Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cloud Computing : quel rôle pour le CIL ?

février 2012 par Emmanuelle Lamandé

Le Cloud Computing, ou « Informatique en nuage », fait aujourd’hui partie intégrante du paysage IT. Le principe est certes alléchant, les bénéfices indéniables, mais qu’en est-il de la sécurité ? Qu’advient-il de la localisation des données ? Quid de leur maîtrise, notamment pour les données à caractère personnel ? Quel rôle doit jouer le CIL dans cette transition ? Bernard Foray, DSSI et CIL de Casino Technology, lance le débat à l’occasion de la 6ème Université AFCDP des CIL.

Pour Maître Olivier Iteanu, Avocat à la Cour - Cabinet Iteanu, le CIL est concerné par le Cloud à partir du moment où celui-ci traite des données à caractère personnel. Plusieurs points de vigilance doivent ainsi être pris en compte en amont de tout projet, mais aussi tout au long de la prestation, et même au-delà :
 Le contrôle de la mise en œuvre de la prestation commence avec le choix du prestataire. Il est important de regarder sa crédibilité, de connaître ses sous-traitants, ainsi que son rapport avec la Loi Informatique et Libertés. Il faut également un engagement contractuel sur la localisation physique des serveurs. Les contrats doivent à la fois mentionner un certain nombre de fondamentaux, tels que les obligations de confidentialité, de sécurité et d’intégrité des données, mais ils doivent aussi être personnalisés en fonction de la structure.
 L’accessibilité est également un aspect essentiel dont il faut tenir compte. En interne, on sait « plus ou moins » qui accède aux données. Dans le Cloud, ce n’est pas le cas. La gestion des droits est donc un sujet d’autant plus important dans le Cloud.
 L’élasticité du Cloud permet d’inclure facilement de nouvelles fonctionnalités. Toutefois, cette élasticité doit faire l’objet d’une vigilance particulière, et être contrôlée par le CIL de manière régulière.

La clause de réversibilité doit faire l’objet d’une attention particulière

La consultation lancée par la CNIL le 17 octobre dernier a montré qu’un tiers des points soulevés sont relatifs à la sécurité. Parmi les principaux critères en matière de SSI, on retrouve bien entendu la confidentialité, l’intégrité et la disponibilité, souligne Frédéric Connes, Juriste et CIL chez Hervé Schauer Consultants (HSC). Pour lui, le Cloud pose certes des problèmes liés à la confidentialité, mais en ce qui concerne l’intégrité et la disponibilité, il peut s’avérer intéressant, car la redondance et la sauvegarde, par exemple, sont facilitées… mais soulève certaines questions juridiques : où sont mes données ? Dans quel pays ? Sont-elles traitées de manière licite ? Quid de la récupération des données (réversibilité, transfert). C’est un vrai sujet aujourd’hui, car il n’y a pas de norme à ce jour qui encadre cette notion de réversibilité et de transférabilité. Comment pouvoir s’assurer que les données soient effacées une fois qu’on met un terme au service ? La question du « droit à l’oubli » se pose donc.

Alain Garnier, PDG de Jamespot, estime que c’est aussi aux opérateurs de faire prendre conscience aux clients des changements apportés par le Cloud, de la localisation de leurs données, des clauses contractuelles… et donc de prouver la qualité de leurs prestations et services.

Parmi les principaux conseils à prodiguer aux entreprises, Olivier Iteanu rappelle que le contrat doit à la fois prévoir les fondamentaux, mais aussi être customisé aux couleurs de l’entreprise, et évoluer en fonction de l’élasticité.

Il est également important de s’assurer que les conséquences du Cloud Computing ont bien été mesurées et actées, complète Frédéric Connes. L’entreprise doit, de plus, faire très attention à la clause de réversibilité et être conforme aux articles 34 et 35 de la Loi Informatique et Libertés :
Au regard de l’article 34 de la Loi Informatique et Libertés, « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
L’article 35 stipule, quant à lui, que « Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement […] Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.
Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement
 ».

Alain Garnier conseille, quant à lui, de « faire une liste synthétique des points attendus en termes de sécurité et au niveau juridique. Le CIL doit, en outre, entrer en relation avec l’opérateur. La confiance s’établit aussi à ce niveau ». Enfin, il faut bien définir les responsabilités des uns et des autres, conclut Bernard Foray.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants