Cloud Computing recommandations de la CNIL
    L'informatique dans le nuages

    Faites un choix éclairé

    D’un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain nombre de difficultés au regard du respect de la législation relative à la protection des données personnelles, en particulier dans le cas du Cloud public. Ces difficultés sont amplifiées dans le cas des offres standardisées avec des contrats d’adhésion ne laissant pas aux clients la possibilité de les négocier.

    De manière générale, il est constaté que les clients souffrent d’une insuffisance de transparence de la part des prestataires de Cloud quant aux conditions de réalisation des prestations, notamment sur la sécurité et sur la question de savoir si leurs données sont transférées à l’étranger, et plus précisément à destination de quels pays.

    Recommandations

    Par conséquent, il est indispensable qu’une entreprise française qui envisage de recourir à un service de Cloud computing réalise une analyse de risques et soit très rigoureuse dans le choix de son prestataire. En particulier, l’entreprise devra prendre en considération les garanties offertes par un prestataire en matière de protection des données personnelles et s’assurer que ce dernier lui fournira toutes les garanties nécessaires au respect de ses obligations au regard de la loi Informatique et Libertés, notamment en termes d’information des personnes concernées, d’encadrement des transferts et de sécurité des données.

    Il est à noter qu’en cas d’impossibilité de négocier un contrat, une comparaison des conditions contractuelles proposées par les différents prestataires est indispensable.

    Contrairement aux offres classiques d’externalisation, dans lesquelles les prestataires fournissent une réponse personnalisée à un cahier des charges défini par le client, de nombreuses offres de Cloud sont dites standard, pour tous les clients et ne répondent pas à un cahier des charges particulier. Pour autant, le client doit définir ses propres exigences et évaluer si les offres envisagées répondent à l’ensemble des exigences formulées. En effet, si le but du Cloud est de décharger le client de certaines tâches opérationnelles, il doit s’assurer a priori que le prestataire suit un niveau d’exigence au moins égal au sien.


    Les exigences doivent comprendre l’ensemble des points importants pour le client et considérer notamment les contraintes légales (localisation des données, garantie de sécurité et de confidentialité, réglementations spécifiques à certains types de données, etc.) ; les contraintes pratiques (disponibilité, réversibilité/portabilité2, etc.) ; et les contraintes techniques (interopérabilité avec le système existant, etc.).

    Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise et identifier le type de Cloud pertinent pour le traitement envisagé ; Il existe différentes offres de services de Cloud Computing sur le marché, qui peuvent être distinguées selon trois modèles de services et trois modèles de déploiement.

    Modèles de services

    SaaS : « Software as a Service », c’est-à-dire la fourniture de logiciel en ligne ;
    PaaS : « Platform as a Service », c’est-à-dire la fourniture d’une plateforme de développement d’applications en ligne ;
    IaaS : « Infrastructure as a Service », c’est-à-dire la fourniture d’infrastructures de calcul et de stockage en ligne.

    Modèles de déploiement

    Public :  quand un service est partagé et mutualisé entre de nombreux clients ;

    Privé : quand le Cloud est dédié à un client ;

    Hybride : quand un service est partiellement dans un Cloud public et partiellement dans un Cloud privé.

    Le Cloud computing suppose une révision complète des procédures internes conformément aux conclusions de l’analyse de risques. En effet, le recours au Cloud introduit de nouveaux risques liés en particulier aux transmissions par internet ou à l’utilisation de terminaux mobiles et nomades. Une attention particulière doit être apportée aux mécanismes d’authentification des employés et le prestataire de Cloud doit proposer un service compatible avec ces exigences de sécurité.

    Dans un esprit d’amélioration continue, la Commission recommande de réaliser périodiquement une évaluation du service de Cloud computing en fonction de l’évolution dans le temps du contexte, des risques, des solutions disponibles sur le marché, de la législation, etc.


    En particulier, la mise à jour de l’analyse de risques préconisée est nécessaire dès qu’une évolution significative du service a lieu afin d’adapter les mesures ou les solutions dès que nécessaire. Ces évolutions peuvent concerner les fonctionnalités du produit ou la fourniture technique du service (nouveau centre de données, changement de politique de sécurité, évolution du traitement initiée par le client, etc.).

    La CNIL propose des modèles de clauses contractuelles reprenant les éléments essentiels . Ces modèles peuvent être iconsultés sur le site de la CNIL.

    Voir les articles

    Top