Cloud computing : les conseils de la CNIL pour les entreprises qui utilisent ces nouveaux services
Les offres de "Cloud computing" se sont fortement développées ces dernières années. Cependant, le recours par les entreprises à ces services pose des questions nouvelles en termes juridiques et de gestion des risques. Afin de préciser le cadre juridique applicable, la CNIL a lancé fin 2011 une consultation publique sur le Cloud computing. Forte des nombreuses contributions recueillies, elle actualise aujourd'hui son analyse sur le cadre juridique applicable. Elle publie également des recommandations pratiques à destination des entreprises françaises, et notamment des PME, qui souhaitent avoir recours à des prestations de Cloud.
L'expression " informatique en nuage " ou " Cloud computing " désigne le déport vers " le nuage Internet "* de données et d'applications qui auparavant étaient situées sur les serveurs et ordinateurs des sociétés, des organisations ou des particuliers. Le modèle économique associé s'apparente à la location de ressources informatiques avec une facturation en fonction de la consommation.
La gamme d'offres correspondantes a connu un fort développement ces quatre dernières années, notamment au travers du stockage et de l'édition en ligne de documents ou même des réseaux sociaux par exemple.
De nombreuses offres de services de Cloud computing sont désormais disponibles sur le marché, que ce soit pour l'hébergement d'infrastructures (IaaS – Infrastructure as a Service), la fourniture de plateformes de développement (PaaS – Platform as a Service) ou celle de logiciels en ligne (SaaS – Software as a Service). Ces offres sont proposées dans des Clouds publics (service partagé et mutualisé entre de nombreux clients), privés (Cloud dédié à un client) ou hybrides (combinaison des modèles public et privé).
Une nécessaire clarification du cadre juridique
Le Cloud computing représente pour les entreprises une évolution majeure de leurs services informatiques et propose de nombreux avantages, notamment celui de mutualiser les coûts d'hébergement et d'opérations.
Les questions de sécurité, de qualification du prestataire, de loi applicable et de transfert des données sont particulièrement délicates dans le cadre du Cloud computing. Les entreprises souhaitant recourir à ces services ont donc besoin d'une clarification des responsabilités y afférant qui leur est applicable.
La standardisation des offres et le recours par les prestataires de Cloud à des contrats d'adhésion pour formaliser leurs relations contractuelles avec leurs clients laissent peu de marge de négociation à ces derniers. De plus, il apparaît que les prestataires fournissent généralement peu d'informations à leurs clients quant aux mesures techniques et organisationnelles mises en œuvre permettant de garantir la sécurité et la confidentialité des données traitées pour le compte des clients. Cette insuffisance de transparence de la part des prestataires fait défaut aux clients, puisqu'ils ne disposent pas de toutes les informations nécessaires leur permettant de remplir leurs obligations en tant que responsables de traitement.
Sur la base des 49 réponses à sa consultation publique, la CNIL précise aujourd'hui son analyse du cadre juridique du Cloud computing, Elle accompagne les entreprises qui souhaitent avoir recours à des prestations de Cloud et notamment les PME, en leur proposant des recommandations pratiques. Elle met aussi à leur disposition des modèles de clauses contractuelles qui peuvent être insérés dans les contrats de services de Cloud computing.
* Bien avant qu'apparaisse l'expression " Cloud Computing ", les architectes réseau schématisaient Internet par un nuage. En anglais, le terme " the Cloud " était couramment utilisé pour désigner Internet.
Liste des recommandations:
- Identifier clairement les données et les traitements qui passeront dans le Cloud
- Définir ses propres exigences de sécurité technique et juridique
- Conduire une analyse de risques afin d'identifier les mesures de sécurité essentielles pour l'entreprise
- Identifier le type de Cloud pertinent pour le traitement envisagé
- Choisir un prestataire présentant des garanties suffisantes
Aucun commentaire:
Enregistrer un commentaire