Au regard de la règlementation européenne actuelle, le développement des projets de cloud computing se révèle toutefois délicat dans la mesure où la directive 95/46/EC fixe des limites strictes à la collecte et à l’utilisation des données à caractère personnel en Europe. En effet, cette dernière interdit les transferts des données personnelles en dehors de l’Union Européenne, ce qui est pourtant une nécessité pour les services de cloud computing, dont bon nombre de data centers sont aux Etats-Unis. Une dérogation est seulement possible sur autorisation préalable des autorités en charge de la protection des données du pays d’origine de ces informations, cette solution n’étant pas viable pour les entreprises souhaitant pleinement optimiser le recours aux services de cloud computing.

Dans ce contexte, une proposition de directive a été établie afin de prendre en compte les besoins de l’informatique dans les nuages.

Dans l’attente de son adoption et de son application, la CNIL a publié des recommandations pour les entreprises qui envisagent actuellement de souscrire à des services de « Cloud computing ». Bien que ces recommandations n’aient pas de valeur contraignante, leur respect par les entreprises pourra s’avérer utile afin de limiter tant les risques de sanction en cas de contrôle par la CNIL que la survenance de mésaventures dans les relations nouées avec le prestataire choisi.

Identifier clairement les données et les traitements qui passeront dans le Cloud

Le client responsable du traitement souhaitant recourir aux services de Cloud computing doit établir quels types de données pourraient être concernés en distinguant les données à caractère personnel, les données sensibles, les données stratégiques pour l’entreprise et les données utilisées dans les applications métiers. Pour cela, le client doit être vigilant et non seulement s’assurer que les traitements passés dans le Cloud ne risquent pas d’inclure des données d’autres traitements qui n’ont pas migré, mais aussi vérifier que certaines données ne sont pas soumises à une réglementation spécifique, impliquant d’identifier les conditions minimales à leur transfert.

Définir ses propres exigences de sécurité technique et juridique

La plupart des offres de « Cloud » étant standard, le client doit définir ses propres exigences de sécurité et évaluer si les offres envisagées répondent à l’ensemble des exigences formulées. Le niveau d’exigence du prestataire doit en effet être au moins égal à celui du client.

Ces exigences doivent notamment considérer :
- les contraintes légales (localisation des données, garantie de sécurité et de confidentialité, réglementations spécifiques à certains types de données etc.),
- les contraintes pratiques (disponibilité, réversibilité/portabilité etc.),
- et les contraintes techniques (interopérabilité avec le système existant etc.).

Pour les données « métier », le client doit particulièrement veiller à garantir la réversibilité et s’assurer qu’un niveau de disponibilité suffisant est garanti par le prestataire et par son fournisseur d’accès à Internet.

Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise et revoir la politique de sécurité interne

Pour une analyse pertinente des risques, le client peut recourir à la méthode EBIOS ou consulter une liste de 35 risques, fournie par l’ENISA.

Pour les entreprises qui n’ont pas les moyens de mener une analyse complète, la CNIL a identifié les principaux risques suivants : la perte de gouvernance sur le traitement, la dépendance technologique vis-à-vis du fournisseur du Cloud computing, la faille dans l’isolation des données, les réquisitions judiciaires, la faille dans la chaîne de sous-traitance, la destruction ineffective ou non sécurisée des données, le problème de gestion des droits d’accès par les personnes causé par une insuffisance de moyens fournis par le prestataire, l’indisponibilité du service du prestataire, la fermeture du service du prestataire ou acquisition du prestataire par un tiers et la non-conformité réglementaire, notamment sur les transferts internationaux.

Là encore, l’impact de la migration partielle sur les traitements et données non transférées doit être considéré par le client.

L’instauration de dispositions contractuelles telles que des pénalités pour le prestataire et la mise en place de mesures techniques et organisationnelles au niveau du client et du prestataire peuvent réduire ces risques. Le client doit évaluer la pertinence de ces risques pour sa propre situation et évaluer si les mesures mises en place par lui-même et par le prestataire sont adaptées pour les réduire.

De même, le recours au Cloud computing introduisant de nouveaux risques liés en particulier aux transmissions par Internet ou à l’utilisation de terminaux mobiles et nomades, le prestataire de services de Cloud doit à ce titre proposer un service compatible avec les mécanismes d’authentification des employés.

Identifier le type de Cloud pertinent pour le traitement envisagé

Il existe à ce jour différentes offres de services de Cloud computing sur le marché qui peuvent être distinguées selon trois modèles de services (SaaS, PaaS et IaaS) et trois modèles de déploiement (Public, Privé et Hybride). Le client doit les comparer attentivement afin de choisir l’offre la plus adaptée, étant précisé qu’il est envisageable de choisir des solutions de Cloud computing différentes en fonction des traitements.

La protection des données collectées peut même s’en trouver améliorée puisqu’elles ne sont pas toutes confiées au même prestataire de services de Cloud computing. Par ailleurs, cette approche par étape peut permettre une transition progressive vers le Cloud computing afin de mieux appréhender les risques particuliers de ce type de services. Par exemple, il peut être intéressant de commencer par transférer les données aux moindres exigences de sécurité (messagerie, agenda, contacts etc.) puis continuer avec les applications contenant des données sensibles ou stratégiques (traitements RH) pour terminer par les applications métiers.

Choisir un prestataire présentant des garanties suffisantes

Les clients de services de Cloud computing, en tant que responsables du traitement, doivent s’assurer qu’ils sont en mesure de remplir leurs obligations et ainsi choisir des prestataires garantissant la mise en place de mesures de sécurité et de confidentialité appropriées, en procédant de la façon suivante :

- Déterminer la qualification juridique du prestataire : il est généralement admis que le client est le responsable du traitement et le prestataire de services, le sous-traitant, mais la CNIL constate que dans certains cas de PaaS et de Saas publics, le prestataire pourrait a priori être conjointement responsable et il convient alors de définir clairement les responsabilités incombant à chaque partie afin d’éviter un contrôle voire une sanction de la CNIL pour chaque intervenant.

- Evaluer le niveau de protection assuré par le prestataire aux données traitées : la CNIL a, à ce titre, listé les éléments essentiels devant figurer dans un contrat de prestation de services de Cloud computing. Elles concernent notamment des informations relatives aux traitements, des garanties mises en œuvre par le prestataire, la localisation et les transferts, les formalités auprès de la CNIL et la sécurité et la confidentialité.

Enfin, au vu de la nature évolutive du service de Cloud computing, la CNIL recommande de réaliser périodiquement une évaluation du service ainsi rendu et de mettre à jour l’analyse des risques qui en résulte, en cas d’évolution significative du service.

Il apparait donc fort utile de se montrer particulièrement vigilant dans le recours aux services de cloud computing, notamment quant à la conformité de ce recours à la réglementation applicable et à la sécurisation des relations contractuelles avec le prestataire qui serait choisi.

Retrouvez d’autres informations économiques et fiscales (taux, indices…) ainsi que les anciennes brèves archivées sur : http://www.lamy-lexel.com
LES BREVES LAMY LEXEL
LAMY LEXEL Avocats Associés