-après une synthèse des principaux points couverts par la CNIL, sur la base des  deux axes suivants : l’évolution de la notion de responsable du traitement et la nécessité de bâtir la confiance entre prestataires et clients, via des engagements forts en matière de sécurité et de transparence dans les procédures déployées.


1. L’évolution de la notion de responsable de traitement induite par le développement des services de Cloud computing

En matière de traitements de données à caractère personnel, le responsable de traitement est en principe le client. En effet, le client, en qualité de collecteur des données à caractère personnel, en détermine les finalités et les moyens de traitement. (3) Cependant, hors Cloud privé, le client ayant recours à un service de Cloud computing n’a plus la maîtrise effective du traitement. Il est donc nécessaire de réfléchir à l’évolution de la notion de responsable de traitement au regard des rôles effectifs joués respectivement par le client et par le prestataire.

    1.1 Service Cloud et maîtrise des traitements de données à caractère personnel
Dans le cadre des Cloud publics, le fonctionnement et les objectifs du service sont définis par le prestataire, autour d’une prestation standardisée. Le rôle du prestataire ne se limite plus à celui d’un simple sous-traitant qui ne ferait que traiter les données personnelles pour le compte du client et selon ses instructions.

Les conditions posées par l’article 3 de la loi Informatique et Libertés, qui définit la notion de responsable de traitement, ne sont donc plus nécessairement réunies. Afin de déterminer les rôles respectifs du client et du prestataire, la CNIL préconise d’appliquer un faisceau d’indices. Selon les résultats de ce test, les rôles de responsable de traitement et de sous-traitant peuvent être amenés à évoluer et être revus.

Ce faisceau d’indices comprend les quatre critères suivants :
    - l’évaluation du niveau d’instruction donné par le client au prestataire. Plus le degré d’autonomie du prestataire dans la réalisation de la prestation sera élevé, plus la tendance sera de le considérer également comme responsable de traitement ;
    - le degré de contrôle de l’exécution de la prestation du prestataire par le client ;
    - la valeur ajoutée fournie par le prestataire sur le traitement des données du client, et donc, le niveau de maîtrise du traitement de données par le prestataire ;
    - le degré de transparence du client sur le recours à un prestataire Cloud.

Ainsi, plus le client sera passif, et en contrepartie, plus le prestataire s’impliquera dans le traitement, plus la tendance sera de considérer ce dernier également comme responsable de traitement. L’application des critères définis ci-dessus aux offres de service Cloud standardisées, soumises à la maîtrise du service par le prestataire et entraînant une moindre implication du client, devrait permettre de retenir la qualification de responsable de traitement pour le prestataire dans la mesure où celui-ci participe de manière effective à la détermination des finalités et des moyens des traitements de données personnelles.

    1.2 Responsable ou co-responsables du traitement
Cependant, même si le prestataire peut être considéré comme responsable de traitement et non plus comme simple sous-traitant du client, cela ne signifie pas pour autant que le client sera dégagé de toute responsabilité concernant les traitements mis en oeuvre.

Le client reste en effet celui qui collecte les données à caractère personnel et qui les utilisera (par exemple dans le cadre de ses activités de gestion de la relation clients, ou de ses campagnes de marketing, ou encore de gestion des RH). En revanche, le client n’aura plus la maîtrise des moyens mis en oeuvre, de l’accès aux données, ou des mesures de sécurité appliquées auxdits traitements.

En d’autres termes, le fait de déclarer que le prestataire peut également être considéré comme responsable de traitement ne signifie pas que le client perdra ce rôle en contrepartie. Doit-on alors envisager la notion de co-responsables de traitement ?

Comme le relève justement la CNIL, la co-responsabilité est source d’insécurité juridique et de dilution des responsabilités. Ainsi, plutôt que d’être globalement co-responsables de traitement et de diluer les responsabilités, la CNIL recommande aux parties d’identifier les pôles de responsabilité respectifs dans le cadre du contrat de prestation. La CNIL propose un tableau afin d’aider clients et prestataires à identifier, pour chaque étape (formalités déclaratives, information des personnes, obligation de confidentialité et de sécurité, exercice des droits des personnes concernées - droit d’accès et de rectification), qui du client ou du prestataire, sera effectivement responsable. La définition effective des étapes et des partages de responsabilités devra se faire dans le cadre du contrat de prestation de Cloud computing.

Le rôle du sous-traitant, dans le cadre des traitements de données personnelles, n’est pas pour l’instant défini de manière spécifique. Le projet de règlement européen relatif à la protection des données personnelles du 25 janvier 2012 prévoit la création d’un régime légal du sous-traitant, soumis à une liste d’obligations communes avec le responsable de traitement. (4)


2. L’avenir des services en Cloud computing passe par la confiance

Une meilleure redéfinition des rôles et des responsabilités des clients et prestataires est illusoire si, en parallèle, la question de la confiance des clients dans les prestataires et les services fournis reste en deçà des attentes. Les deux piliers de la confiance sont, d’une part les engagements relatifs à la sécurité du service, d’autre part une plus grande transparence des prestataires relative aux procédures en place.

    2.1 La question sensible de la sécurité du service
Bien que l’utilisation du Cloud computing se développe, l’un des freins au passage au Cloud reste la sécurité. En effet, de nombreuses entreprises sont encore réticentes à l’idée d’externaliser leurs données, que celles-ci soient de nature commerciale, protégées par le droit d’auteur, à caractère personnel ou autre.

La sécurité recouvre plusieurs questions : celle de l’accès aux données et de la disponibilité du service (les derniers incidents d’interruption de service subis récemment par des prestataires majeurs du Cloud ont encore exacerbé les craintes des utilisateurs), celle de la réversibilité en fin de contrat (question du transfert à un nouveau prestataire et de l’interopérabilité des systèmes), et surtout, celle de la sécurité du système du prestataire (imperméabilité du système aux intrusions de tiers).

Ces différentes questions passent par des contrats intégrant de réels engagements de la part des prestataires, avec SLA (Service level agreement ou engagement de service) et PLA (Privacy level agreement ou engagement de protection des données - ce concept de PLA étant en cours de développement).

La CNIL, dans sa recommandation, inclut une liste d’engagements à prendre en compte dans le contrat (tel que la responsabilité en cas de perte de données).

    2.2 Une plus grande transparence dans les procédures mises en place
L’un des avantages, et des problèmes, du Cloud computing est la possibilité pour les prestataires d’utiliser des centres serveurs délocalisés, avec une multiplication des lieux de traitement et de stockage des données. Les procédés actuellement déployés par les prestataires sont rarement décrits de manière claire et précise dans les contrats.

A ce sujet, la CNIL recommande aux prestataires d’intégrer des clauses-types dans leurs contrats de prestation et de mettre en place des règles du type BCR (Binding corporate rules, ou règles d’entreprise contraignantes).

Les clauses contractuelles types proposées par la CNIL, dont l’objet est de mieux encadrer les transferts de données hors Union européenne, diffèrent suivant que : (i) le prestataire Cloud est localisé hors UE et agit en qualité de sous-traitant, (ii) le prestataire Cloud est localisé hors UE et agit en qualité de responsable de traitement, ou (iii) le prestataire Cloud est localisé dans l’UE, agit en qualité de sous-traitant et transfère les données à un sous-traitant (de 2é niveau) situé hors UE.

Par ailleurs, les “BCR sous-traitants” sont un nouvel outil, de nature contractuelle, qui permettrait d’améliorer la transparence et la confiance dans les services proposés.

Les BCR sont des accords intra-groupes (ou codes de conduite), développés et déployés par certaines entreprises multinationales afin de faciliter les transferts de données personnelles entre les sociétés d’un même groupe, en contrepartie d’engagements forts de la part du groupe en matière de respect de la réglementation européenne sur la protection des données personnelles. Pour être appliqués, les BCR doivent avoir été validés par l’une des commissions européennes pour la protection des données. Ce concept, qui a fait ses preuves au niveau des multinationales l’ayant adopté, pourrait effectivement être reproduit pour les prestataires Cloud. Ceux-ci pourraient adopter des BCR sous-traitants applicables aux sociétés de leurs groupes afin de garantir un niveau de protection adéquat aux données personnelles des clients, transférées au sein du groupe du prestataire.

Il n’est pas encore possible de mettre en oeuvre des “BCR sous-traitants”. Cependant, cette notion de BCR sous-traitant est prévue dans le projet de règlement européen du 25 janvier 2012. Ils   intégreraient notamment une liste d’engagements techniques de la part des prestataires Cloud (tels que par exemple le recours à des metadonnées, ou le recours au chiffrement).

Les BCR sous-traitant semblent donc être un outil qui permettrait d’apporter les éléments nécessaires à l’amélioration de la confiance dans la prestation de Cloud computing.


Bien que la recommandation de la CNIL se focalise en premier lieu sur les données à caractère personnel, la réflexion vaut autant pour les données personnelles que pour les autres catégories de données transférées par les entreprises sur le Cloud. Le document comprend en fait 5 séries de recommandations, dont l’objet est d’aider les entreprises dans leur prise de décision de passage au Cloud computing : 1) identifier clairement les données et les traitements qui passeront dans le Cloud, 2) définir ses propres exigences de sécurité technique et juridique, 3) conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise, 4) identifier le type de Cloud pertinent pour le traitement envisagé et 5) choisir un prestataire présentant des garanties suffisantes. Les aspects juridiques à prendre en compte sont complétés par des clauses contractuelles types.

Le recours à une prestation de Cloud computing nécessite donc, pour le client, de procéder au choix du prestataire et de service adaptés après avoir établi une analyse des besoins et des risques, et identifié les mesures de sécurité nécessaires compte tenu du type de service contracté.





* * * * * * * * * * *

(1) La définition de Cloud computing retenue dans la recommandation de la CNIL comprend le panel des offres de services informatiques fournis en ligne par des prestataires spécialisés : SaaS (Software as a Service, ou accès à des logiciels en ligne), PaaS (Platform as a Service, ou accès à une plateforme de développement d’applications en ligne) et IaaS (Infrastructure as a Service, ou fourniture d’une infrastructure informatique - serveurs, stockage, etc. - en ligne)

(2) La recommandation de la CNIL est consultable à l’URL: http://www.cnil.fr/la-cnil/actualite/article/article/cloud-computing-les-conseils-de-la-cnil-pour-les-entreprises-qui-utilisent-ces-nouveaux-services/ ; A noter également que le Groupe de l’Article 29 (groupe de travail des commissions européennes de protection des données personnelles) a publié ses propres recommandations relatives au Cloud computing le 1er juillet 2012, dans lesquelles on retrouve les grandes thématiques et recommandations émises par la CNIL.

(3) La notion de responsable de traitement est définie à l’article 3 I de la loi du 6 janvier 1978 modifiée, dite loi Informatique et Libertés, comme suit : “Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens.”

(4) Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) du 25 janvier 2012



Bénédicte DELEPORTE
Avocat 

Deleporte Wentz Avocat
www.dwavocat.com

juillet 2012

L'hébergement de données de santé en Cloud soumis à des contraintes juridiques particulières

Les professionnels de santé (médecins exerçant en cabinet, en clinique ou dans un établissement de santé publique, pharmaciens, etc.) collectent une multitude de données à caractère personnel dans le cadre de leur activité, concernant le patient et sa santé. Ces informations apparaissent, entre autres, dans le dossier médical du patient, les résultats d'examen, les comptes rendus d'hospitalisation.

Le recours à un prestataire informatique pour le stockage et la conservation des données est devenu une pratique courante, y compris en mode Cloud, le cloud computing permettant notamment une gestion des données simplifiée (accessibilité, flexibilité, portabilité, etc.) et une réduction des coûts (investissements en matériel et logiciel réduits et facturation à l'usage).

Toutefois, professionnels de santé et prestataires Cloud doivent être vigilants : d'une part, le recours à un tiers pour héberger des données de santé ne décharge pas le professionnel de santé de ses obligations légales en matière de collecte et de traitement des données ; d'autre part, la fourniture de services d'hébergement de données de santé est soumise à un certain nombre de conditions.


1. Le professionnel de santé : responsable de traitement des données hébergées

On entend généralement par “donnée de santé” les informations relatives à l'état de santé (tant physique que psychique) d'un patient, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins du patient. Il s’agit de données à caractère personnel, dont la collecte et le traitement sont régis par les dispositions de la loi Informatique et Libertés, complétée en l’espèce par le Code de la santé publique (CSP).(1)

    1.1 Les obligations spécifiques en matière de collecte et de traitement de données de santé 

Les données de santé sont considérées comme des données sensibles, dont le traitement est en principe interdit, sauf exceptions. Les exceptions sont en réalité assez nombreuses puisqu’elles comprennent notamment, outre la plupart des traitements pour lesquels la personne concernée a donné son consentement exprès, les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d’une profession de santé.(2)

Les traitements de données comprennent tous types d'opérations qui permettent d'identifier une personne physique, directement ou indirectement, et notamment, le fait de collecter, enregistrer, conserver (et donc héberger), modifier, diffuser, détruire des données.

Les formalités préalables à la collecte de données de santé :
Selon le type de traitement envisagé, le professionnel de santé doit soit déclarer à la CNIL, soit obtenir son autorisation, préalablement à la mise en oeuvre du traitement de données. Les formalités (déclaration ou demande d'autorisation), varient en fonction du traitement concerné (ex: gestion des laboratoires d'analyses, traitements relatifs au dossier médical partagé, etc.).

Les obligations du responsable de traitement :
En matière de données de santé, le responsable de traitement est en principe le médecin exerçant à titre libéral, le dirigeant d'une clinique ou le chef de service de l'établissement de santé public en charge des traitements de données.

En qualité de responsable de traitement, le professionnel de santé est tenu de respecter plusieurs obligations. En cas de manquement à la loi, le responsable de traitement engage sa responsabilité. Ces obligations restent à sa charge, même en cas de recours à la sous-traitance pour l'hébergement des données. Il répond ainsi des manquements à la loi et des failles de sécurité causés par le prestataire Cloud. Le professionnel de santé doit notamment :

- Garantir la sécurité et la confidentialité des données : les données de santé sont soumises à un haut niveau de sécurité. Le Code de la santé publique impose au professionnel de santé le respect de référentiels de sécurité. En pratique, il doit prendre toutes précautions utiles pour empêcher que les données ne soient modifiées, effacées par erreur, ou que des tiers non autorisés aient accès au traitement. Il est donc tenu de mettre en oeuvre, au sein de son établissement de santé, des mesures de sécurité physique (telles que l’accès contrôlé aux locaux hébergeant les serveurs et/ou une liste des personnes autorisées à accéder aux données) et techniques (telles que serveurs sécurisés, utilisation de la carte de professionnel de santé pour accéder aux données). En cas d’hébergement par un tiers, il devra s'assurer que le prestataire Cloud met en oeuvre des mesures de sécurité suffisantes.

- Obtenir le consentement des patients concernés, les informer et garantir leurs droits : le consentement des patients pour la collecte et l'hébergement informatisé de données de santé doit être recueilli. Ce type de traitement ne peut être réalisé à leur insu, sauf exceptions.(3) En outre, le professionnel de santé doit : (i) informer le patient de l'identité des destinataires des données et, le cas échéant, des éventuels transferts de données hors Union européenne, et (ii) assurer le respect des droits des patients concernés, à savoir les droits d'accès, de rectification (mise à jour), de contestation et d'opposition (suppression/désinscription) au traitement de leurs données.

    1.2 Les sanctions encourues en cas de non-respect des obligations en matière de collecte et de traitement de données
En cas de manquement à ses obligations légales, le professionnel de santé encourt les sanctions suivantes :

- Sanctions administratives : en cas de manquement constaté à la suite d'un contrôle sur place, la CNIL peut prononcer un avertissement, une mise en demeure de faire cesser le manquement constaté dans un certain délai, ou si le professionnel de santé ne se conforme pas à la mise en demeure, une sanction pécuniaire d'un montant maximum de 300.000€, une injonction de cesser le traitement ou, le cas échéant un retrait de l’autorisation accordée par la CNIL.(4)

- Sanctions pénales : est puni d’un an d'emprisonnement et 15.000€ d'amende, le fait d'obtenir ou de tenter d'obtenir la communication de données de santé sans le consentement du patient concerné. Sont notamment punis de 5 ans d’emprisonnement et 300.000€ d’amende :
    - tout acte de cession à titre onéreux de données de santé identifiantes, directement ou indirectement, y compris avec l'accord du patient concerné ;
   - le fait de procéder à un traitement de données : (i) y compris par négligence, sans respecter les formalités préalables ; (ii) malgré l'opposition du patient concerné ; (iii) sans prendre les mesures de sécurité prescrites par la loi et (iv) sans le consentement exprès du patient concerné.


2. Le prestataire Cloud de données de santé à caractère personnel : des services d'hébergement soumis à conditions

L'activité d'hébergement de données de santé en Cloud nécessite, pour le prestataire, de respecter un certain nombre de conditions spécifiques.(5)

    2.1 La nécessité d'un agrément pour l’hébergement de données de santé à caractère personnel
Le prestataire d'hébergement de données de santé à caractère personnel doit obtenir un agrément pour exercer son activité. Cet agrément est délivré par le ministre chargé de la santé, qui se prononce après avis de la CNIL et d'un comité d'agrément des hébergeurs. L’agrément est valable pour une durée de 3 ans, renouvelable. A ce jour, 32 sociétés ou organismes ont obtenu l’agrément, soit pour l’hébergement des traitements de données de santé de leurs patients, soit pour l’hébergement de données de santé (dossier médical partagé ou dossier médical personnel) des patients d’organismes tiers.

L'obtention de l’agrément est soumise à la mise en oeuvre (i) de solutions techniques, d'une organisation et de procédures de contrôle assurant la sécurité, la protection, la conservation et la restitution des données hébergées et (ii) d'une politique de confidentialité et de sécurité. L'hébergeur doit ainsi démontrer sa capacité à assurer la confidentialité, la sécurité, l'intégrité et la disponibilité des données de santé qui lui seront confiées par les professionnels de santé.(6)

    2.2 Des engagements contractuels précis adaptés aux contraintes des professionnels de santé
Le prestataire Cloud de données de santé devra proposer un service adapté aux contraintes spécifiques des professionnels de santé, compte tenu notamment de la nature des informations hébergées, de leur niveau de confidentialité, de leur volume, etc. Que le professionnel opte pour un hébergement en Cloud public (ressources mutualisées, la plateforme cloud peut donc être partagée entre plusieurs utilisateurs), privé (infrastructure fermée, dédiée à l'utilisateur), ou hybride (permettant la communication entre les deux infrastructures), les engagements du prestataire devront être contractualisés.

Le Code de la santé publique (art. L1111-8) exige que la prestation de service d'hébergement  conclue avec un professionnel de santé fasse l'objet d'un contrat écrit comprenant a minima, les éléments suivants :
- la description des prestations couvertes par le contrat et des moyens mis en oeuvre par l'hébergeur pour la fourniture des services ;
- les modalités de mise à disposition des données, ainsi que la description des conditions de recueil de l'accord des patients concernés par ces données s'agissant tant de leur hébergement que de leurs modalités d'accès et de transmission. Seuls pourront accéder aux données hébergées les patients concernés et les professionnels de santé qui les prennent en charge ;
- la mention des indicateurs de qualité et de performance permettant la vérification du niveau de service annoncé (convention de performance ou Service Level Agreement) ;
- une information sur les garanties permettant de couvrir la défaillance éventuelle de la plateforme  par la mise en oeuvre, par exemple, d’une solution de redondance (duplication de l’infrastructure) afin de permettre la continuité de service sans interruption en cas de chute de l’infrastructure principale en routant le service vers l’infrastructure secondaire ;
- une clause de réversibilité relative à la restitution au professionnel de santé de l'ensemble des données externalisées, au terme du contrat.

En sus de ces informations, il conviendra de préciser au contrat : les mesures de sécurité mises en oeuvre (systèmes de traçabilité des accès, chiffrement des données), la répartition des responsabilités entre le professionnel de santé et le prestataire, et la localisation des centres serveurs.

En matière de cloud computing, il est en effet fréquent que les données circulent entre des centres serveurs situés dans des pays différents. Ces transferts, même s’ils sont transparents pour l’utilisateur, restent soumis aux dispositions de la loi Informatique et Libertés. Les transferts de données depuis le territoire européen vers des pays situés en dehors de l'Union européenne sont interdits, sauf vers un pays reconnu comme offrant un niveau de protection adéquat. En cas de recours à un service Cloud, le professionnel de santé, responsable de traitement, devra s’informer sur la localisation des centres serveurs auprès du prestataire, et en cas de transfert hors Union européenne, procéder aux formalités auprès de la CNIL, préalablement à la mise en oeuvre du service.


Il appartient donc tant au professionnel de santé qu'au prestataire Cloud de prendre des précautions suffisantes quant au traitement des données de santé : le professionnel de santé en communiquant ses contraintes d’utilisation du service au prestataire et en s’informant auprès de celui-ci sur la teneur des prestations et du contrat préalablement à sa conclusion, et le prestataire en faisant jouer son obligation de conseil auprès du professionnel de santé.

Les contraintes réglementaires dans le domaine des données de santé à caractère personnel étant particulièrement strictes, tout manquement à ses obligations par l’une ou l’autre des parties est soumise soit à des sanctions administratives, soit à des sanctions pénales, sans oublier la mise en oeuvre de la responsabilité contractuelle et l’impact négatif fort de ces manquements sur la réputation du professionnel de santé et/ou sur le prestataire de service Cloud. En atteste par exemple l'avertissement récemment prononcé par la CNIL à l'encontre d'un hébergeur de données de santé, ayant fait une déclaration mensongère dans son dossier de demande d'agrément. Celui-ci prétendait chiffrer les données médicales hébergées, ce qui était inexact.(7)

* * * * * * * * * * * *

(1) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée ; Loi n° 2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de soins (dite “Loi Kouchner”) ; Articles L.1110-4, L.1111-7, L.1111-8, R.1110-1, R.1111-1 et suivants du Code de la santé publique ; Articles 226-16 et suivants du Code pénal.
(2) Sur les données de santé, voir l’article 8 de la loi Informatique et Libertés.
(3) En cas d'hébergement, ce consentement n'est pas exigé dès lors que l'accès aux données détenues n'est pas partagé mais limité au professionnel ou à l'établissement de santé qui les a déposées, ainsi qu'au patient concerné.
(4) La CNIL dispose du pouvoir de réaliser des contrôles sur place de conformité à la loi Informatique et Libertés auprès des responsables de traitement. Ainsi, les agents de la CNIL peuvent, sur décision de son Président, accéder aux locaux des cabinets médicaux et autres établissements de santé, demander communication de tout document nécessaire et en prendre copie, recueillir tout renseignement utile, accéder aux programmes informatiques et aux données. L’objectif est d’obtenir un maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre les traitements de données personnelles. Depuis quelques années, les contrôles de la CNIL auprès des professionnels de la santé se sont intensifiés.
(5) Voir les articles L.1111-8 et R.1111-9 à 1111-15 du CSP.
(6) Les conditions de l’agrément et la liste des hébergeurs agréés sont accessibles sur le site web de l'Agence des Systèmes d'Informations Partagés de Santé (ASIP santé: http://esante.gouv.fr/).
(7) Voir communiqué CNIL du 9 janvier 2012 : "La CNIL sanctionne une déclaration mensongère d'un hébergeur de données de santé". En 2009, une société avait déclaré dans son dossier de demande d’agrément qu'elle chiffrait l'ensemble des données médicales hébergées, par un procédé dit de "chiffrage fort", et a obtenu l'agrément. Début 2011, lors d’un contrôle de la CNIL, celle-ci a constaté que les données médicales n'étaient pas chiffrées et qu'elles étaient accessibles aux administrateurs informatiques de l’hébergeur et non pas exclusivement au personnel de santé habilité (la société avait uniquement protégé certaines des données de santé par un codage créé en interne). La CNIL a considéré que le traitement de données était contraire à loi Informatique et Libertés et au Code de la santé publique qui impose de prévenir le Ministre de la santé de tout changement affectant les informations fournies lors de la candidature. En prétendant chiffrer toutes les données médicales, ce qui était inexact, et en n'informant pas le Ministre de la santé d'un tel changement de procédure, l’hébergeur n'avait pas respecté le Code de la santé publique et traitait donc les données de manière illicite.

Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2012

Cloud computing : la confiance des partenaires passe par un “bon” contrat

A l’ère du document numérique, les services en mode “cloud”, bien qu’en fort développement, se heurtent toujours à la méfiance des clients potentiels. Nombre de sociétés, qui seraient tentées, essentiellement pour des raisons de baisse des coûts et de flexibilité, de sauter le pas de l’externalisation en cloud, s’y refusent par manque d’assurance et/ou de transparence de la part des prestataires.

Plusieurs problèmes de fond demeurent, tels que failles de sécurité et perte de données, localisation des données impossible, problèmes d’accès aux documents, etc.

Le droit, même s’il ne résout pas les problèmes techniques, peut contribuer à établir un climat de confiance entre les partenaires, indispensable pour que les entreprises-clientes soient rassurées.

Client et prestataire, des professionnels responsables
Plusieurs éléments tendent vers l’établissement de cette confiance entre client et prestataire.

Le client, qui reste responsable juridiquement du traitement de ses données, qu’elles soient à caractère personnel, confidentielles, ou autre doit, dans un premier temps, définir ses besoins : périmètre des activités à externaliser vers le cloud, confidentialité ou non des données, nécessité d’un cloud privé, public ou hybride, durée de l’externalisation, etc. Dans un deuxième temps, le client devra comparer les propositions des prestataires, celles-ci étant souvent standardisées. S’il s’agit d’une première externalisation, il sera plus prudent de se limiter à une activité non essentielle de l’entreprise, sur des données non confidentielles, au moins pour tester le service sélectionné pendant une première période.

Le prestataire doit pour sa part miser sur l’information et la transparence afin de rassurer le client : informer sur le niveau de service, la disponibilité des documents, l’existence d’un plan de continuité de l’activité, la sécurité, la localisation des serveurs, les procédures de réversibilité et/ou l’interopérabilité de la plateforme cloud, etc.

Le contrat de prestation cloud comme document différenciateur
Le contrat doit être intégré à cette démarche. En effet, un contrat de service cloud aux termes clairs, avec des engagements réels mais réalistes, est essentiel. Enfin, si les propositions standard ne correspondent pas aux besoins du client, celui-ci ne devra pas hésiter à se tourner vers des propositions de service personnalisées et négociables.

Bénédicte DELEPORTE - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2011

Cloud computing, données personnelles et sécurité : la CNIL consulte les professionnels

Pendant un mois, du 17 octobre au 17 novembre, prestataires et clients de services Cloud sont invités à faire part de leurs commentaires sur les solutions juridiques et techniques proposées par la CNIL pour améliorer l’encadrement juridique du Cloud computing.

Cinq séries de questions sont soumises aux parties, autour des thématiques suivantes : 1) qu'est-ce qui caractérise un service de Cloud computing ? 2) Le statut et les responsabilités du sous-traitant des données, applicables au prestataire Cloud, doivent-ils évoluer ? 3) Quels critères utiliser pour déterminer la loi applicable aux services Cloud ? 4) Quels outils juridiques permettraient de mieux encadrer les transferts de données vers des pays ne disposant pas d'un niveau de protection adéquat ? 5) Quelles mesures de sécurité devraient être adoptées (mesures techniques et gestion des accès aux données) pour garantir la confidentialité des données ?

Après analyse des contributions, la CNIL publiera des lignes directrices accessibles via son site web. Ces lignes directrices devraient fournir des éléments utiles pour faire évoluer les offres contractuelles et donc, améliorer la confiance des utilisateurs au moment de sélectionner une offre Cloud adaptée.

La consultation CNIL sur le Cloud computing est accessible sur le site de la CNIL (www.cnil.fr)


Bénédicte DELEPORTE
Avocat

* Article publié dans Le Nouvel Economiste, édition du 10 novembre 2011