Au Scrabble, ce serait un tirage épouvantable. Ici, c’est plutôt une lueur d’espoir.

Mardi à Bruxelles avait lieu le lancement du Cloud Infrastructure Service Providers in Europe (CISPE), une association constituée principalement pour la création d’un code de conduite sur la protection des données personnelles pour les hébergeurs d’infrastructure à la demande.

Le code de conduite est une disposition prévue par le nouveau règlement européen sur la protection des données personnelles (GDPR) pour permettre à un secteur de préciser ses engagements en matière de protection des données.

Paul Nemitz, directeur en charge des droits fondamentaux et de la citoyenneté à la commission européenne et l’un des principaux artisans de la GDPR participait à la table ronde organisée par la députée européenne Eva Paunova. Le moins qu’on puisse dire est que son discours n’était pas complaisant. En quelques idées fortes :

• les citoyens sont vulnérables devant les industries du numérique et doivent être protégés par les institutions
• les bonnes paroles des fournisseurs de service ne peuvent y suffire, il faut organiser des contrôles et des sanctions crédibles et dissuasifs
• les hébergeurs sont un maillon de la chaîne et ne peuvent se dédouaner d’une part de responsabilité au motif qu’ils ne connaitraient pas leurs clients

C’était certes une réaction à un premier jet du code un peu trop évidemment protecteur pour les hébergeurs. Mais on y voit bien le chemin d’une option possible au moins pour les données sensibles (données de santé, mais également opinions politiques, croyances religieuses, orientation sexuelle, etc.). Le souscripteur d’un service d’infrastructure pourrait être invité à déclarer si son traitement comporte de telles données, et si c’est le cas être orienté vers une cellule d’appui sous le contrôle du Data Privacy Officer (DPO) de l’hébergeur, dont le but serait de garantir à la personne concernée une traçabilité exacte des accès à ses données. Cette traçabilité ne pouvant s’appuyer que sur une authentification fiable des utilisateurs, on se retrouve en terrain extrêmement familier.

Il y a là une opportunité à saisir, il serait dommage d’y renoncer.