Les recommandations de la CNIL en matière de Cloud Computing
Face au succès grandissant du cloud computing, la CNIL a lancé une consultation publique entre octobre et décembre 2011. Elle a publié les résultats le 25 juin dernier, soit une analyse du cadre juridique applicable en matière de Cloud et des recommandations pratiques à destination des entreprises, et plus particulièrement des PME qui souhaiteraient adopter le cloud computing.

La CNIL définit le cloud computing comme le " report vers le "nuage internet" de données et d’applications qui auparavant étaient situées sur les serveurs et ordinateurs des sociétés." Elle précise que le modèle économique associé s’apparente à "la location de ressources informatiques avec une facturation en fonction de la consommation."

L'offre en matière de cloud computing se décline sous trois types :
-  l'hébergement d’infrastructure (Infrastructure as a Service, IaaS)
-  la fourniture de plateformes de développement (Platform as a Service, PaaS)
-  des logiciels en ligne (Software as a Service, SaaS)

Si le cloud offre de nombreux avantages, comme la mutualisation des coûts d'hébergements et d'opérations, il soulève aussi de nombreuses difficultés, notamment juridiques. Il faut clarifier les responsabilités afférant au cloud computing du fait du caractère délicat des questions de sécurité, de qualification du prestataire, de loi applicable et de transfert des données. La CNIL soulève le problème du manque de transparence de la part des prestataires quant aux mesures techniques et organisationnelles mises en œuvre permettant de garantir la sécurité et la confidentialité des données traitées pour les compte des clients.

Dans la synthèse des réponses, la CNIL définit le contexte et ce qu’est le cloud computing. Elle qualifie ensuite client et prestataire et détermine la loi applicable. Elle publie une liste de sept recommandations :

  1. Identifier clairement les données et les traitements qui passeront dans le Cloud
  2. Définir ses propres exigences de sécurité technique et juridique
  3. Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise
  4. Identifier le type de Cloud pertinent pour le traitement envisagé
  5. Choisir un prestataire présentant des garanties suffisantes
  6. Revoir la politique de sécurité interne
  7. Surveiller les évolutions dans le temps

La CNIL dresse aussi une liste des éléments essentiels devant figurer dans un contrat de prestation de services de cloud computing, concernant des informations relatives aux traitements, des garanties mises en œuvre par le prestataire, des formalités auprès de la CNIL, des éléments concernant la sécurité et la confidentialité. Elle propose en outre des modèles de clauses contractuelles.

Source: CNIL

Aucune note sur cet article
Aucun commentaire sur cet article
Powered by KB Crawl