Tout comme le Commissariat à la protection de la vie privée du Canada et ses homologues de la Colombie-Britannique et de l'Alberta (billet), la Commission nationale de l'informatique et des libertés vient de publier ses recommandations pour les entreprises qui envisagent de souscrire à des services de cloud computing.
Ainsi, les petites et moyennes entreprises qui entendent recourir à des services d'infonuagiques doivent:
- identifier clairement les données (sont-elles à caractère personnel, sensibles, stratégiques pour l'entreprise ou utilisées dans les applications métiers) et les traitements qui passeront dans le cloud;
- définir ses propres exigences de sécurité technique (interopérabilité), pratique (disponibilité, portabilité) et juridique (localisation, confidentialité, règlementation spécifique pour certaines données);
- conduire une analyse de risques afin d'identifier les mesures de sécurité essentielles pour l'entreprise en ce qui concerne notamment le traitement, la dépendance technologique vis-à-vis du prestataire de service, les possibles incidents de sécurité, les réquisitions judiciaires, la durée de conservation des données, les droits d'accès, les flux transfrontières de données, l'impact d'une migration partielle des données;
- identifier le type de cloud pertinent pour le traitement envisagé;
- choisir un prestataire présentant des garanties suffisantes
- revoir la politique de sécurité interne et en informer les employés;
- surveiller les évolutions dans le temps du service de cloud choisi.
Par ailleurs, la CNIL présente les "éléments essentiels devant figurer dans un contrat de prestation de services de cloud computing": informations relatives aux traitements, garanties mises en oeuvre par le prestataire, localisation et transferts, formalités à réaliser auprès de la CNIL, sécurité et confidentialité. Et, elle propose des "modèles de clauses contractuelles" que l'on peut retrouver dans un contrat de service d'infonuagique.
Pour aller plus loin,
- COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing, Juin 2012.
- COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS, "Cloud computing: les conseils de la CNIL pour les entreprises qui utilisent ces nouveaux services", Articles, 25 juin 2012.