CNIL , Google Apps et clauses contractuelles types

CNIL Safe Harbor Google Apps


L'acharnement d'un internaute autrichien reprochant à Facebook le traitement qu'il faisait de ses données personnelles a finalement eu raison des plus hautes instance européennes qui ont clarifié le flottement juridique qui traînait depuis plusieurs années au niveau des hébergeurs de Cloud public.

L'invalidation de Safe Harbor par l'Union Européenne le 6 Octobre 2010 pose la question légitime de la conformité de l'offre Google Apps avec la CNIL.

Cette invalidation aurait, il y a deux ans, rendu illégale aux yeux de la CNIL tout stockage de données à caractère personnel sur Google Drive, Google Contacts ou même sur l'annuaire Google Apps.

Cependant, depuis Mars 2013, Google Apps ne s'appuie plus que sur "Safe Harbor" seulement pour être conforme à la CNIL, mais aussi sur les clauses contractuelles types exigées par l'Union Européenne, auxquelles le fournisseur de service doit se soumettre.

Google était conforme aux exigences de la CNIL grâce à Safe Harbor et aux clauses contractuelles types de l'Union Européenne. Désormais, c'est grâce aux clauses contractuelles types seulement.


Explication :

La CNIL ne reconnait le transfert de données relatives aux personnes que sur des serveurs localisés sur des territoires dits “numériquement surs”, à savoir : tous les pays de l’Union Européenne, Andorre, l’Argentine, le Canada, les Iles Féroé, l’Ile de Man, Guernesey, Jersey, Israël, l’Uruguay et la Suisse.


Le cloud Google étant par définition international, il peut héberger certaines des données de ses clients sur ses Centres de Données aux Etats-Unis, pays qui ne rentre pas dans cette définition.


Lorsque des données personnelles françaises sont hébergées sur des serveurs localisés aux Etats-Unis ou dans des pays ne faisant pas partie de ceux cités ci-dessus, la CNIL peut à tout moment ordonner la suppression du transfert si elle estime que l’utilisation que l’hébergeur fait de ces données n’est pas conforme aux disposition européennes et françaises en matière de respect de la vie privée et de confidentialité des données.


Les deux critères pris en considération par la CNIL sont :
  • La propriété réelle des données et leur utilisation ou non à des fins commerciales
  • La suppression définitives de données des serveurs de l’hébergeur lors que l’utilisateur en fait la demande


Afin de valider la conformité d’un hébergeur, la CNIL doit s’assurer que ces critères sont clairement indiqués dans des clauses contractuelles types présentes dans le contrat de service fourni par l’hébergeur.

Google garantie au client la propriété de ses données hébergées sur Google Apps et assure que toute données supprimée disparaît définitivement des serveurs Google.

Google adjoint au contrat “Google Apps for Work” proposé par Econsulting, toutes les clauses contractuelles types exigées par la CNIL et l’Union Européenne, indiquant notamment que la propriété des données reste entièrement celle du client, que toute suppression définitive par l’utilisateur entraîne une destruction totale de la donnée des serveurs Google, mais aussi que le droit applicable de ces clauses est le droit français et que Google se soumet à toutes les exigences législatives locales.


Stef Cohen
stef@econsulting.fr


Références : 


Article précedent
Précedent »

Publiez un commentaire ! ConversionConversion EmoticonEmoticon