Now Reading
Juridique : les fournisseurs de cloud sont des «sous-traitants de données»
0

Juridique : les fournisseurs de cloud sont des «sous-traitants de données»

by Cloud Guru5 février 2013

Norman Girard, Vice Président Europe de Varonis, revient pour le site solutions logiciels sur les réglementations européennes concernant la protection des données. Extraits :

Tandis que les Etats-Unis travaillent encore à leur réglementation sur la confidentialité des consommateurs, cette récente réglementation de l’UE place la barre assez haut pour la sécurité des données des consommateurs : les entreprises de l’UE ne peuvent pas se débarrasser des droits de confidentialité élémentaires en stockant les données personnelles de leurs clients dans le cloud.
Dans les termes de la DPD, le Working Group considère les fournisseurs de cloud comme des « sous-traitants de données ». Une fois établie cette désignation, le reste du cadre existant de la DPD se met naturellement en place. Et les obligations de la DPD liées aux protections de sécurité, à l’exactitude et aux limites de la rétention des données restent donc effectives.

Une entreprise (responsable du traitement des données dans le jargon de la DPD) qui cherche un fournisseur de cloud n’est autorisée à travailler avec lui que s’il « garantit la conformité avec la législation [de l’UE] sur la protection des données ».
Comme les entreprises de l’UE sont responsables en dernier ressort (et ont à assumer la plupart voire toutes les conséquences de défaillances) de la protection des données des consommateurs, c’est à elles de rédiger en conséquence les contrats qui les lient à leurs fournisseurs.

Voici quelques unes de ces dispositions contractuelles essentielles du document du Working Group :

  • SLA : ils doivent être « objectifs et mesurables » et indiquer les « pénalités pertinentes (financières ou autres, y compris la possibilité de poursuivre le fournisseur [de cloud] en cas de non-conformité) ».
  • Autorisation : le « sous-traitant [fournisseur de cloud] doit suivre les instructions du responsable du traitement des données ».
  • Accès aux données : « seules les personnes [chez le fournisseur de cloud] autorisées doivent avoir accès aux données ».
  • Droits d’accès du consommateur : le fournisseur de cloud doit « assister le client pour faciliter l’exercice par les sujets de données [consommateurs] de leurs droits d’accès, de correction et d’effacement de leurs données ».
  • Journalisation et audits : « le client doit exiger la journalisation des opérations de traitement effectuées par le fournisseur » et le client « doit être en mesure d’auditer ces opérations de traitement ».
  • Mesures techniques : série d’exigences techniques, principalement en lien avec la disponibilité, l’intégrité, la confidentialité (c’est-à-dire le cryptage) et la portabilité des données.

[…]

Pour en savoir plus :
> l’article de solutions logiciels

{lang: 'fr'}
About The Author
Cloud Guru

Vous souhaitez réagir sur cet article ?