Connaissez-vous le “Cloud Computing” (“Informatique en nuage”) ? Ce système permet de stocker et de traiter des données via des serveurs distants plutôt que de les localiser sur des serveurs locaux ou sur le poste de l’utilisateur. Mais si vous envisagez de recourir au Cloud computing pour votre entreprise, il y a des règles à respecter.

Le traitement automatisé des données à caractère personnel crée en effet un véritable risque par rapport à la sécurité des données transmises.  Voici les 7 recommandations de la CNIL (source) pour analyser les différentes solutions qui peuvent vous être proposées :

cloud computing

1 - Identifier et classifier les données que vous hébergez dans le Cloud

Avant de transférer des documents et des dossiers dans le Cloud, et donc de laisser un prestataire avoir accès à des informations jusqu’alors totalement confidentielles, vous devez tout d’abord trier vos informations pour les répartir en 4 catégories :

  • les données sensibles
  • les données présentant un caractère personnel
  • les données stratégiques pour l’entreprise
  • les données utilisées dans les applications métiers

Quelles sont celles que vous pouvez héberger chez le prestataire ? Allez-vous déplacer tout ou partie de ces données ? Vous devez à chaque fois prendre une décision explicite, qui sera le cas échéant communiquée à vos collaborateurs. Pensez aussi à analyser les conséquences pratiques d’un transfert partiel de données : qui aura accès à quoi ? comment les données conservées en interne vont-elles être traitées ? quel support doit être utilisé lorsque la communication de ces données s’avère nécessaire ?

2 - Déterminer vos critères de sécurité juridique et technique

Si vous décidez de recourir à une offre de Cloud  standardisée, vous devez vous assurer que l’offre choisie correspond à vos critères de sécurité et de fiabilité (à la fois juridiques et techniques).

3 types de contraintes sont à prendre en compte :

  • légales : confidentialité et sécurité des données, respect des règlementations existantes, la localisation des données…
  • pratiques : disponibilité des données, portabilité…
  • techniques : compatibilité avec les systèmes existants…

Cette vérification est cruciale car, dans la majorité des cas, les prestataires se contentent d’exclure toute responsabilité les concernant dans leur CGV. En cas d’infraction, c’est donc votre entreprise qui sera considérée comme responsable !

Par exemple, il est totalement interdit de déposer vos données comptables en dehors de l’Union Européenne et, si vous choisissez de stocker vos factures électroniques hors de France, vous devez le déclarer à l’administration fiscale.

3 - Analyser le risque pour définir les mesures de sécurité à mettre en place

Vous devez définir les mesures de sécurité adaptées pour chaque catégorie de données, et notamment pour toutes les informations qui revêtent un caractère personnel. La  CNIL a identifié les principaux risques qui pèsent sur les entreprises :

  • impossibilité de maîtriser le traitement des données à caractère personnel
  • impossibilité de changer facilement de solution de stockage sans risquer de perdre des données
  • failles de sécurité : lorsqu’elles sont mal isolées, les informations peuvent être accessibles (et éventuellement modifiables) par des tiers non autorisés
  • données qui ne sont pas réellement détruites ou qui sont conservées trop longtemps
  • problèmes liés à la sous-traitance lorsque le prestataire n’assure pas lui-même l’intégralité du service proposé
  • défaillances dans la gestion des droits d’accès aux tiers
  • fermeture de l’entreprise du prestataire ou du service de cloud computing
  • problèmes liés au non-respect des dispositions règlementaires françaises
  • réquisitions judiciaires éventuelles, par exemple par des autorités étrangères

Il faut donc être très vigilant avant de s’engager et, le cas échéant, négocier un contrat personnalisé.

cloud computing et entreprisePar exemple, au niveau du traitement des données à caractère personnel (ou même stratégique pour l’entreprise), lisez attentivement les conditions générales de vente des prestataires ! Certaines CGV peuvent vous réserver quelques surprises, comme celles de Microsoft Drive (le “SkyDrive”) qui précisent : “Lorsque vous téléchargez votre contenu sur les services, vous reconnaissez qu’il peut être utilisé, modifié, adapté, enregistré, reproduit, distribué et affiché dans le cadre de votre protection et de la fourniture, protection et amélioration des produits et services Microsoft.

Prenez le temps de vous documenter sur les points forts et les points faibles de chaque modèle de service  proposé en matière de cloud computing : Saas (logiciel en ligne), Paas (plateforme de développement d’applications en ligne), Iaas (infrastructures de calcul et de stockage en ligne).
Regardez aussi si le service est mutualisé et donc à partager avec d’autres clients, s’il est dédié ou s’il est hybride (à la fois public et privé).
Il n’y a pas de bonne ou de mauvaise solution en soi, le tout étant de choisir un service qui correspond à vos objectifs en matière de traitement des données. Vous pouvez d’ailleurs mixer ces offres pour vous construire une solution sur mesure (un service pour votre site web, un autre pour le stockage de certains documents…).

5 - Les garanties apportées par le prestataire

Comme évoqué précédemment, c’est à vous de vérifier que le prestataire remplit correctement ses obligations de sécurité et de confidentialité, car c’est votre entreprise qui sera en première ligne s’il y a une défaillance. N’hésitez pas à contrôler, point par point (sous-traitance, localisation des données…), les garanties apportées par les différents prestataires.

cnil et cloud computingSi vous choisissez une offre standardisée,  la CNIL considère cependant que le prestataire “pourrait alors être considéré comme conjointement responsable” si ‘les responsabilités incombant à chacune des parties sont clairement définies” afin qu’un contrôle réel puisse être effectué. En pratique, c’est pourtant loin d’être si simple. En matière d’information quant à la conservation des données à caractère personnel ou de déclaration des fichiers à la CNIL, c’est à vous de faire les différentes démarches, et c’est aussi votre entreprise qui sera contactée lorsqu’une personne (un client, un collaborateur) souhaitera exercer son droit d’accès, de rectification, de modification, de mise à jour ou d’effacement.

Vous devez donc être très vigilant avant de choisir votre prestataire.

La CNIL considère ainsi que certains éléments essentiels doivent être présent dans le contrat que vous allez signer :

  •  les informations relatives aux traitements des données : respect des principes européens en matière de protection des données personnelles et de la loi Informatique et Libertés, existence d’un système de remontée des plaintes et des failles de sécurité, moyens de traitement, destinataires des données, consentement nécessaire en cas d’utilisation de tiers ou de sous-traitants…
  • les garanties apportées : durée de conservation des données, restitution ou destruction des données en cas de résiliation du contrat à terme ou de façon anticipée, coopération avec les autorités compétentes en matière de protection des données…
  • localisation et transfert : indication détaillée des pays hébergeant les données, protection assurée à l’étranger…
  • formalités auprès de la CNIL (y compris pour les sous-traitants)
  • sécurité et confidentialité : obligations du prestataire et des sous-traitants, politique de sécurité ( y compris concernant les mesures physiques pour s’assurer de la sûreté du site d’hébergement), intégrité des données, portabilité, continuité du service, pénalités en cas de non-respect des engagements contractuels..

 6 - Définir la politique de sécurité en interne

Vous devez intégrer les risques liés à l’utilisation d’Internet et aux terminaux mobiles (smartphones, PC portables…) et vous assurer que vous bénéficiez d’une protection suffisante.

7 - Évaluation régulière le service de cloud computing

Enfin, il est important d’évaluer régulièrement votre service de cloud computing pour garantir son efficacité dans le temps et l’adéquation de la solution choisie avec les risques encourus.  Des évolutions législatives, techniques et technologiques peuvent rendre à terme votre service de cloud computing totalement inadapté si le prestataire n’actualise pas son offre.

Et vous ? Utilisez-vous le système de cloud computing ?

Crédit photo : merci à Seven Morris, à JulianBleecker, à Cyril Cavalié

Mettre en favoris et partagerEntreprise»Abonnement