Ces 7 recommandations vous permettront également de structurer vos appels d’offres et d’évaluer les différents prestataires sous un angle nouveau !
Recommandation n°1 : Identifier les données et les traitements qui passeront dans le Cloud
Quelles données et quels traitements seront confiés au prestataire ? : des données à caractère personnel, des données sensibles, des données stratégiques pour l’entreprise, des données utilisées dans les applications métiers.
Il faut veiller à ce que ces traitements n’incluent pas des données d’autres traitements qui ne sont pas dans le périmètre (exemple de la messagerie via laquelle les collaborateurs échangent des contenus stratégiques pour l’entreprise.)
Attention à certains types de données qui sont soumis à une réglementation spécifique (exemple, les données de santé ne peuvent être stockées que par un hébergeur de données de santé agréé par le Ministère de la santé)
Une fois les données et les traitements identifiés, il conviendra d’identifier et de respecter les conditions applicables à leur transfert.
Recommandation n°2 : Définir ses propres exigences de sécurité technique et juridique
Les offres Cloud sont généralement mutualisées et standards. Dans un tel cas il convient au client d’identifier ses propres exigences, enjeux et contraintes et d’évaluer le niveau d’adéquation de l’offre du prestataire à ses besoins, par exemple :
les contraintes légales (localisation des données, garantie de sécurité et de confidentialité, réglementations spécifiques à certains types de données, ...)
les contraintes pratiques (disponibilité, performance, réversibilité/portabilité,...)
les contraintes techniques (interopérabilité avec le système existant, ...)
Si l’offre pressentie ne respecte pas ces exigences minimum, il conviendra de préparer la négociation du contrat, des SLA et autres garanties avec ce prestataire.
Recommandation n°3 : Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise
Les principaux risques identifiés par la CNIL sont les suivants :
perte de gouvernance sur le traitement ;
dépendance technologique vis-à-vis du fournisseur de Cloud Computing (impossibilité de changer de solution sans perte de données) ;
faille dans l’isolation des données (risque que les données hébergées sur un système virtualisé soient modifiées ou rendues accessibles à des tiers non autorisés) ;
réquisitions judiciaires, notamment par des autorités étrangères ;
faille dans la chaîne de sous-traitance, dans le cas où le prestataire a lui-même fait appel à des tiers pour fournir le service ;
destruction ineffective ou non sécurisée des données, ou durée de conservation trop longue ;
problème de gestion des droits d’accès par les personnes ;
indisponibilité du service
fermeture du service du prestataire ou acquisition du prestataire par un tiers ;
non-conformité réglementaire, notamment sur les transferts internationaux.
La plupart de ces risques peuvent (et doivent) être anticipés, voir réduit, dans le contrat. Le contrat peut également intégrer des outils permettant de sanctionner automatiquement les prestataires défaillants (des pénalités par exemple).
Recommandation n°4 : Identifier le type de Cloud pertinent pour le traitement envisagé
Il existe différentes offres de services de Cloud computing :
Les modèles de services sont par exemple :
.SaaS : « Software as a Service « : la fourniture de logiciel en ligne sous forme de service ;
.PaaS : « Platform as a Service » : la fourniture d’une plateforme de développement d’applications en ligne ;
.IaaS : « Infrastructure as a Service » : la fourniture d’infrastructures de calcul et de stockage en ligne.
Les modèles de déploiement de ces services sont soit :
.« Public » : service partagé et mutualisé entre de nombreux clients
.« Privé » : service dédié à un client
Il est évidemment possible de choisir des type différent de Cloud en fonction des données et traitement transférés, ce qui permet de répondre aux contraintes et enjeux juridiques de chaque traitement en fonction de sa criticité pour le métier ou de sa sensibilité au regard de la loi Informatique et liberté.
Recommandation n°5 : Choisir un prestataire présentant des garanties suffisantes
Le Client doit respecter la loi informatique et liberté. Pourtant lorsqu’il fait appel à un service Cloud, il n’a plus la main sur des mesures nécessaires à cette conformité à la loi (mesures de sécurité, confidentialité, flux à l’étranger …). Le Client doit donc choisir un prestataire qui prend les engagements qui lui permettront d’être en conformité avec la loi informatique et liberté.
Etape n°1 : Déterminer la qualification juridique du prestataire
En général le Client est « responsable de traitement » au sens de la loi informatique et liberté et le Prestataire est « sous-traitant », chacun ayant des obligations différentes au regard de cette loi.
Pourtant dans certains cas de services Cloud, les clients ne sont pas, concrètement en mesure de respecter leurs obligations légales (impossibilité de contrôler les moyens et mesure de sécurité mises en place par le prestataire ni d’exiger la mise en place de moyens de sécurité spécifiques).
La CNIL accepte donc dans ces cas que le prestataire et le client soient conjointement responsables du respect par le client de la loi informatique et liberté. Cela signifie que tant le client que le Prestataire peut se faire contrôler et sanctionner par la CNIL.
Il est donc utile, voir nécessaire, dorénavant de bien définir le périmètre de responsabilité de chacune des parties dans le contrat.
Etape n°2 : Evaluer le niveau de protection assuré par le prestataire aux données traitées
Il est de la responsabilité du client de choisir un prestataire qui assure un niveau de protection suffisant aux données qu’il lui confie. La CNIL a listé les éléments essentiels devant figurer dans un contrat de prestation de services de Cloud computing.
Il s’agit par exemple :
Informations relatives aux traitements : Moyens de traitement, Existence d’un système de remontée des plaintes et des failles de sécurité, Destinataires des données, Sous-traitance, Existence de procédures simples permettant de respecter les droits des personnes concernées vis-à-vis de leurs données, etc..
Garanties mises en œuvre par le prestataire : Durée de conservation des données limitée et raisonnable au regard des finalités ; Destruction et/ou restitution des données en fin de prestation dans un format structuré et couramment utilisé…
Localisation et transferts : Indication des pays hébergeant les centres de données du prestataire ; Assurance d’une protection adéquate à l’étranger ; Possibilité de limiter les transferts de données uniquement vers des pays membres de l’UE ou vers des pays tiers assurant un niveau de protection adéquat …
Formalités auprès de la CNIL : Déterminer qui du client et du prestataire est en charge de quelles actions au vue de la réalisation des formalités auprès de la CNIL…
Sécurité et confidentialité : Politique de sécurité et mesures minimales de sécurité ; SLA ; Réversibilité ; Traçabilité …
Recommandation n°6 : Revoir la politique de sécurité interne
Mettre en place un service Cloud nécessite de revisiter la politique de sécurité interne au Client notamment s’agissant de la transmission de données par internet ou l’utilisation de terminaux mobiles et nomades (problématique d’authentification, de sécurisation des accès, de confidentialité des devices…). Il faudra s’assurer de la capacité et de l’engagement du prestataire de respecter ces nouvelles exigences de sécurité.
Recommandation n°7 : Surveiller les évolutions dans le temps
Les technologies évolues, les services de votre prestataire vont évoluer, votre base de données aussi va évoluer, les risques liés à la sécurité risquent aussi d’évoluer. Il est donc recommandé de surveiller régulièrement votre projet et, pour ce faire d’intégrer dans le contrat de Cloud Computing des clauses permettant de suivre et d’anticiper ces évolutions.
En conclusion :
La CNIL a attendu les problématiques techniques et opérationnelles auxquelles se heurtent les entreprises utilisant le Cloud Computing
Plus que jamais le contrat doit être mis au cœur de votre projet, car il permettra notamment de :
.responsabiliser réellement le prestataire puisqu’il peut devenir conjointement responsable vis-à-vis de la CNIL
.paramétrer les rôles et responsabilités de chacun afin que les titulaires de données puissent exercer leurs droits,
.obtenir des prestataires un véritable rôle de conseil pendant toute la durée du contrat et non pas uniquement au début pour assurer les formalités CNIL : par exemple sur :
-les mesures de sécurité
-les moyens de contrôles
-les transferts à l’étranger
-un soutien fort en cas de contrôle de la CNIL