Cloud

Les sept recommandations de la Cnil aux entreprises tentées par le cloud

Par La rédaction, publié le 26 juin 2012

La Cnil prône la maîtrise des risques et préconise les éléments types d’un contrat de services cloud, avec des modèles de clauses contractuelles.

La Cnil publie des recommandations pratiques à destination des entreprises françaises, et notamment des PME, qui souhaitent recourir à des prestations de services cloud. Ces conseils sont issus d’une consultation publique, lancée fin 2011 et dont les 49 réponses publiées alimentent l’analyse de la Commission sur le cadre juridique applicable. Voici sa liste de sept recommandations :

1. Identifier clairement les données et les traitements concernés. La Cnil préconise de distinguer les données suceptibles d’être hébergées dans le cloud, en distinguant celles à caractère personnel, les données sensibles, celles stratégiques pour l’entreprise et celles utilisées dans les applications métier. La Cnil attire l’attention sur la messagerie électronique qui peut servir à l’échange de données stratégiques ou sur les données de santé, soumises à une réglementation spécifique.

2. Définir ses propres exigences de sécurité technique et juridique. La Cnil recommande de distinguer les contraintes légales (localisation, confidentialité), les contraintes pratiques (disponibilité) et techniques (interopérabilité avec le système informatique existant). Elle souligne la nécessité de veiller à la réversibilité définie comme la possibilité d’obtenir une copie de l’intégralité de ses données dans un format structuré et couramment utilisé.

3. Conduire une analyse de risque. Au-delà des méthodes existantes comme Ebios ou de la liste des 35 risques de l’Enisa, la Commission dresse sa propre liste (perte de gouvernance, non-conformité réglementaire, dépendance technologique,etc.). Elle rappelle que « la plupart des ces risques ont vocation à être réduits par des dispositions contractuelles, pouvant inclure des pénalités pour le prestataire et par des mesures techniques et organisationnelles au niveau du client et du prestataire ».

4. Identifier le type de cloud pertinent par rapport au traitement envisagé. La Cnil préconise de choisir des prestations distinctes. Elle cite comme exemple la possibilité de sélectionner un service Iaas (Infrastructure as a Service) public français pour le site internet, un hébergeur de santé homologué pour les données de santé et un service Saas (Software as a Service) européen privé pour les courriels. Selon elle, il est préférable d’envisager le transfert des données dans le cloud de manière graduelle, par catégorie de données et exigence de sécurité croissante.

5. Choisir un prestataire aux garanties suffisantes. L’entreprise doit identifier si le prestataire est responsable conjoint du traitement ou non, ce qui permet de déterminer qui est responsable vis-à-vis des autorités compétentes de protection des données personnelles. Elle rappelle aussi qu’il est de la responsabilité du client de choisir un prestataire qui assure un niveau de protection suffisant aux données qu’il lui confie. La Cnil a dressé une liste des éléments essentiels, au regard de la protection des données personnelles, devant figurer dans un contrat de prestation de services de cloud computing.

6. Revoir la politique de sécurité interne. Le cloud computing suppose une révision complète des procédures internes conformément aux conclusions de l’analyse de risques. Pour la Commission, « une attention particulière doit être apportée aux mécanismes d’authentification des employés et le prestataire de cloud doit proposer un service compatible avec ces exigences de sécurité ».

7. Surveiller les évolutions du contrat dans le temps. La Cnil prône une évaluation périodique du service de cloud computing en fonction des risques, des solutions disponibles ou de la législation. Elle suggère notamment la nécessité de la mise à jour de l’analyse de risques préconisée dès qu’une évolution significative du service a lieu : « Ces évolutions peuvent concerner les fonctionnalités du produit ou la fourniture technique du service (nouveau centre de données, changement de politique de sécurité, évolution du traitement initiée par le client, etc.). »

Dans l'actualité

Verified by MonsterInsights