Cloud computing : les conseils de la CNIL pour les entreprises qui utilisent ces nouveaux services

Résumé

La dispersion des données dans des “nuages” pose de nombreux soucis. La Commission Nationale Informatique et Liberté vient d’émettre des recommandations à ce sujet.

La Commission Nationale Informatique et Liberté (CNIL) s’inquiète depuis longtemps des effets du développement du cloud computing. Elle vient de diffuser un document de synthèse sur ses recommandations aux entreprises en la matière. Celles-ci ont été édictées après une consultation publique commencée fin 2011.

La première recommandation relève d’un bon sens pourtant souvent négligé : il convient que les entreprises déterminent formellement les risques pris en choisissant tel ou tel prestataire pour lui confier tel ou tel type de données et de traitements. La CNIL se préoccupe bien sûr surtout des transferts de données personnelles sur des serveurs situés à l’étranger ou dans des entreprises étrangères, relevant par exemple de la loi américaine. Comme l’indique l’avocat Etienne papin, le Patriot Act pose de véritables soucis qu’il ne faut ni négliger ni exagérer.
Cependant, cet export sauvage de données n’est pas le seul risque. La perte de la capacité de gouvernance ou l’isolement insuffisant des données de différents clients d’un même service sont également préoccupants.

Malgré tout, la CNIL se réjouit que la sécurité des services de cloud computing est généralement supérieure à ce qu’une PME est capable d’assurer. Aux cinq recommandations de base, la CNIL joint dans son document des « éléments essentiels devant figurer dans un contrat de prestation de services de cloud computing ».

L’article

Les offres de “Cloud computing” se sont fortement développées ces dernières années. Cependant, le recours par les entreprises à ces services pose des questions nouvelles en termes juridiques et de gestion des risques. Afin de préciser le cadre juridique applicable, la CNIL a lancé fin 2011 une consultation publique sur le Cloud computing. Forte des nombreuses contributions recueillies, elle actualise aujourd’hui son analyse sur le cadre juridique applicable. Elle publie également des recommandations pratiques à destination des entreprises françaises, et notamment des PME, qui souhaitent avoir recours à des prestations de Cloud.

L’expression “informatique en nuage” ou “Cloud computing” désigne le déport vers “le nuage Internet”* de données et d’applications qui auparavant étaient situées sur les serveurs et ordinateurs des sociétés, des organisations ou des particuliers. Le modèle économique associé s’apparente à la location de ressources informatiques avec une facturation en fonction de la consommation.
La gamme d’offres correspondantes a connu un fort développement ces quatre dernières années, notamment au travers du stockage et de l’édition en ligne de documents ou même des réseaux sociaux par exemple.
De nombreuses offres de services de Cloud computing sont désormais disponibles sur le marché, que ce soit pour l’hébergement d’infrastructures (IaaS – Infrastructure as a Service), la fourniture de plateformes de développement (PaaS – Platform as a Service) ou celle de logiciels en ligne (SaaS – Software as a Service). Ces offres sont proposées dans des Clouds publics (service partagé et mutualisé entre de nombreux clients), privés (Cloud dédié à un client) ou hybrides (combinaison des modèles public et privé).

Une nécessaire clarification du cadre juridique

Le Cloud computing représente pour les entreprises une évolution majeure de leurs services informatiques et propose de nombreux avantages, notamment celui de mutualiser les coûts d’hébergement et d’opérations.
Les questions de sécurité, de qualification du prestataire, de loi applicable et de transfert des données sont particulièrement délicates dans le cadre du Cloud computing. Les entreprises souhaitant recourir à ces services ont donc besoin d’une clarification des responsabilités y afférant qui leur est applicable.
La standardisation des offres et le recours par les prestataires de Cloud à des contrats d’adhésion pour formaliser leurs relations contractuelles avec leurs clients laissent peu de marge de négociation à ces derniers. De plus, il apparaît que les prestataires fournissent généralement peu d’informations à leurs clients quant aux mesures techniques et organisationnelles mises en œuvre permettant de garantir la sécurité et la confidentialité des données traitées pour le compte des clients. Cette insuffisance de transparence de la part des prestataires fait défaut aux clients, puisqu’ils ne disposent pas de toutes les informations nécessaires leur permettant de remplir leurs obligations en tant que responsables de traitement.
Sur la base des 49 réponses à sa consultation publique, la CNIL précise aujourd’hui son analyse du cadre juridique du Cloud computing, Elle accompagne les entreprises qui souhaitent avoir recours à des prestations de Cloud et notamment les PME, en leur proposant des recommandations pratiques. Elle met aussi à leur disposition des modèles de clauses contractuelles qui peuvent être insérés dans les contrats de services de Cloud computing.

* Bien avant qu’apparaisse l’expression “Cloud Computing”, les architectes réseau schématisaient Internet par un nuage. En anglais, le terme “the Cloud” était couramment utilisé pour désigner Internet.

Pour approfondir

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud

Synthese des réponses à la consultation publique sur le Cloud et analyse de la CNIL

source