Observatoire législatif
Parlement européen
Please fill in this field to find a procedure

Exploiter le potentiel de l'informatique en nuage en Europe

2013/2063(INI)

Avis du Contrôleur européen de la protection des données (CEPD).

Le CEPD se félicite de communication présentée par la Commission le 27 septembre 2012.

L’avis concerne particulièrement les difficultés suscitées par l’informatique en nuage pour la protection des données, et la manière dont la proposition de règlement sur la protection des données pourrait résoudre ces difficultés.

L’avis du CEPD poursuit trois objectifs :

1) Insister sur la pertinence de la protection de la vie privée et des données dans les discussions actuellement menées sur l’informatique en nuage : l’avis souligne que le niveau de protection des données dans un environnement d’informatique en nuage ne devrait pas être inférieur à celui qui est requis dans tout autre contexte de traitement de données.

2) Analyser les défis liés à la difficulté d’établir sans ambigüité les responsabilités des différents acteurs et les notions de responsable du traitement et de sous-traitant : à cet égard, la proposition de règlement sur la protection des données devrait :

  • élargir les conditions dans lesquelles un fournisseur de services en nuage peut être considéré comme responsable du traitement ;
  • accroître la responsabilité des responsables du traitement et des sous-traitants en introduisant des obligations spécifiques telles que la protection des données dès la conception et par défaut, la notification de violation des données à caractère personnel et l’analyse d’impact relative à la protection des données ;
  • imposer aux responsables du traitement et aux sous-traitants de mettre en œuvre des mécanismes visant à démontrer l’efficacité des mesures prises en faveur de la protection des données ;
  • aider les clients et les fournisseurs de services en nuage à mettre en œuvre des garanties de protection des données appropriées pour les transferts de données à caractère personnel vers des centres de traitement ou des serveurs situés dans des pays tiers ;
  • clarifier  les obligations des responsables du traitement et des sous-traitants concernant la sécurité des traitements et les exigences d’information en cas de violation des données,
  • renforcer la coopération entre les autorités de contrôle et leur contrôle coordonné sur les traitements transfrontaliers.

3) Identifier des domaines dans lesquels de nouvelles mesures sont nécessaires au niveau de l’Union européenne sur le plan de la protection des données et de la vie privée. Ces nouvelles mesures pourraient comprendre, notamment :

de nouvelles recommandations,

  • des efforts d’uniformisation,
  • la réalisation de nouvelles évaluations des risques pour des secteurs spécifiques (tels que le secteur public),
  • le développement de clauses et conditions contractuelles standard,
  • l’ouverture d’un dialogue international sur les questions liées à l’informatique en nuage et sur la mise en œuvre de moyens permettant d’assurer une véritable coopération internationale.