Selon la dernière étude CloudIndex de PAC (décembre 2013), la flexibilité et la réduction des coûts sont les 2 meilleures raisons pour les entreprises d’aller dans le Cloud. Sans surprise, ce sont les services en mode SaaS qui sont utilisés par 65% d’entre-elles alors que les services de type IaaS restent utilisés seulement par 28% d’entre-elles.
des données personnelles pour quelles applications ?
Par donnée personnelle il faut comprendre « toute donnée permettant d’identifier directement ou indirectement une personne physique » (nom, prénom, mais aussi un numéro d’identification comme un numéro d’employé ou de sécurité sociale, etc…). Parmi les applications SaaS les plus utilisées, 43% sont des services de bureautique et de collaboration et 30% des applications RH… (toujours selon le CloudIndex de PAC).
Il est donc essentiel que les entreprises soient particulièrement attentives aux conditions dans lesquelles elles font la transition vers des services Cloud car elles ont des obligations vis-à-vis des données personnelles qu’elles manipulent dans le cadre de leurs activités. Et ces obligations sont les mêmes que les données soient ou non dans le Cloud.
C’est autour de ce sujet que j’ai interrogé Gwendal LE GRAND (chef du service de l’expertise informatique de la CNIL) lors du salon CLOUD & IT EXPO 2013
obligation de protéger les informations à caractère personnel
En effet, une entreprise qui utilise un service de Cloud Computing reste responsable des traitements : cela veut dire que l’entreprise doit s’assurer que son prestataire lui permettra de respecter ses obligations au regard de la loi informatique et libertés, notamment en termes d’information des personnes concernées, d’encadrement des transferts et de sécurité des données.
S’agissant de la sécurité, l’entreprise doit savoir quelles mesures de sécurité sont mises en œuvre par son prestataire. Elle doit notamment apprécier si ces mesures sont suffisantes ou si elles ont besoin d’être renforcées par la souscription d’options de service, de demandes d’évolutions auprès de son prestataire ou via la mise en place de moyens techniques ou de procédures internes.
Si une entreprise sélectionne un service de Cloud qui ne fournit pas suffisamment d’information quant aux mesures de sécurité mises en œuvre alors l’entreprise a de fortes chances de ne pas être en conformité avec la loi.
aller dans le Cloud en connaissance de cause
Si l’entreprise reste responsable des traitements et si elle doit avoir une compréhension des mesures de sécurité mises en œuvre pour assurer la sécurité des données personnelles, cette démarche de passage dans le Cloud doit être menée en amont et en connaissance de cause, car une fois le passage dans le Cloud fait il est souvent trop tard.
voir la vidéo sur Dailymotion
Comme indiqué très clairement par Gwendal LE GRAND de la CNIL, l’entreprise doit conduire 3 grandes actions pour que ce passage vers le Cloud se fasse dans de bonnes conditions et en respect avec la réglementation en vigueur :
- Définir quelles données peuvent aller dans le Cloud et quelles données doivent rester en interne
- Identifier les exigences techniques et juridiques applicables aux données destinées au Cloud
- Conduire une analyse de risques afin de définir quelles sont les mesures de sécurité qui devront être présentes dans l’offre de Cloud. Ces mesures devant être autant de critères dans la phase de sélection du fournisseur de service. Cela peut influer sur les termes du contrat ainsi que sur le type de Cloud souscrit (privé, public, …)
pour aller plus loin et mettre sa démarche en place
Afin de faciliter les choses pour les entreprises, la CNIL propose un guide « Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud Computing » qui reprend en détail les 7 recommandations clefs et fournit des exemples de clauses contractuelles.
En complément, il y a aussi la page dédiée de la CNIL sur le Cloud Computing ainsi que le guide PLA « Privacy Level Agreement » de la Cloud Security Alliance.
Jean-François Audenard (aka Jeff)
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens