Recherche
En ce moment En ce moment

Cloud computing: comment gérer le risque "Informatique et libertés"

Publié par le

MAITRE CELINE AVIGNON est avocate, directrice du département publicité et marketing électroniques du cabinet d'avocats Alain Bensoussan, spécialisé dans les nouvelles technologies.

MAITRE CELINE AVIGNON est avocate, directrice du département publicité et marketing électroniques du cabinet d'avocats Alain Bensoussan, spécialisé dans les nouvelles technologies.

Que ce soit pour l'hébergement d'infrastructures (IaaS, Infrastructure as a Service), la fourniture de plateformes de développement (PaaS, Platform as a Service) ou celle de logiciels en ligne (SaaS, Software as a Service), les entreprises sont de plus en plus séduites par la flexibilité et la souplesse offertes par l'informatique dans les nuages». Mais le recours aux nouveaux services de cloud computing ne va pas sans poser des difficultés au regard de la protection des données personnelles, et notamment quant aux questions de la responsabilité du sous-traitant, de la sécurisation du traitement de données personnelles ou du transfert de ces données vers des pays ne disposant pas d'une législation protectrice des données personnelles. Afin de déterminer un cadre légal permettant de garantir un haut niveau de protection des données personnelles, la Commission nationale de l'informatique et des libertés (Cnil) a lancé fin 2011 une consultation publique auprès des professionnels, clients et prestataires d'offres de cloud computing. Forte de nombreuses contributions, elle actualise aujourd'hui son analyse sur le cadre juridique applicable. Elle a publié des recommandations pratiques à destination des entreprises françaises, et notamment des PME.

Sept recommandations

Les recommandations, indicatives, de la Cnil, au nombre de sept, ont vocation à aider les entreprises qui envisagent de souscrire des services de cloud computing à évaluer les enjeux juridiques, à analyser les risques et à choisir leur prestataire. Dans ce cadre, elles tireront profit des préconisations suivantes:

- identifier clairement les données et les traitements qui passeront dans le cloud ;

- définir ses propres exigences de sécurité technique et juridique;

- conduire une analyse de risques afin d'identifier les mesures de sécurité essentielles ;

- identifier le type de cloud pertinent (public, privé ou hybride ; SaaS, PaaS ou IaaS) ;

- choisir un prestataire présentant des garanties suffisantes ;

- revoir sa politique de sécurité interne ;

- surveiller les évolutions dans le temps du service de cloud.

Parmi toutes ces recommandations, la Cnil insiste sur le choix d'un prestataire présentant des garanties suffisantes. Ce point apparaît particulièrement important dans la mesure où le client, qui est le responsable du traitement et demeure, à ce titre, tributaire des obligations qui découlent de la loi Informatique et libertés, a peu de visibilité sur les mesures effectivement mises en oeuvre par le prestataire pour garantir la conformité du traitement à la loi (sécurité, confidentialité, flux transfrontières...). Dans ce cadre, le client doit s'assurer que le prestataire avec lequel il envisage de contracter est en mesure de remplir ses obligations, de garantir la mise en place de mesures de sécurité et de confidentialité appropriées, et d'être transparent à son égard sur les moyens qu'il utilise pour exécuter sa prestation.

Afin de s'assurer de la mise en oeuvre par le prestataire de l'ensemble de ces garanties, les entreprises porteront une attention toute particulière à la rédaction et à la négociation du contrat de prestation de service de cloud computing. A cet égard, un document synthétique et pratique qui rappelle l'ensemble des éléments essentiels devant figurer dans un contrat de prestations est proposé par la Cnil dans ses recommandations. De même, plusieurs modèles de clauses pouvant être insérées dans les contrats de prestation de services sont mis à la disposition des entreprises - elles figurent en annexe des recommandations du 25 juin 2012.

Les offres de cloud computing variant sans cesse, il est recommandé aux entreprises de réaliser périodiquement des évaluations du service et de mettre à jour l'analyse des risques dès qu'une évolution significative du service a lieu.

« Le client, qui est responsable du traitement des données personnelles, a peu de visibilité sur les mesures mises en oeuvre par le prestataire pour garantir un traitement conforme à la loi.»

Comment trouver des influenceurs sur les médias sociaux ?

Article écrit par Brandwatch

Brandwatch

Comment trouver des influenceurs sur les médias sociaux ?

Comment trouver des influenceurs sur les médias sociaux ?

Comment trouver son influenceur avec l’arrivée des médias sociaux ? Le marketing d’influence s’impose comme une méthode infaillible pour les [...]

Quel est l'intérêt de sponsoriser un club de foot ?

Quel est l'intérêt de sponsoriser un club de foot ?

Quel est l'intérêt de sponsoriser un club de foot ?

Qu'on cherche à gagner en visibilité, à appuyer un lancement ou à toucher efficacement les fans d'un club, le football répond aux problématiques [...]

RGPD et email marketing : ce qui va changer en 2018

Article écrit par Mailjet

Mailjet

RGPD et email marketing : ce qui va changer en 2018

RGPD et email marketing : ce qui va changer en 2018

Le 25 mai 2018, le monde de l’email marketing va changer ! Le règlement général sur la protection des données (RGPD) entrera en vigueur. Nouvelles [...]

Kimple, lauréat de la Nuit du Commerce Connecté 2017.

Article écrit par Kimple

Kimple

Kimple, lauréat de la Nuit du Commerce Connecté 2017.

Kimple, lauréat de la Nuit du Commerce Connecté 2017.

Avec sa solution de création de jeux concours, Kimple remporte la médaille d'argent pour la meilleure solution innovante BtoC.

Yard rejoint Sid Lee Paris

Yard rejoint Sid Lee Paris

Yard rejoint Sid Lee Paris

Sid Lee Paris annonce l'acquisition de Yard, structure aux multiples casquettes: media, agence et créateur d'événements.