Recherche
Se connecter

Cloud computing: comment gérer le risque "Informatique et libertés"

Publié par le

MAITRE CELINE AVIGNON est avocate, directrice du département publicité et marketing électroniques du cabinet d'avocats Alain Bensoussan, spécialisé dans les nouvelles technologies.

MAITRE CELINE AVIGNON est avocate, directrice du département publicité et marketing électroniques du cabinet d'avocats Alain Bensoussan, spécialisé dans les nouvelles technologies.

Que ce soit pour l'hébergement d'infrastructures (IaaS, Infrastructure as a Service), la fourniture de plateformes de développement (PaaS, Platform as a Service) ou celle de logiciels en ligne (SaaS, Software as a Service), les entreprises sont de plus en plus séduites par la flexibilité et la souplesse offertes par l'informatique dans les nuages». Mais le recours aux nouveaux services de cloud computing ne va pas sans poser des difficultés au regard de la protection des données personnelles, et notamment quant aux questions de la responsabilité du sous-traitant, de la sécurisation du traitement de données personnelles ou du transfert de ces données vers des pays ne disposant pas d'une législation protectrice des données personnelles. Afin de déterminer un cadre légal permettant de garantir un haut niveau de protection des données personnelles, la Commission nationale de l'informatique et des libertés (Cnil) a lancé fin 2011 une consultation publique auprès des professionnels, clients et prestataires d'offres de cloud computing. Forte de nombreuses contributions, elle actualise aujourd'hui son analyse sur le cadre juridique applicable. Elle a publié des recommandations pratiques à destination des entreprises françaises, et notamment des PME.

Sept recommandations

Les recommandations, indicatives, de la Cnil, au nombre de sept, ont vocation à aider les entreprises qui envisagent de souscrire des services de cloud computing à évaluer les enjeux juridiques, à analyser les risques et à choisir leur prestataire. Dans ce cadre, elles tireront profit des préconisations suivantes:

- identifier clairement les données et les traitements qui passeront dans le cloud ;

- définir ses propres exigences de sécurité technique et juridique;

- conduire une analyse de risques afin d'identifier les mesures de sécurité essentielles ;

- identifier le type de cloud pertinent (public, privé ou hybride ; SaaS, PaaS ou IaaS) ;

- choisir un prestataire présentant des garanties suffisantes ;

- revoir sa politique de sécurité interne ;

- surveiller les évolutions dans le temps du service de cloud.

Parmi toutes ces recommandations, la Cnil insiste sur le choix d'un prestataire présentant des garanties suffisantes. Ce point apparaît particulièrement important dans la mesure où le client, qui est le responsable du traitement et demeure, à ce titre, tributaire des obligations qui découlent de la loi Informatique et libertés, a peu de visibilité sur les mesures effectivement mises en oeuvre par le prestataire pour garantir la conformité du traitement à la loi (sécurité, confidentialité, flux transfrontières...). Dans ce cadre, le client doit s'assurer que le prestataire avec lequel il envisage de contracter est en mesure de remplir ses obligations, de garantir la mise en place de mesures de sécurité et de confidentialité appropriées, et d'être transparent à son égard sur les moyens qu'il utilise pour exécuter sa prestation.

Afin de s'assurer de la mise en oeuvre par le prestataire de l'ensemble de ces garanties, les entreprises porteront une attention toute particulière à la rédaction et à la négociation du contrat de prestation de service de cloud computing. A cet égard, un document synthétique et pratique qui rappelle l'ensemble des éléments essentiels devant figurer dans un contrat de prestations est proposé par la Cnil dans ses recommandations. De même, plusieurs modèles de clauses pouvant être insérées dans les contrats de prestation de services sont mis à la disposition des entreprises - elles figurent en annexe des recommandations du 25 juin 2012.

Les offres de cloud computing variant sans cesse, il est recommandé aux entreprises de réaliser périodiquement des évaluations du service et de mettre à jour l'analyse des risques dès qu'une évolution significative du service a lieu.

« Le client, qui est responsable du traitement des données personnelles, a peu de visibilité sur les mesures mises en oeuvre par le prestataire pour garantir un traitement conforme à la loi.»

Sur le même sujet

Google dévoile sa mise en conformité au RGPD
Data
HAAS Avocats
Google dévoile sa mise en conformité au RGPD

Google dévoile sa mise en conformité au RGPD

Par HAAS Avocats via Marketme

Si l’objectif du RGPD est de protéger la vie privée des individus, des sociétés comme Google pourront facilement transformer leur conformité [...]

Comment exploiter une data management platform efficacement ?
Data
Comment exploiter une data management platform efficacement ?

Comment exploiter une data management platform efficacement ?

Par Marie-Caroline Rougé, content manager chez Eulerian

Recueillir des données hétéroclites, les croiser entre elles, les comparer, les analyser afin de mieux comprendre et, in fine de mieux agir. [...]

3W.relevanC met la data au service du retail
Data
3W.relevanC met la data au service du retail

3W.relevanC met la data au service du retail

Par Floriane Salgues

La régie 3 W et la start-up data RelevanC, deux entités du groupe Casino, s'allient. Résultat : la naissance de 3W.relevanC, futur acteur de [...]