Contrôler et sanctionner / Contribuer à la régulation internationale / Anticiper et innover / Les sujets de réflexion pour 2013 / Annexes
d’infrastructures (IaaS – Infrastructure as
a Service), la fourniture de plateformes
de développement (PaaS – Platform as
a Service) ou celle de logiciels en ligne
(SaaS – Software as a Service). Ces offres
sont proposées dans des cloud publics
(service partagé et mutualisé entre de
nombreux clients), privés (cloud dédié à
un client) ou hybrides (combinaison des
modèles public et privé).
À la suite de la consultation publique
menée en 2011, la CNIL a publié en juin
2012 un ensemble de recommandations
à destination des organismes qui souhaitent avoir recours à des prestations de
cloud et notamment les PME. Ces recommandations sont assorties de modèles de
clauses contractuelles qui peuvent être
insérés dans les contrats de services de
cloud computing afin de couvrir les questions liées à la protection des données à
caractère personnel.
Les étapes à suivre lors
d’un passage au cloud computing
1 Cartographier les données et les traitements : quelle est la nature des données
et des traitements que l’on pense transférer
dans le cloud ?
2 Définir ses exigences de sécurité
technique et juridique : quelles sont les
exigences légales et normatives ? (par
exemple, les données de santé ne peuvent être hébergées que par un prestataire
agréé par le Ministre de la Santé).
3 Analyser les risques nouveaux
engendrés par le passage dans le cloud :
réfléchir à l’impact sur les personnes
concernées et sur l’organisme d’un passage des données et traitements identifiés
dans le cloud, par exemple en ce qui
concerne la perte de gouvernance sur le
traitement, la dépendance technologique
vis-à-vis du fournisseur de cloud computing, ou les réquisitions judiciaires,
notamment par des autorités étrangères.
4 Choisir des modèles de services (IaaS,
PaaS ou SaaS)3 et de déploiement (privé,
public ou hybride)4 pertinents : en fonction des résultats de l’analyse de risques
et des exigences définies à la seconde
étape, différents types de cloud pourront
être envisagés.
5 Choisir un prestataire présentant des
garanties suffisantes : la CNIL propose
dans ses recommandations un ensemble
d’éléments pour identifier un prestataire
« de confiance ». Pour cela, un prestataire
doit être transparent et doit fournir à ses
clients des garanties juridiques (ex : engagement que les durées de conservation
sont limitées, raisonnables et proportionnelles aux finalités de collecte des données) et techniques (ex : droit du client
d’auditer ou de faire auditer son prestataire sous-traitant) suffisantes en matière
de protection des données à caractère
personnel. La CNIL met à disposition
dans ses recommandations une liste des
éléments essentiels devant figurer dans un
contrat de prestation de cloud computing
qui permet d’évaluer si un prestataire
fournit des garanties suffisantes.
6 Réviser sa politique de sécurité
interne afin de prendre en compte les
conclusions de l’analyse de risques et
d’adapter les procédures internes en
conséquence.
7 Surveiller les évolutions dans le temps
et mettre à jour l’analyse de risques si
nécessaire, afin de s’assurer que le service
utilisé est toujours adapté.
Cartographie des données
et des traitements
Surveillance
des évolutions
Exigences de sécurité
technique et juridique
Révision de la politique de
sécurité interne
Analyse de risques
Cartographie des données
et des traitements
Choix des modèles de services
et de déploiement pertinents
1
Bien avant qu’apparaisse l’expression « cloud computing «, les architectes réseau schématisaient internet par un nuage. En anglais, le terme « the cloud « était couramment
utilisé pour désigner Internet. / 2 Enquête Markess International, « 6e Baromètre des Prestataires Cloud Computing », www.evoliz.com/blog/67-20120412-barometre-prestatairescloud-computing-markess-international-2012.html / 3 IaaS (« Infrastructure as a Service ») désigne la fourniture d’infrastructures de calcul et de stockage en ligne - PaaS
(« Platform as a Service ») désigne la fourniture d’une plateforme de développement d’applications en ligne - SaaS (« Software as a Service ») désigne la fourniture de logiciels en
ligne. / 4 Un cloud est privé lorsqu’il est dédié à un seul client, au contraire du cloud public qui désigne un service partagé et mutualisé entre de nombreux clients. Le cloud hybride
est un service partiellement public et partiellement privé.
29