Ceci est une proposition de traduction graieuse en langue franaise du texte allemand suivant extrait de la revue Multimedia und

Recht MMR 05/2009 20090701 2 pages de PDF planipuntique (bitmapped) http://www.bingham.com/Media.aspx?MediaId=8637 "USA: Cloud Computing Schwarze Lcher im Datenschutzrecht (USA: Cloud Computing Black Holes in Data Protection Law)," par le Dr Axel Spies, Bingham McClutchen, Washington, DC Multimedia und Recht (MMR Aktuell) (May 2009). Les textes entre [] sont des complments du traducteur. MMR 5/2009 page XI/XII revue MultiMEdia und Recht rubrique MMR aktuell

tats-Unis Cloud Computing ou Informatique nbuleuse: des trous noirs dans la lgislation sur la protection des donnes.
La notion de d'informatique nbuleuse (Cloud Computing ou "CC") rsonne comme un mystre et est discute avec vhmence dans les milieux spcialiss aux tats-Unis - en Europe le thme n'est pas encore arriv maturit. Sbbing a dcrit le modle d'affaire dans la revue Droit du Multimdia en 2008 (MMR 5/2008, P. XII). Comme souvent dans le domaine des tlcommunications, la question pose est: est-ce que les structures actuelles du droit peuvent tre adaptes de nouveaux dveloppements techniques? Qu'est-ce que l'informatique nbuleuse (CC) ? Le concept de l'informatique nbuleuse (CC) trouve son origine dans l'ide commerciale que le logiciel et les donnes ne sont plus traits ou conservs localement (e.g. sur un ordinateur de bureau), mais bien sur Internet grce au rseau d'un tiers. Cela n'est en ralit pas nouveau et cette architecture existe au moins dj depuis les annes soixante-dix quand dans les centres informatiques un ordinateur IBM central servait totalement ses terminaux ([clients lgers] sans intelligence). Du point de vue du droit, le fait intressant dans l'informatique nbuleuse (CC) est que l'utilisateur local ne peut plus constater de manire certaine, contrairement au cas de l'ordinateur central IBM, o se trouvent physiquement les donnes - elles se trouvent dans la nbuleuse. Pour comprendre ce procd technique, il faut examiner les trois modles de l'informatique nbuleuse (CC): Infrastucture as a service (IaaS) : ce modle est offert entre autre par Amazon comme une machine virtuelle (Virtual Machine): l'offreur de service rend disponible du temps de calcul quelque part dans le monde pendant quelques millisecondes ou plus longtemps pour l'utilisateur (gnralement des entreprises). Amazon a dvelopp cette fonction d'exportation sur des ordinateurs de socits tierces pour ses propres besoins - e.g. pour matriser le choc des achats Nol sur ses propres serveurs. L'IaaS est propos des entreprises, e.g. pour matriser des priodes de pointe dans l'utilisation de ressources informatiques. Software as a service (SaaS) : Beaucoup d'entreprises aux tats-Unis offrent aux utilisateurs d'utiliser leurs logiciels sur des ordinateurs de tiers, de sorte que l'utilisateur peut les utiliser de faon virtuelle. Un exemple en est Google Docs pour le traitement de texte de type Word et des programmes tableurs de type Excel ou encore Sliderocket pour [des logiciels de prsentation de type] PowerPoint. Platform as a service (PaaS) : Dans ce dernier cas, un exemple de dveloppement plus large de l'ide SaaS est Microsoft Azure. Le PaaS offre des dveloppeurs de logiciels d'autres plates-formes sur lesquelles les utilisateurs [naux] peuvent dvelopper leurs propres applications. L'utilisation de l'informatique nbuleuse (CC) pour les clients naux est aujourd'hui porte de main : les risques de l'entreprise concernant logiciels et applications sont [ainsi] transfrs des tiers; il n'est plus ncessaire de grer la mise jour des programmes sur diffrents ordinateurs, les redevances sont plus faibles que des licences d'utilisateur individuels - de plus les frais d'entretien pour logiciel et matriels diminuent. L'entreprise peut ainsi rduire des cots

en passant de l'achat de logiciel des forfaits d'utilisation. Ce transfert dans la nbuleuse peut tre trs problmatique pour le droit sur la protection des donnes (Datenschutzrecht, loi BDSG BundesDatenSchutz Gesetz). Sauts quantiques et droit de la protection de donnes ? Les droits de protection des donnes allemands et europens s'appuient sur le principe qu'on peut constater tout moment la localisation [territoriale] exacte des donnes dans les ordinateurs et les mmoires. Cela n'est plus garanti dans l'informatique nbuleuse (CC) (que l'on pourrait rapprocher par exemple des sauts quantiques en physique). Les ensembles de donnes peuvent se trouver un jour au Kazakhstan, un jour Washington et une milliseconde plus tard dans le centre de service de Berlin, en fonction des capacits disponibles en mmoire et en calcul. Si cela est possible, les ensembles de donnes sont rpartis entre les diffrents serveurs de faon que ces lments ne reprsentent pas de donnes personnelles, tout en contenant une fois assembls ces informations. Cela rend une surveillance - e.g. dans le cadre d'une poursuite pnale dans les propres frontires du pays (Land) - difcile, voire impossible. Compte-tenu de la situation du droit actuel dans [la loi fdrale allemande sur la protection des donnes] (BDSG), des donnes personnelles sont protges tant que les traitements concerns par le droit sur la protection des donnes sont entrepris sur le territoire [fdral] (im Inland) que les donnes proviennent des tats-Unis ou d'Allemagne. Le droit suit le principe de territorialit conformment au 1 al. 5 de la loi BDSG. Le centre de traitement collecte, traite ou utilise des donnes sur le territoire. Par exception, a loi applicable est celle du lieu du sige (principe de sige) dans le cas o une entit recueillant sur le territoire des donnes caractre personnel se trouve dans un autre tat membre de l'UE ou dans un autre Etat li par trait l'UE ( 1 al. 5 phrase 1 BDSG). L'exception symtrique existe quand cette entreprise collecte, traite ou utilise l'intrieur du territoire [fdral] les donnes dans un tablissement situ sur le territoire [fdral]. Ce concept reste cependant difcile maintenir en informatique nbuleuse (CC). Un offreur d'infrastructure (laaS), comme Amazon, ne peut probablement pas du tout constater prcisment, sur quel serveur les donnes se trouvent un moment donn. De sorte que, d'une part c'est grand ouvert au Forum-Shopping, d'autre part le danger existe qu'un juge se dclare incomptent parce que les preuves en informatique nbuleuse (CC) peuvent tre insufsantes quant au respect du principe de territorialit. Mme si la localisation des donnes un moment donn est constate avec une scurit sufsante, il ne peut tre afrm que cet emplacement ne peut changer quelques millisecondes plus tard - et donc modier aussi le droit applicable. Des difcults avec les lois gouvernant les importations et les exportations peuvent galement se rvler, quand, en SaaS, du logiciel est dplac dans des pays tiers. Le droit des tats-Unis est prcisment strict en ce domaine. Approches de solutions Les solutions juridiques sont encore embryonnaires et ne peuvent pas tre examines en dtail ici. Le problme est apparu aux tats-Unis dans le cadre de l'extension des dispositions de surveillance lies la loi des tats-Unis dite Patriot Act: e.g. des organismes publics canadiens ne peuvent stocker, suivant la loi canadienne, aucune donne en provenance du Canada sur des serveurs aux tats-Unis, parce que ceux-ci pourraient alors tomber sous la loi Patriot Act. Des entreprises canadiennes comme Enamoly tirent prot de cette interdiction pour leur activit, en offrant des services d'informatique nbuleuse (CC) qui annoncent viter, en accord avec le droit canadien, tout stockage de donnes sur des serveurs amricains. Le gouvernement amricain manoeuvre sur ce point, en faisant valoir que la loi amricaine Patriot Act permet d'autoriser l'interception et le recueil de donnes sur des lieux l'tranger. D'autres problmes se posent aux tats-Unis l'informatique nbuleuse (CC) dans le cadre de la loi des tats Unis sur la protection des donnes de sant le Health Insurance Portability and Accountability Act (HIPAA) en ce qui concerne la surveillance et l'audit, quand des donnes de sants seront installes dans un rseau d'informatique nbuleuse (CC). Cela

vaut de faon analogue pour les obligations de documentation et de publicit concernant des entreprises cotes [en bourse] assujetties la loi svre dite Sarbanes Oxley. Solutions pour la loi de protection des donnes ? Aux tats-Unis, les entreprises tentent de limiter leur responsabilit dans le cadre de l'informatique nbuleuse (CC) par des conventions d'utilisation, au moins par voie de contrat (e.g. pas de stockage de donnes en Allemagne), et ne l'introduisent presque jamais dans une ngociation. Cela pourrait tre difcilement possible en Allemagne, o la loi BDSG [NdR d'ordre public?] ne peut simplement tre remplace par des conventions [contractuelles] d'utilisation. Conformment au 4b de la loi BDSG, la transmission de donnes depuis l'Allemagne vers l'tranger n'est effectivement licite que dans le cadre de conditions strictes. Les tats-Unis sont considrs du point de vue de l'Union Europenne (UE), comme un pays la protection des donnes de niveau inadquat. On pourrait concevoir une solution en suivant le systme des rgles internes d'entreprises (Binding Corporate Rules) au niveau de l'UE. Selon cet axe, l'autorit comptente l'chelle communautaire (UE) approuve un plan de protection des donnes pour un groupe industriel (Konzern) ou un ensemble d'entreprises. Muni de cette approbation, une entreprise pourrait alors utiliser ses donnes dans une nbuleuse europenne voire dans le monde entier. Toutefois, cette ide n'a pas encore fait son chemin en Europe pour nombre de raisons. Peut-tre que le cas de l'informatique nbuleuse (CC) offre l'occasion de reconsidrer en soi le principe de la territorialit appliqu la protection des donnes. La seule constatation que la disparition des donnes personnelles dans une nbuleuse (dans un trou noir en serait probablement une meilleure image) est un tat inacceptable (selon Sbbing ,loc. cit , P. XIV), ne conduit pas bien loin. Une autre solution juridique de protection des donnes (BDSG) (la thorie du destinataire[ ou thorie du rattachement] selon Jotzo, MMR 2009, pages 232 et suivantes) est dcrite pour les ux de donnes trans-frontaliers depuis et vers l'UE : selon elle, le droit de protection des donnes allemand est applicable, si le responsable, tabli dans un tat tiers, organise de faon manifeste pour les utilisateurs en Allemagne ses modalits de traitement (Jotzo, loc. cit., P. 236). Cette approche ne conduit pas plus vers une rgle [solution] dans le cas de l'informatique nbuleuse (CC) parce qu'en gnral, l'offre de services ne s'adresse pas aux utilisateurs [naux], comme cela est dcrit supra, mais bien d'autres entreprises. S'attacher uniquement au lieu d'tablissement de l'offreur de service (lieu qui peut tre facilement manipul) est galement un point [gnrateur] d'incertitudes [juridiques]. S'attacher aux emplacements des serveurs, ce qui est propos dans les publications allemandes (Jotzo, loc. cit.), conduit pour le traitement de donnes dans la nbuleuse (e.g. dans Internet) des rsultats arbitraires, si on peut trouver effectivement un serveur pertinent dans la nbuleuse. Ce qu'il reste retenir : une interdiction totale de l'informatique nbuleuse ("CC") n'a pas de sens et n'est pas applicable. Peut-tre existe-t-il un axe de recherche: chaque citoyen gre et protge ses [propres] droits nationaux de protection des donnes - o que les donnes se trouvent physiquement. De telles rgles sont connues des juristes allemands dans le droit des conits [civils] internationaux e.g. pour le droit applicable au nom (Article 10 al. 1 du EGBGB code civil allemand -), la donne personnelle probablement la plus importante. Cet prise de distance par rapport au principe de territorialit a toutefois des inconvnients (le danger issu de traitements juridiques distincts de donnes personnelles sur le mme serveur) et exige une analyse plus approfondie. RA Dr. Axel Spies, Bingham McCutchen, Washington DC. MMR 5/2009 seite XI/XII MultimEdia und Recht MMR aktuell