Cloud computing: comment gérer le risque "Informatique et libertés"

MAITRE CELINE AVIGNON est avocate, directrice du département publicité et marketing électroniques du cabinet d'avocats Alain Bensoussan, spécialisé dans les nouvelles technologies.

Que ce soit pour l'hébergement d'infrastructures (IaaS, Infrastructure as a Service), la fourniture de plateformes de développement (PaaS, Platform as a Service) ou celle de logiciels en ligne (SaaS, Software as a Service), les entreprises sont de plus en plus séduites par la flexibilité et la souplesse offertes par l'informatique dans les nuages». Mais le recours aux nouveaux services de cloud computing ne va pas sans poser des difficultés au regard de la protection des données personnelles, et notamment quant aux questions de la responsabilité du sous-traitant, de la sécurisation du traitement de données personnelles ou du transfert de ces données vers des pays ne disposant pas d'une législation protectrice des données personnelles. Afin de déterminer un cadre légal permettant de garantir un haut niveau de protection des données personnelles, la Commission nationale de l'informatique et des libertés (Cnil) a lancé fin 2011 une consultation publique auprès des professionnels, clients et prestataires d'offres de cloud computing. Forte de nombreuses contributions, elle actualise aujourd'hui son analyse sur le cadre juridique applicable. Elle a publié des recommandations pratiques à destination des entreprises françaises, et notamment des PME.

Sept recommandations

Les recommandations, indicatives, de la Cnil, au nombre de sept, ont vocation à aider les entreprises qui envisagent de souscrire des services de cloud computing à évaluer les enjeux juridiques, à analyser les risques et à choisir leur prestataire. Dans ce cadre, elles tireront profit des préconisations suivantes:

- identifier clairement les données et les traitements qui passeront dans le cloud ;

- définir ses propres exigences de sécurité technique et juridique;

- conduire une analyse de risques afin d'identifier les mesures de sécurité essentielles ;

- identifier le type de cloud pertinent (public, privé ou hybride ; SaaS, PaaS ou IaaS) ;

- choisir un prestataire présentant des garanties suffisantes ;

- revoir sa politique de sécurité interne ;

- surveiller les évolutions dans le temps du service de cloud.

Parmi toutes ces recommandations, la Cnil insiste sur le choix d'un prestataire présentant des garanties suffisantes. Ce point apparaît particulièrement important dans la mesure où le client, qui est le responsable du traitement et demeure, à ce titre, tributaire des obligations qui découlent de la loi Informatique et libertés, a peu de visibilité sur les mesures effectivement mises en oeuvre par le prestataire pour garantir la conformité du traitement à la loi (sécurité, confidentialité, flux transfrontières...). Dans ce cadre, le client doit s'assurer que le prestataire avec lequel il envisage de contracter est en mesure de remplir ses obligations, de garantir la mise en place de mesures de sécurité et de confidentialité appropriées, et d'être transparent à son égard sur les moyens qu'il utilise pour exécuter sa prestation.

Afin de s'assurer de la mise en oeuvre par le prestataire de l'ensemble de ces garanties, les entreprises porteront une attention toute particulière à la rédaction et à la négociation du contrat de prestation de service de cloud computing. A cet égard, un document synthétique et pratique qui rappelle l'ensemble des éléments essentiels devant figurer dans un contrat de prestations est proposé par la Cnil dans ses recommandations. De même, plusieurs modèles de clauses pouvant être insérées dans les contrats de prestation de services sont mis à la disposition des entreprises - elles figurent en annexe des recommandations du 25 juin 2012.

Les offres de cloud computing variant sans cesse, il est recommandé aux entreprises de réaliser périodiquement des évaluations du service et de mettre à jour l'analyse des risques dès qu'une évolution significative du service a lieu.