Now Reading
Cloud : les 7 recommandations de la CNIL à la loupe
0

Cloud : les 7 recommandations de la CNIL à la loupe

by Cloud Guru12 juillet 2012

 

Nous vous informions la semaine dernière de la publication par la CNIL de ses recommandations concernant le CLOUD.
En voici un bon décryptage proposé par Claudia Weber, sur le site ITLAW avocats.
Extraits :

…La CNIL vient de publier sa synthèse et ses recommandations pour les sociétés qui souhaitent souscrire à ce type de service et les aider à évaluer les enjeux juridiques relatifs à la mise en conformité de cette opération avec la loi dite informatique et liberté.

 

 

Recommandation n°1 : Identifier les données et les traitements qui passeront dans le Cloud

Quelles données et quels traitements seront confiés au prestataire ? :des données à caractère personnel, des données sensibles, des données stratégiques pour l’entreprise, des données utilisées dans les applications métiers.
Il faut veiller à ce que ces traitements n’incluent pas des données d’autres traitements qui ne sont pas dans le périmètre (exemple de la messagerie via laquelle les collaborateurs échangent des contenus stratégiques pour l’entreprise.) (…)

Recommandation n°2 : Définir ses propres exigences de sécurité technique et juridique

(…) il convient au client d’identifier ses propres exigences, enjeux et contraintes et d’évaluer le niveau d’adéquation de l’offre du prestataire à ses besoins, par exemple :

  • les contraintes légales (…)
  • les contraintes pratiques (…)
  • les contraintes techniques (…)

Si l’offre pressentie ne respecte pas ces exigences minimum, il conviendra de préparer la négociation du contrat, des SLA et autres garanties avec ce prestataire.

Recommandation n°3 : Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise

Les principaux risques identifiés par la CNIL sont les suivants :

  • perte de gouvernance sur le traitement ;
  • dépendance technologique vis-à-vis du fournisseur de Cloud Computing (impossibilité de changer de solution sans perte de données) ;
  • faille dans l’isolation des données (risque que les données hébergées sur un système virtualisé soient modifiées ou rendues accessibles à des tiers non autorisés) ;
  • réquisitions judiciaires, notamment par des autorités étrangères ;
  • (…)

La plupart de ces risques peuvent (et doivent) être anticipés, voir réduit, dans le contrat. (…)

Recommandation n°4 : Identifier le type de Cloud  pertinent pour le traitement envisagé

    Les modèles de services sont par exemple :

  •   SaaS : « Software as a Service « : la fourniture de logiciel en ligne sous forme de service ;
  •   PaaS : « Platform as a Service » : la fourniture d’une plateforme de développement d’applications en ligne ;
  •    IaaS : « Infrastructure as a Service » : la fourniture d’infrastructures de calcul et de stockage en ligne.

    Les modèles de déploiement de ces services sont soit:

  •   « Public » : service partagé et mutualisé entre de nombreux clients
  •   « Privé » : service dédié à un client
  • (…)

Recommandation n°5 : Choisir un prestataire présentant des garanties suffisantes

(…) Le Client doit donc choisir un prestataire qui prend les engagements qui lui permettront d’être en conformité avec la loi informatique et liberté.

Etape n°1 : Déterminer la qualification juridique du prestataire

En général le Client est « responsable de traitement » au sens de la loi informatique et liberté et le Prestataire est « sous-traitant », chacun ayant des obligations différentes au regard de cette loi.
Pourtant dans certains cas de services Cloud, les clients ne sont pas, concrètement en mesure de respecter leurs obligations légales (impossibilité de contrôler les moyens et mesure de sécurité mises en place par le prestataire ni d’exiger la mise en place de moyens de sécurité spécifiques). La CNIL accepte donc dans ces cas que le prestataire et le client soient conjointement responsables du respect par le client de la loi informatique et liberté. (…)

Etape n°2 : Evaluer le niveau de protection assuré par le prestataire aux données traitées

Il est de la responsabilité du client de choisir un prestataire qui assure un niveau de protection suffisant aux données qu’il lui confie. La CNIL a listé les éléments essentiels devant figurer dans un contrat de prestation de services de Cloud computing.
Il s’agit par exemple :

  •  Informations relatives aux traitements
  • Garanties mises en œuvre par le prestataire
  •  Localisation et transferts
  •  Formalités auprès de la CNIL
  •  Sécurité et confidentialité

Recommandation n°6 : Revoir la politique de sécurité interne

Mettre en place un service Cloud nécessite de revisiter la politique de sécurité interne au Client notamment s’agissant de la transmission de données par internet ou l’utilisation de terminaux mobiles et nomades (problématique d’authentification, de sécurisation des accès, de confidentialité des devices…).  Il faudra s’assurer de la capacité et de l’engagement du prestataire de respecter ces nouvelles exigences de sécurité.

Recommandation n°7 : Surveiller les évolutions dans le temps

Les technologies évolues, les services de votre prestataire vont évoluer, votre base de données aussi va évoluer, les risques liés à la sécurité risquent aussi d’évoluer. Il est donc recommandé de surveiller régulièrement votre projet et, pour ce faire d’intégrer dans le contrat de Cloud Computing des clauses permettant de suivre et d’anticiper ces évolutions.

En conclusion :

    (…)  Plus que jamais le contrat doit être mis au cœur de votre projet, car il permettra notamment de:

  •  responsabiliser réellement le prestataire puisqu’il peut devenir conjointement responsable vis-à-vis de la CNIL
  •   paramétrer les rôles et responsabilités de chacun afin que les titulaires de données puissent exercer leurs droits,
  •   obtenir des prestataires un véritable rôle de conseil pendant toute la durée du contrat et non pas uniquement au début pour assurer les formalités CNIL. Par exemple sur :
  •  les mesures de sécurité
  •  les moyens de contrôles
  •  les transferts à l’étranger
  •  un soutien fort en cas de contrôle de la CNIL

Claudia Weber, Avocat Associée

Pour en savoir plus :
> l’article complet sur le site ITLAW

{lang: 'fr'}
About The Author
Cloud Guru

Vous souhaitez réagir sur cet article ?