Le Cloud Computing ou l'informatique dématérialisée

  • Conseils
  • Publié
  • modifié
Le Cloud Computing ou l'informatique dématérialisée

 

En plein développement, le Cloud computing est une technique visant à accéder à des données et à des services sur un serveur distant. Cette technique permet aux entreprises de diminuer les coûts de gestion de leurs données en faisant appel à un prestataire externe. Mais cela comporte des risques, notamment en termes de confidentialité des données, c’est pourquoi la CNIL a rédigé des recommandations pour les entreprises françaises qui souhaitent avoir recours au Cloud computing.

 

Définition du Cloud computing 

 

Dans ses recommandations, la CNIL constate que d’un point de vue juridique, le Cloud computing présente de nombreux inconvénients. En effet les données étant hébergées à l’extérieur de l’entreprise, leur sécurité s’en trouve diminuée par le risque de leur fuite ou de leur divulgation notamment. En outre la CNIL s’interroge sur l’aspect juridique de cette technique et observe une atteinte au respect des données personnelles. C’est pourquoi elle recommande aux entreprises françaises d’être très attentives : « il est indispensable qu’une entreprise française qui envisage de recourir à un service de Cloud computing réalise une analyse de risques et soit très rigoureuse dans le choix de son prestataire. En particulier, l’entreprise devra prendre en considération les garanties offertes par un prestataire en matière de protection des données personnelles et s’assurer que ce dernier lui fournira toutes les garanties nécessaires au respect de ses obligations au regard de la loi Informatique et Libertés, notamment en termes d’information des personnes concernées, d’encadrement des transferts et de sécurité des données ».

La CNIL recommande en définitive de ne pas se précipiter et de choisir de manière réfléchie le prestataire de Cloud. Il faut que l’entreprise s’assure que la prestation permettra la sécurité de ses données, et surtout leur pérennité.

Liste des 7 recommandations établie par la CNIL


1.      Identifier clairement les données et les  traitements qui passeront dans le Cloud

Il s’agit pour l’entreprise de cibler les données qu’elle souhaite intégrer dans le Cloud, et de les distinguer en fonction de leur caractère personnel, sensible, stratégique pour l’entreprise par exemple.

2.      Définir ses propres exigences de sécurité technique et juridique

L’entreprise doit évaluer ses besoins en établissant un cahier des charges et vérifier que le prestataire Cloud y répond pertinemment et de façon à assurer la sécurité technique et juridique de ses données.

3.      Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise

Une liste des 35 risques à envisager est disponible sur le site Internet de l’Agence européenne chargée de la sécurité des réseaux et de l’Information (ENISA).

4.      Identifier le type de Cloud  pertinent pour le traitement envisagé

Parmi les offres de Cloud que l’on rencontre aujourd’hui sur le marché, on peut les rassembler selon trois familles que la CNIL définit comme suit :

 - SaaS : « Software as a Service », c’est-à-dire la fourniture de logiciel en ligne ; 
- PaaS : « Platform as a Service », c’est-à-dire la fourniture d’une plateforme de développement d’applications en ligne ;
- IaaS : « Infrastructure as a Service », c’est-à-dire la fourniture d’infrastructures de  calcul et de stockage en ligne ».

Le service Cloud proposé peut être soit public (partagé entre plusieurs clients), privé (dédié à un client unique) ou hybride.

5.      Choisir un prestataire présentant des garanties suffisantes

La CNIL recommande de choisir un prestataire Cloud selon des étapes qu’elle a pris soin de détailler dans ses recommandations.

6.      Revoir la politique de sécurité interne

S’agissant d’un transfert des données à l’extérieur, l’entreprise doit demeurer vigilante quant à l’utilisation des données, et à tous les transferts que les collaborateurs seront amenés à réaliser via le Cloud.
 

7.      Surveiller les évolutions dans le temps

Le droit qui protège les données étant en évolution perpétuelle et toujours mieux à même de protéger les droits individuels, la CNIL recommande aux entreprises de vérifier régulièrement que le contrat qui les lie avec le prestataire Cloud est en adéquation avec ses besoins, notamment lorsque des changements sont effectués au sein de l’entreprise.

Sources