Pour gérer vos consentements :
Categories: CloudEntreprise

La CNIL s’interroge sur les risques liés à la mise en oeuvre du cloud dans les entreprises

Après avoir lancé en 2011 une consultation publique sur le cloud computing, la Commission Nationale de l’Informatique et Libertés (CNIL) estime urgent de clarifier le cadre juridique applicable aux offres d’informatique distribuée, infrastructures (Iaas), plates-formes de développement (PaaS) et logiciels en tant que service (SaaS).

Des risques en cascade

« Les questions de sécurité, de qualification du prestataire, de loi applicable et de transfert des données sont particulièrement délicates », a souligné la CNIL le 25 juin par voie de communiqué. Les difficultés sont plus marquées dans le cas d’offres standardisées, les contrats d’adhésion ne permettant pas aux clients de négocier.

Par ailleurs, l’information fournie par les prestataires quant aux conditions de réalisation des prestations « manquent de transparence », notamment sur le fait de savoir si les données concernées sont transférées à l’étranger.

La CNIL recommande donc à toute entreprise française qui envisage d’utiliser un service de cloud computing d’analyser les risques en amont et de choisir son prestataire avec précaution.

Autrement dit, il revient à l’entreprise cliente de s’assurer que le service auquel elle a recourt lui permettra de respecter ses obligations au regard de la loi informatique et libertés française, souligne Silicon.fr.

Concernant la sécurité, la CNIL constate que les offres de cloud « reconnues », autrement dit celles proposées par des entreprises d’envergure internationale, peuvent présenter des niveaux de sécurité supérieurs à ceux que peuvent garantir les PME.

Globalement, le cloud génère de nouveaux risques pour les clients et leurs prestataires, notamment en ce qui concerne la pérennité des données.

Pour tirer profit du cloud tout en limitant les risques, la Commission informatique et libertés préconise les mesures suivantes :

– Identifier clairement les données et les traitements qui passeront dans le cloud
– Définir ses propres exigences de sécurité technique et juridique
– Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise
– Identifier le type de cloud pertinent pour le traitement envisagé
– Choisir un prestataire présentant des garanties suffisantes en déterminant sa qualification juridique
– Revoir la politique de sécurité interne
– Surveiller les évolutions dans le temps

Des contrats renforcés

En outre, les informations relatives aux traitements des données, les garanties mises en oeuvre par le prestataire, les obligations lui incombant en matière de sécurité et de confidentialité ou encore la localisation et les transferts doivent figurer dans un contrat de prestation de services de cloud computing.

Enfin, lorsque le prestataire est sous-traitant, il est dans l’obligation de fournir à son client toute information utile permettant de procéder à la déclaration du traitement auprès de la CNIL.

Lorsque le prestataire est responsable conjoint du traitement, le client et le prestataire doivent déterminer quelle partie sera en charge des formalités pour son compte et pour celui de l’autre partie.

Ces précisions ne devraient pas limiter l’engouement des entreprises pour l’informatique distribuée. Vice-présidente de la Commission européenne, Neelie Kroes s’est déjà prononcée en faveur d’une Europe « cloud active ».

Elle a déclaré, le 25 juin, lors d’une intervention à Bruxelles : « 2012 est l’année où le cloud prend son envol. Un véritable marché en ligne nous donnera l’élan économique dont nous avons besoin maintenant. » D’après IDC, grâce au cloud computing près de 14 millions d’emplois dans le monde seront créés d’ici à 2015, dont 189 000 en France.

Crédit image : © James Thew – Fotolia.com

Recent Posts

Avec Phi-3-mini, Microsoft va-t-il convertir les PME à la GenAI ?

Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…

2 jours ago

IA et RGPD : sont-ils compatibles ?

Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…

3 semaines ago

Windows 10 : quel coût pour le support étendu ?

Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…

4 semaines ago

Cybersécurité : la plan de Docaposte pour convaincre les PME

Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…

1 mois ago

Surface Pro 10 : plus autonome et un peu plus réparable

La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…

1 mois ago

Office 2024 : ce qu’on sait de la prochaine version

Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…

1 mois ago