Réglementation
Publié le Sep 10, 2015
Dernière mise à jour 10.09.2015

·

Conditions générales d’utilisation (CGU) : êtes-vous encore propriétaire de vos données ?

Avec la collaboration de Dominique Rigon, responsable juridique chez Oodrive.

Qui n’a pas déjà cliqué sur « Valider les Conditions Générales d’Utilisation (CGU) » sans les avoir lues ? Trop longues, trop riches en langage juridique difficile d’accès pour l’utilisateur moyen, elles sont souvent considérées aujourd’hui comme une simple formalité d’accès à un service et non comme un véritable engagement légal.

Or, les CGU ont la même valeur qu’un contrat dès lors que l’utilisateur les a explicitement acceptées, via un bouton « Valider » ou une case à cocher. En 2012, lors d’une affaire opposant M6 à TV Replay, la Cour de Cassation a ainsi distingué la « simple mise en ligne » des CGU d’une acceptation « de nature contractuelle ». Il est donc primordial de s’intéresser au contenu de ces Conditions Générales d’Utilisation, de la même manière qu’il ne viendrait à personne l’idée de signer un contrat de travail sans l’avoir lu.

Bon nombre d’entre elles recèlent en effet des clauses très permissives qui compromettent la confidentialité de vos données.

Lorsque vous confiez les informations clés de votre entreprise à un prestataire de cloud, il est indispensable de prêter attention aux garanties qu’il vous fournit en matière de propriété des données afin d’éviter toute déconvenue.

Quand les CGU donnent à votre prestataire des droits sur vos contenus

En validant les CGU, vous donnez parfois sans le savoir à votre prestataire de nombreux droits sur vos données, par exemple :

Le droit de les utiliser et de les diffuser :

  • « Lorsque vous transmettez ou téléchargez du Contenu vers les Services, vous [nous] octroyez le droit d’utiliser gratuitement ce Contenu dans le monde entier » ;
  • « Vous (nous) accordez une licence, dans le monde entier, d’utilisation, […], de reproduction, de modification, de création d’œuvres dérivées de communication, de publication, de représentation publique, d’affichage public ou de distribution publique desdits contenus » ;
  • « Vous reconnaissez et acceptez (que nous pouvons) accéder, utiliser, préserver ou divulguer les informations relatives à votre compte et contenu ».

Le droit de les supprimer :

  • « (Nous nous réservons) le droit de consulter et de supprimer, à (notre) convenance et sans préavis, des services et du contenu créés par des utilisateurs ».

Ces clauses sont tirées des CGU de quelques géants du web et montrent à quel point la prudence est de mise lorsque l’on choisit son prestataire.

Comment concilier cloud et protection des données personnelles ?

Voici 6 questions à se poser pour éviter les mauvaises surprises :

  1. A quelle loi est soumis votre prestataire ? La loi américaine (Freedom Act, ancien Patriot Act) donne beaucoup plus de droits au gouvernement sur les données que les lois européennes, bien plus strictes en matière de respect de la confidentialité. Un paramètre à prendre en compte lorsque l’on souhaite protéger comme il se doit le capital de son entreprise.
  2. Comment votre prestataire utilise-t-il vos informations personnelles ? Peuvent-elles faire l’objet d’une monétisation ou être cédées à des tiers ?
  3. Votre prestataire a-t-il des droits sur les contenus que vous stockez dans le cloud (droit de modification, de diffusion, etc) ou restez-vous décisionnaire ?
  4. Peuvent-ils être entièrement supprimés à votre demande ?
  5. En cas de résiliation, vos données vous sont-elles restituées dans un format facile à exploiter ?
  6. Votre prestataire a-t-il reçu des labels ou certifications qui attestent de son engagement en faveur de la protection des données ?

Le label Cloud Confidence, un gage de transparence

Une association, Cloud Confidence, a été créée pour fédérer des acteurs européens du cloud autour d’une même ambition : offrir une meilleure transparence au sein de la filière Cloud en matière de protection des données des entreprises.

La certification Cloud Confidence, basée sur le cadre légal européen, atteste que le prestataire respecte un certain nombre d’engagements sur ces sujets :

  • Transparence sur la localisation des données.
  • Transparence sur leur non-cession à des tiers sans consentement.
  • Transparence sur la politique de sous-traitance mise en œuvre.

Choisir un prestataire qui détient cette certification pose pour le client les bases d’une relation de confiance car il a l’assurance de garder la pleine maîtrise des données stratégiques sauvegardées dans le cloud.

Photo © Pixabay.
Contributeurs d'articles
Partager sur email
Partager sur linkedin
Partager sur twitter
Partager sur facebook

Articles associés

Le DSA et le DMA : nouveaux règlements de la Commission européenne

Réglementation, Réglementation

Jan 15, 2021

Le traitement des données personnelles, au service de la compétitivité des offres technologiques européennes

Août 10, 2020

Par secteur

Santé

Services publics

Énergie

Aérospatiale & Défense

Infrastructures critiques

Services financiers

Par département

Marketing & Ventes

R&D et Ingénierie

Risques et conformité

Services Financiers

Juridique

Ressources Humaines

Sécurité de l’information