{"id":10867,"date":"2022-03-17T10:05:44","date_gmt":"2022-03-17T09:05:44","guid":{"rendered":"https:\/\/www.dp-institute.eu\/pas-de-traitement-des-dossiers-dans-le-cloud-hors-ue-selon-la-vtc\/"},"modified":"2022-03-17T10:06:42","modified_gmt":"2022-03-17T09:06:42","slug":"pas-de-traitement-des-dossiers-dans-le-cloud-hors-ue-selon-la-vtc","status":"publish","type":"post","link":"https:\/\/www.dp-institute.eu\/fr\/pas-de-traitement-des-dossiers-dans-le-cloud-hors-ue-selon-la-vtc\/","title":{"rendered":"Pas de traitement des dossiers dans le cloud hors UE selon la VTC"},"content":{"rendered":"

La Commission de contr\u00f4le flamande pour le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel (VTC) s\u2019est exprim\u00e9e dans un nouvel avis sur l\u2019utilisation des applications bureautiques dans un mod\u00e8le de cloud public. La commission s\u2019appuie ainsi sur l\u2019un de ses avis ant\u00e9rieurs\u00a0: le cloud public ne doit, en principe, pas \u00eatre utilis\u00e9 pour le traitement des dossiers, mais plut\u00f4t comme une application bureautique g\u00e9n\u00e9rale. L\u2019avis est applicable \u00e0 toutes les applications bureautiques g\u00e9n\u00e9rales dans un mod\u00e8le de cloud.<\/strong><\/p>\n

La VTC a pr\u00e9c\u00e9demment d\u00e9j\u00e0 indiqu\u00e9 dans un avis (VTC\/A\/2020\/05<\/a>) que ce n\u2019\u00e9tait pas une bonne id\u00e9e de stocker les donn\u00e9es des \u00e9tudiants flamands pendant une longue p\u00e9riode et \u00e0 grande \u00e9chelle sur les serveurs d\u2019Amazon (fournisseur de cloud non europ\u00e9en). Cela serait contraire \u00e0 la l\u00e9gislation europ\u00e9enne en mati\u00e8re de protection de la vie priv\u00e9e. Seules les donn\u00e9es sensibles qui ne faisaient pas l\u2019objet d\u2019un traitement \u00e0 grande \u00e9chelle et qui \u00e9taient temporaires, pouvaient encore \u00eatre tol\u00e9r\u00e9es.<\/p>\n

Dans son nouvel avis (VTC\/A\/2021\/12<\/a>), la VTC applique le principe de territorialit\u00e9 aux applications bureautiques dans le cadre desquelles des donn\u00e9es sont trait\u00e9es dans le cloud public. Le probl\u00e8me qui se pose \u00e0 cet \u00e9gard est qu\u2019un fournisseur de services de cloud est g\u00e9n\u00e9ralement non europ\u00e9en, ind\u00e9pendamment de l\u2019emplacement des donn\u00e9es choisi. Cela signifie que la conformit\u00e9 aux exigences europ\u00e9ennes en mati\u00e8re de protection des donn\u00e9es ne peut \u00eatre garantie.<\/p>\n

Une cons\u00e9quence de cette situation pourrait \u00eatre, selon la VTC, que \u00ab\u00a0la l\u00e9gislation applicable au fournisseur, comme celle des \u00c9tats-Unis, par exemple, permettrait aux pouvoirs publics de r\u00e9clamer massivement les donn\u00e9es g\u00e9r\u00e9es par ces fournisseurs de cloud, m\u00eame si les serveurs ne sont pas situ\u00e9s aux \u00c9tats-Unis\u00a0\u00bb.<\/p>\n

Lignes directrices pour le cloud public<\/h3>\n

Dans son avis, la VTC fournit quelques lignes directrices devant servir de point de rep\u00e8re aux administrations et aux organisations. Elle indique ainsi par exemple qu\u2019il faut d\u2019abord examiner pour quels traitements l\u2019utilisation d\u2019une application de cloud public est ou n\u2019est pas acceptable. Si elle est acceptable, il convient de v\u00e9rifier quelles mesures peuvent \u00eatre prises pour prot\u00e9ger davantage le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel.<\/p>\n

Pour la gestion structurelle de dossiers contenant des donn\u00e9es \u00e0 caract\u00e8re personnel, le cloud public n\u2019est en principe pas acceptable. Il en va de m\u00eame pour le partage ou l\u2019\u00e9change de donn\u00e9es \u00e0 caract\u00e8re personnel sensibles (par exemple, le statut vaccinal), ainsi que pour l\u2019utilisation du cloud pour la participation citoyenne, comme les dossiers partag\u00e9s dans le cloud.<\/p>\n

L\u2019utilisation du cloud public serait alors en principe possible pour l\u2019\u00e9change de projets de document ne contenant pas d\u2019informations confidentielles et pour l\u2019ex\u00e9cution de t\u00e2ches pratiques. La VTC pense par exemple au fait de collaborer \u00e0 un plan de gestion. Des donn\u00e9es \u00e0 caract\u00e8re personnel peuvent \u00e0 cet \u00e9gard \u00eatre \u00e9chang\u00e9es de mani\u00e8re occasionnelle, comme le nom ou l\u2019adresse \u00e9lectronique d\u2019un coll\u00e8gue ou des informations limit\u00e9es sur le collaborateur.<\/p>\n

Quoi qu\u2019il en soit, les lignes directrices ci-dessus ne sont qu\u2019indicatives. Au moment de d\u00e9cider si une application de cloud peut ou non \u00eatre utilis\u00e9e, il importe de toujours effectuer une analyse des risques conform\u00e9ment au RGPD. L\u2019avis du d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es\/DPO est toujours requis \u00e0 cet \u00e9gard. La structure des donn\u00e9es \u00e0 caract\u00e8re personnel, l\u2019\u00e9chelle du traitement et la sensibilit\u00e9 des informations sont des crit\u00e8res avanc\u00e9s par la VTC. Ils servent \u00e0 d\u00e9terminer si les informations peuvent ou non \u00eatre trait\u00e9es dans le cloud public.<\/p>\n

Si le traitement dans le cloud public a quand m\u00eame lieu, la VTC a \u00e9galement fourni des conseils et des exigences minimales \u00e0 cet effet. Il s\u2019agit notamment de la conclusion obligatoire d\u2019un contrat de sous-traitance avec le fournisseur de cloud ou du traitement des donn\u00e9es uniquement dans des serveurs situ\u00e9s en Europe.<\/p>\n

Conclusion\u00a0: applications bureautiques dans le cloud hors UE uniquement en tant qu\u2019applications bureautiques g\u00e9n\u00e9rales<\/h3>\n

En bref, le cloud public ne peut \u00eatre utilis\u00e9 que comme une application bureautique g\u00e9n\u00e9rale et non pour le traitement des dossiers. La VTC laisse aux administrations le choix d\u2019op\u00e9rer eux-m\u00eames une pond\u00e9ration. Cela concerne \u00e0 la fois le choix des prestataires de services et l\u2019utilisation correcte des services. La responsabilit\u00e9 finale incombe donc aux administrations, qui ont tout int\u00e9r\u00eat \u00e0 toujours rechercher des solutions alternatives.<\/p>\n","protected":false},"excerpt":{"rendered":"

La Commission de contr\u00f4le flamande pour le traitement des donn\u00e9es \u00e0 caract\u00e8re personnel (VTC) s\u2019est exprim\u00e9e dans un nouvel avis sur l\u2019utilisation des applications bureautiques dans un mod\u00e8le de cloud public. La commission s\u2019appuie ainsi sur l\u2019un de ses avis ant\u00e9rieurs\u00a0: le cloud public ne doit, en principe, pas \u00eatre utilis\u00e9 pour le traitement des […]<\/p>\n","protected":false},"author":10,"featured_media":10863,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[30],"tags":[],"class_list":["post-10867","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-dpo"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/10867","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/comments?post=10867"}],"version-history":[{"count":1,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/10867\/revisions"}],"predecessor-version":[{"id":10868,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/10867\/revisions\/10868"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/media\/10863"}],"wp:attachment":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/media?parent=10867"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/categories?post=10867"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/tags?post=10867"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}