Puis-je mettre mes données (salariale, document etc…) sur Dropbox, Microsoft One Drive, Google Drive, Apple iCloud, Amazon Web Services? Qu’est-ce que cela implique ? Où se trouvent-t-elles ?
*Ces informations sont données à titre indicatif et n'engagent en rien la responsabilité de FIDUCIAL WINBIZ SA*
La loi sur la protection des données protège les données personnelles et exige qu’elles soient traitées conformément aux normes de notre pays. Une donnée personnelle est n’importe quelle information qui se rapporte à une personne physique ou à une personne morale, et qui peut être utilisée, directement ou indirectement, afin d'identifier la personne. Une donnée personnelle peut être un nom, une photo, une adresse email, un ensemble de détails bancaires, des postes et messages sur les réseaux sociaux, des informations médicales, ou l’adresse IP d’un ordinateur (source : FAQ EUGDPR).
La loi n’interdit pas que les données personnelles soient traitées à l’extérieur de notre pays, à condition que leur traitement soit effectué dans des Etats dans lesquels il existe une législation assurant un niveau de protection adéquat (équivalent ou supérieur à celui exigé par la loi Suisse).
La liste des pays assurant un niveau de protection adéquat est publiée par le confédération est mis à jour régulièrement à cette adresse : Transmission des données - Liste Avril 2017
Il n'y a aucun problème dans la transmission des données depuis la Suisse vers des états de l’Union Européenne : leur législation est considérée adéquate.
Les acteurs majeurs du Cloud sont par contre des acteurs Américains et la législation en vigueur aux Etats Unis n’est pas considérée comme adéquate ni par la confédération, ni par l’Union Européenne.
Seules « les organismes qui adhèrent au Privacy Shield pour les données provenant de Suisse et qui figurent sur la liste du Département américain du commerce garantissent un niveau de protection adéquat au sens de l’art. 6, al. 1, LPD ». Le Privacy Shield est un cadre juridique qui garantit à des organisations américaines de pouvoir recevoir, héberger et traiter les données personnelles des citoyens Suisses et des Citoyens de l’Union Européenne.
Ces organisations peuvent être facilement trouvées à cette adresse : https://www.privacyshield.gov/list
- Dropbox – adhère au Privacy Shield, mais seulement pour des données non personnelles
- Google – adhère au Privacy Shield, pour tout type de données
- Microsoft – adhère au Privacy Shield, pour tout type de données
- Apple – n’adhère pas au Privacy Shield
- Amazon - adhère au Privacy Shield, mais seulement pour des données non personnelles
Si Google et Microsoft sont donc en ce moment pleinement conformes à la législation Suisse, il faut néanmoins être attentifs à un élément supplémentaire. Les utilisateurs professionnels des services de Google et de Microsoft peuvent bénéficier de clauses supplémentaires :
- https://www.microsoft.com/fr-fr/trustcenter/Compliance/EU-Model-Clauses
- https://support.google.com/googlecloud/answer/6056694?hl=en
- https://aws.amazon.com/compliance/eu-data-protection/
En résumé :
- La loi suisse n’exige pas que les données (même les données personnelles) soient hébergées en Suisse. La loi exige que, si les données sont transmises (ou hébergées) en dehors du pays, elles soient traitées dans des pays qui offrent une protection adéquate à celle en vigueur en Suisse.
- Il faut se renseigner sur les pays dans lesquels les données sont hébergées et vérifier, avec la liste officielle fournie par la confédération, si le niveau de protection dans ces pays est adéquat.
- Si le fournisseur des services est Américain, il faut vérifier s’il adhère au Privacy Shield et, si oui, pour quel type de données.
- Pour des données de type professionnel, il faut utiliser des services professionnels, et éviter les services tout public.