Sorry, you need to enable JavaScript to visit this website.

les recommandations de la CNIL pour aller dans le cloud

les recommandations de la CNIL pour aller dans le cloud
2014-01-092014-01-09bonnes pratiquesfr
Selon la dernière étude CloudIndex de PAC (décembre 2013), la flexibilité et la réduction des coûts sont les 2 meilleures raisons pour les entreprises d’aller dans le Cloud. Sans surprise, ce sont les services en mode SaaS qui sont utilisés par 65% d’entre-elles alors que les services de type IaaS
Publié le 9 Janvier 2014 par Jean-François Audenard dans bonnes pratiques
les recommandations de la CNIL pour aller dans le Cloud - Gwendal LE GRAND

Selon la dernière étude CloudIndex de PAC (décembre 2013), la flexibilité et la réduction des coûts sont les 2 meilleures raisons pour les entreprises d’aller dans le Cloud. Sans surprise, ce sont les services en mode SaaS qui sont utilisés par 65% d’entre-elles alors que les services de type IaaS restent utilisés seulement par 28% d’entre-elles.

des données personnelles pour quelles applications ?

Par donnée personnelle il faut comprendre « toute donnée permettant d’identifier directement ou indirectement une personne physique » (nom, prénom, mais aussi  un numéro d’identification comme un numéro d’employé ou de sécurité sociale, etc…). Parmi les applications SaaS les plus utilisées,  43% sont des services de bureautique et de collaboration et 30% des applications RH… (toujours selon le CloudIndex de PAC).

Il est donc essentiel que les entreprises soient particulièrement attentives aux conditions dans lesquelles elles font la transition vers des services Cloud car elles ont des obligations vis-à-vis des données personnelles qu’elles manipulent dans le cadre de leurs activités. Et ces obligations sont les mêmes que les données soient ou non dans le Cloud.

C’est autour de ce sujet que j’ai interrogé Gwendal LE GRAND (chef du service de l’expertise informatique de la CNIL) lors du salon CLOUD & IT EXPO 2013

obligation de protéger les informations à caractère personnel

En effet, une entreprise qui utilise un service de Cloud Computing reste responsable des traitements : cela veut dire que l’entreprise doit s’assurer que son prestataire lui permettra de respecter ses obligations au regard de la loi informatique et libertés, notamment en termes d’information des personnes concernées, d’encadrement des transferts et de sécurité des données.

S’agissant de la sécurité, l’entreprise doit savoir quelles mesures de sécurité sont mises en œuvre par son prestataire. Elle doit notamment apprécier si ces mesures sont suffisantes ou si elles ont besoin d’être renforcées par la souscription d’options de service, de demandes d’évolutions auprès de son prestataire ou via la mise en place de moyens techniques ou de procédures internes.

voir la vidéo sur Dailymotion

Si une entreprise sélectionne un service de Cloud qui ne fournit pas suffisamment  d’information quant aux mesures de sécurité mises en œuvre  alors l’entreprise a de fortes chances de ne pas être en conformité avec la loi.

aller dans le Cloud en connaissance de cause

Si l’entreprise reste responsable des traitements et si elle doit avoir une compréhension des mesures de sécurité mises en œuvre pour assurer la sécurité des données personnelles, cette démarche de passage dans le Cloud doit être menée en amont et en connaissance de cause, car une fois le passage dans le Cloud fait il est souvent trop tard.


voir la vidéo sur Dailymotion

Comme indiqué très clairement par Gwendal LE GRAND de la CNIL, l’entreprise doit conduire 3 grandes actions pour que ce passage vers le Cloud se fasse dans de bonnes conditions et en respect avec la réglementation en vigueur :

  1. Définir quelles données peuvent aller dans le Cloud et quelles données  doivent rester en interne
  2. Identifier les exigences techniques et juridiques applicables aux données destinées au Cloud
  3. Conduire une analyse de risques afin de définir quelles sont les mesures de sécurité qui devront être présentes dans l’offre de Cloud. Ces mesures devant être autant de critères dans la phase de sélection du fournisseur de service. Cela peut influer sur les termes du contrat ainsi que sur le type de Cloud souscrit (privé, public, …)

pour aller plus loin et mettre sa démarche en place

Afin de faciliter les choses pour les entreprises, la CNIL propose un guide « Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud Computing » qui reprend en détail les 7 recommandations clefs et fournit des exemples de clauses contractuelles.

En complément, il y a aussi la page dédiée de la CNIL sur le Cloud Computing ainsi que le guide PLA « Privacy Level Agreement »  de la Cloud Security Alliance.

Jean-François Audenard (aka Jeff)

1 commentaire

  • 22 Janvier 2014
    2014-01-22
    par
    Authored by
    Recommandations que je vous conseille de suivre...

ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.