Services de stockage de données en ligne (services de cloud) : les points à vérifier avant de souscrire
Fiche pratique J 362
Comment fonctionnent les services de cloud ? Comment choisir un service assurant une protection des données à caractère personnel ? Comment récupérer les fichiers stockés à la fermeture du compte ?
1 - Qu’est-ce qu’un service de stockage de données en ligne/service de cloud ?
2 - Quels types de contrats sont proposés par les services de stockage de données en ligne ?
3 - Disposez-vous d’un droit de rétractation après souscription du contrat "cloud" ?
4 - Comment s’assurer de la protection de vos données à caractère personnel ?
5 - Qu’est-ce que le chiffrement de bout en bout ?
6 - Pouvez-vous choisir le lieu d’hébergement de vos données ?
7 - Les contenus stockés sont-ils immédiatement effacés après la fermeture du compte ?
9 - Est-il possible de changer de cloud/de service de stockage de données en ligne ?
CONSEILS PRATIQUES
|
1 - Qu’est-ce qu’un service de stockage de données en ligne/service de cloud ?
Un service de stockage en ligne est un service permettant de stocker des fichiers par exemple sur un réseau ou sur un serveur distant et accessible via Internet (appelé aussi "cloud" ou "nuage ". L'espace personnel de l'utilisateur est accessible en renseignant identifiant et mot de passe.
Qui propose ce service ?
Le fournisseur du service fournit un service de stockage de données qui peut être gratuit ou payant, selon l’espace de stockage proposé.
Ces services sont pratiques car ils ont une grande capacité de stockage (plusieurs Go jusqu’à plusieurs To), ce qui peut être utile lorsque l’espace de stockage physique dont dispose l'utilisateur n’est pas suffisant (Définition des octets : ko, Mo, Go, To...).
De plus, les données n’étant pas stockées sur un support physique (clé USB, disque dur externe…) mais sur un « cloud », il existe moins de risques que les données soient perdues (panne de disque dur…). Toutefois, il faut garder en tête que le risque zéro n’existe pas. Autre avantage : il est possible de consulter les fichiers stockés sur un serveur depuis n’importe quel appareil (ordinateur, téléphone, etc.) et de les partager facilement.
2 - Quels types de contrats sont proposés par les services de stockage de données en ligne ?
La souscription à une offre de service de stockage en ligne se fait généralement sur Internet (contrat de vente à distance). Certains services proposent des offres gratuites avec un espace de stockage limité. Le contrat de stockage de données en ligne est souvent un contrat à durée déterminée qui prend la forme d’un abonnement mensuel ou annuel. Il est important que l’information sur les offres commerciales ainsi que sur la durée du contrat soit mentionnée le plus clairement possible pour le consommateur.
Les durées de contrat ne sont pas déterminées par la loi. Les services de stockage de données sont libres de choisir la durée du contrat (contrat avec une durée minimale d’engagement, à tacite reconduction, sans engagement, etc.). Toutefois une obligation très importante leur incombe ; celle de l’information. En vertu des articles L. 111-1 et R. 111-1 du code de la consommation, les plateformes de stockage doivent informer notamment sur les caractéristiques essentielles du service, le prix du service, la durée du contrat, l’existence ou non d’une tacite reconduction ainsi que les modalités de résiliation s’il s’agit d’un contrat à durée indéterminée ou à tacite reconduction.
3 - Disposez-vous d’un droit de rétractation après souscription du contrat "cloud" ?
Le contrat de stockage de données est un contrat de prestation de service, il est conclu à distance (généralement sur Internet) et donc bénéficie des règles spéciales à ce type de contrat tel que le droit de rétractation de 14 jours.
Le droit de rétractation doit être exercé dans les 14 jours à compter du lendemain de la conclusion du contrat (article L. 221-18 et L. 221-19 du code de la consommation)
Sur le droit de rétractation, consultez les fiches suivantes :
- La vente hors établissement (ou "démarchage à domicile").
- Délais de réflexion - Délais de rétractation.
4 - Comment s’assurer de la protection de vos données à caractère personnel ?
En souscrivant à une offre de stockage de données en ligne, des données à caractère personnel seront commniquées au service (nom, prénoms, fichiers...). La protection des données à caractère personnel est donc essentielle.
Il est recommandé de lire en amont les politiques de confidentialité, politique de protection des données à caractère personnel … En somme, tout document informant de la protection des données à caractère personnel. Afin de choisir un service de stockage de données assurant une protection des données à caractère personnel traitées.
Le professionnel a l’obligation d’informer l’utilisateur du traitement (collecte, enregistrement, extraction...) de ses données à caractère personnel. Ces documents sont généralement accessibles depuis le site Internet du service de stockage des données (ex. bandeau en bas de page du site Internet). Et sur les applications mobiles proposées par les services (par exemple depuis les paramètres de l’application).
A la lecture des documents, les informations suivantes doivent être identifiées :
|
Le Règlement Général sur la Protection des Données à caractère personnel (dit "RGPD") et la loi Informatique et Libertés sont les deux textes de loi encadrant, en France, la protection des données à caractère personnel.
Consultez l’article suivant : "RGPD" : quelle protection pour vos données personnelles ?".
5 - Qu’est-ce que le chiffrement de bout en bout ?
La majorité des services de stockage de données en ligne proposent a minima un chiffrement des données lors de leurs transferts sur le service. Ce qui permet de garantir la sécurité des documents lors de leur envoi et d’éviter qu’un pirate ne les intercepte lors de cette action de transfert. Dans ce cas, le service de stockage dispose de la clé de chiffrement et de déchiffrement permettant de lire les données stockées.
La fonctionnalité de « chiffrement de bout en bout » permet d’assurer un chiffrement des données stockées, empêchant le service de stockage d’accéder lui-même auxdites données déposées par l’utilisateur sur sa plateforme. Le service de stockage de données ne dispose pas de la clé de chiffrement.
Certains services de stockage de données proposent cette fonctionnalité en option. Celle-ci peut être le gage d’un renforcement de la sécurité et de la protection des données. D’autant plus, lorsque les données stockées sont sensibles ou confidentielles.
Certains services de stockage de données appliquant le chiffrement de bout en bout, se réservent la possibilité, dans certains cas, de lire le contenu stocké par l’utilisateur. Parfois, cette option n’est pas le gage d’une absence d’accès total au contenu stocké par le service. Il est donc recommandé de lire attentivement les politiques de protection des données à caractère personnel.
De plus, la présence de cette option n’empêche pas la transmission des données à caractère personnel à des tiers pour répondre à des obligations légales ou judiciaires.
6 - Pouvez-vous choisir le lieu d’hébergement de vos données ?
En cas de localisation et de transferts de données hors de l’Union européenne, l’utilisateur doit en être informé.
De plus, les transferts hors de l’Union européenne doivent être encadrés en utilisant les différents outils juridiques proposés par le RGPD (décision d’adéquation de la Commission européenne, clauses contractuelles types…) afin d’assurer un niveau de protection des données suffisant et approprié.
Pour en savoir plus sur l’encadrement juridique des transferts des données, consulter l’article suivant : « "RGPD" : quelle protection pour vos données personnelles ? »
Pour en savoir plus sur les différents niveaux de protection des données dans le monde, consultez la carte « La protection des données dans le monde » de la CNIL.
Certains services de stockage de données en ligne hébergent leurs données exclusivement en Union européenne ou alors dans un pays considéré comme adéquat par la Commission européenne (c’est-à-dire un pays dont la règlementation intérieure est conforme au RGPD et ne nécessite donc pas d’encadrement par des outils de transfert).
Le professionnel doit obligatoirement informer l’utilisateur si ses données à caractère personnel sont transférées hors de l’Union européenne.
Il est donc recommandé de lire en amont les politiques de confidentialité, politique de protection des données à caractère personnel … en somme, tout document informant de la protection des données à caractère personnel. Afin de choisir un service de stockage de données a minima hébergeant des données à caractère personnel en Union européenne.
Le professionnel a l’obligation d’informer l’utilisateur du traitement de ses données à caractère personnel. Ces documents sont généralement accessibles depuis le site Internet du service de stockage des données (par exemple le bandeau en bas de page du site Internet). Et sur les applications mobiles proposées par les services (par exemple depuis les paramètres de l’application).
7 - Les contenus stockés sont-ils immédiatement effacés après la fermeture du compte ?
Il est possible que les plateformes de stockage en ligne n’effacent pas immédiatement les données stockées après la fermeture d’un compte.
Le droit français n’apporte pas de précisions sur cette question.
Il est recommandé de vérifier cette information en amont en lisant les politiques de protection des données personnelles des fournisseurs de services. Généralement, les services de stockage de données en ligne n’indiquent pas de délai d’effacement des données après la fermeture d’un compte.
8 - Est-il possible de récupérer vos données à caractère personnel lors de la fermeture du compte et/ou du service ?
Les données à caractère personnel stockées sur les services de stockage de données peuvent être des photos, des vidéos, des documents contenant des données à caractère personnel, des fichiers audio...
L’information sur la récupération des données n’est pas une obligation qui incombe aux professionnels au sens du droit de la consommation. Il faut se référer au Règlement Général sur la Protection des Données (RGPD) qui garantit aux utilisateurs notamment un droit d’accès à leurs données et un droit à l’effacement.
La CNIL a publié des recommandations relatives aux services de stockages de données en ligne en 2012. A l’occasion de cette publication, elle a pu considérer par exemple que l’un des risques les plus importants pour l’exploitation d’un cloud est la "fermeture du service du prestataire". La CNIL a rappelé la nécessité de prévoir une clause relative à la destruction et à la restitution des données.
A noter que le RGPD prévoit l’obligation pour le responsable de traitement d’informer et de permettre à l’utilisateur l’exercice de ses droits sur ses données : droit d’accès, droit de rectification, droit d’opposition, droit de suppression, droit à la portabilité, droit à la limitation du traitement, droit d’introduire une réclamation auprès de la CNIL.
Cette information est généralement accessible dans les politiques de protection des données personnelles, depuis le site Internet du service de stockage des données (par exemple le bandeau en bas de page du site Internet). Et sur les applications mobiles proposées par les services (par exemple depuis les paramètres de l’application).
Pour en savoir plus, consultez l’article de l'INC : "RGPD" : quelle protection pour vos données personnelles ?".
Face à peu d’obligations émanant du droit de la consommation relatives à la restitution des données, l’ensemble des services se conforme au droit émanant du RGPD (droit d’accès et droit de suppression notamment). Néanmoins, il est conseillé à l'utilisateur de conserver une copie de ses données stockées afin d’éviter toute perte définitive de données en cas de fermeture du service, de failles techniques…
9 - Est-il possible de changer de cloud/de service de stockage de données en ligne ?
Il est tout à fait possible de changer de service cloud, en respectant la durée d'engagement.
À noter que le Règlement Général sur la Protection des données (RGPD), depuis 2018, prévoit un droit à la portabilité. En principe, ce droit permet de récupérer les données à caractère personnel, dans un format utilisé et lisible par machine, pour un usage personnel ou pour les transférer à un autre service. Toutefois, en pratique, il est rare qu’un service de stockage de données en ligne prévoie un transfert direct des données stockées vers un autre service.
L’utilisateur devra donc veiller à effectuer en amont une copie de ses données sur un support physique (disque dur externe, clé USB …) avant de résilier son contrat et de fermer son compte. Lors de la souscription à une nouvelle offre de cloud, l’utilisateur pourra importer ses données depuis le support physique vers le nouveau cloud.
POUR EN SAVOIR PLUS :
> Fiche pratique INC ""RGPD" : quelle protection pour vos données personnelles ?".
> Fiche pratique INC "La vente hors établissement (ou "démarchage à domicile")".
> Fiche pratique INC "Délais de réflexion - Délais de rétractation".
> Article 60 Millions de consommateurs "Comparatif de services de stockage en ligne" (contenu payant) - Mensuel - N° 566 - 02/2021.
Samia M'HAMDI
Juriste à l'Institut national de la consommation