Si la Cnil semblait jusqu’alors admettre implicitement la possibilité d’une responsabilité conjointe de traitement, les services de Cloud computing sont l’occasion pour elle de formuler des recommandations allant en ce sens de manière plus explicite. En effet, le 1er juillet 2013, la Cnil a publié une fiche pratique comprenant les 7 étapes clés à respecter afin de garantir la confidentialité des données dans le cadre de la souscription à des services de Cloud computing (1).
Les recommandations relatives au Cloud computing formulées par la Cnil au sein de cette fiche pratique reprennent de manière plus concise ses précédentes recommandations à l’attention des entreprises (2) mais cette fiche pratique est aussi l’occasion d’asseoir un peu plus sa position sur la responsabilité conjointe de traitement de données à caractère personnel.
Dans ses recommandations de juin 2012, la Cnil indiquait que le client du service de Cloud computing avait la qualité de responsable de traitement et le prestataire celle de sous-traitant. Néanmoins, elle avait reconnu que, notamment dans le cadre d’offres standardisées non négociables, le prestataire de service de Cloud computing pourrait « a priori » être considéré comme conjointement responsable en vertu de la définition de « responsable de traitement » figurant à l’article 2 de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Au sein de sa fiche pratique, la Cnil semble admettre de manière plus tranchée la possibilité d’une responsabilité conjointe. Elle recommande que dans un tel cas, les obligations et le périmètre des responsabilités de chacun soient clairement établis et qu’une telle distribution de responsabilités soit actée en amont de la mise en œuvre du traitement concerné.
Enfin, elle précise le cas dans lequel une responsabilité conjointe pourra être admise à savoir lorsque le client ne peut pas réellement donner d’instruction à son prestataire et ne peut pas non plus contrôler l’effectivité des garanties de sécurité apportées par ce dernier.
Bien que la Cnil conclut, ici encore, que le prestataire de Cloud computing pourrait, dans un tel cas, « a priori » être considéré comme responsable conjoint de traitement, elle semble s’aligner sur la proposition de règlement européen sur ce point qui vient surtout préciser le régime de cette responsabilité conjointe et notamment la nécessité de définir, par voie d’accord, les obligations respectives de chacun des responsables (3).
Céline Avignon
Anne Renard
Lexing Droit Marketing électronique
(1) Cnil, Fiche pratique du 1-7-2013.
(2) Cnil, Recommandations du 6-2012.
(3) Proposition de règlement 2012/0011 du 25-1-2012, art. 24.