Recommandations de la CNIL pour les entreprises qui envisagent de souscrire à des services de Cloud Computing (2/2, fin de l’article précédent)
Recommandation n°5: Choisir un prestataire présentant des garanties suffisantes
En tant que responsables du traitement, il convient pour les clients de s’assurer qu’ils sont en mesure de remplir leurs obligations inhérentes à ce statut. Pour ce faire, ils doivent choisir des prestataires garantissant la mise en place de mesures de sécurité et de confidentialité appropriées, et qui soient transparents vis-à-vis de leurs clients sur les moyens employés pour exécuter leurs prestations (transfert de données à l’étranger,
recours à des sous-traitants, politique et mesures de sécurité, etc.).
Le choix d’un prestataire doit être effectué en considération de la grille d’analyse suivante :
- Étape n°1 : Déterminer la qualification juridique du prestataire Lorsqu’un client fait appel à un prestataire de services, il est généralement admis que le premier est responsable de traitement et le second sous-traitant. Toutefois, la CNIL constate que dans certains cas de PaaS et de SaaS publics, les clients, bien que responsables du choix de leurs prestataires, ne peuvent pas réellement leur donner d’instructions et ne sont pas en mesure de contrôler l’effectivité des garanties de sécurité et de confidentialité apportées par les prestataires. Cette absence d’instruction et de moyens de contrôle est due notamment à des offres standardisées, non modifiables par les clients, et à des contrats d’adhésion qui ne leur laissent aucune possibilité de négociation. Dans de telles situations, le prestataire pourrait a priori être considéré comme conjointement responsable en vertu de la définition de « responsable du traitement » fournie à l’article 2 de la directive 95/46/CE, puisqu’il participe à la détermination des finalités et des moyens des traitements de données à caractère personnel.
- Étape n°2 : Évaluer le niveau de protection assuré par le prestataire aux données traitées Quelle que soit la qualification du prestataire, il est de la responsabilité du client de choisir un prestataire qui assure un niveau de protection suffisant aux données qu’il lui confie.
Les mesures de protection des données personnelles devront ainsi figurer dans un contrat de prestation de services de Cloud computing.
Recommandation n°6 : Revoir la politique de sécurité interne
Le Cloud computing suppose une révision complète des procédures internes conformément aux conclusions de l’analyse de risques. En effet, le recours au Cloud introduit de nouveaux risques liés en particulier aux transmissions par internet ou à l’utilisation de terminaux mobiles et nomades. Une attention particulière doit être apportée aux mécanismes d’authentification des employés et le prestataire de Cloud doit proposer un service compatible avec ces exigences de sécurité.
Recommandation n°7 : Surveiller les évolutions dans le temps
Dans un esprit d’amélioration continue, la CNIL recommande de réaliser périodiquement une évaluation du service de Cloud computing en fonction de l’évolution dans le temps du contexte, des risques, des solutions disponibles sur le marché, de la législation, etc. En particulier, la mise à jour de l’analyse de risques préconisée est nécessaire dès qu’une évolution significative du service a lieu afin d’adapter les mesures ou les solutions dès que nécessaire. Ces évolutions peuvent concerner les fonctionnalités du produit ou la fourniture technique du service (nouveau centre de données, changement de politique de sécurité, évolution du traitement initiée par le client, etc.).
Merci à Maître Pétrone pour cette communication.