Les enjeux du cloud computing pour la protection des donnees
Le recours aux services cloud (IaaS, PaaS, SaaS) implique necessairement un transfert de donnees personnelles vers un prestataire tiers qui en assure le stockage et parfois le traitement. Le fournisseur cloud agit generalement en qualite de sous-traitant au sens du RGPD, ce qui impose de formaliser la relation contractuelle et de verifier les garanties offertes.
Le choix d’un hebergeur cloud ne peut pas se faire uniquement sur des criteres techniques et financiers. La conformite au RGPD, la localisation des donnees, les certifications de securite et les mecanismes de transfert international doivent figurer parmi les criteres de selection.
Les criteres de selection d’un hebergeur conforme
La localisation des centres de donnees est un critere essentiel. Un hebergement au sein de l’EEE offre les meilleures garanties de conformite. Lorsque l’hebergeur dispose de centres de donnees dans des pays tiers, il convient de verifier les mecanismes de transfert mis en place (decision d’adequation, clauses contractuelles types, regles d’entreprise contraignantes).
Les certifications et codes de conduite apportent des garanties supplementaires. La certification ISO 27001 atteste de la mise en oeuvre d’un systeme de management de la securite de l’information. La certification HDS (Hebergeur de Donnees de Sante) est obligatoire pour l’hebergement de donnees de sante. Le code de conduite CISPE (Cloud Infrastructure Services Providers in Europe) offre des garanties specifiques de conformite au RGPD.
La transparence du prestataire sur ses pratiques est un indicateur important. Le prestataire doit etre en mesure de fournir des informations detaillees sur les mesures de securite mises en oeuvre, les sous-traitants ulterieurs auxquels il fait appel, les lieux de traitement des donnees et les procedures de notification des incidents.
Le contrat cloud et les exigences du RGPD
Le contrat de services cloud doit contenir les clauses prevues a l’article 28 du RGPD pour les contrats de sous-traitance. Il doit preciser l’objet et la duree du traitement, les types de donnees traitees, les obligations et droits du responsable de traitement, et les mesures de securite mises en oeuvre.
Les conditions de reversibilite des donnees meritent une attention particuliere. Le contrat doit garantir la restitution des donnees dans un format exploitable a la fin de la prestation, ainsi que leur suppression effective des systemes de l’hebergeur. Les delais de restitution et les formats de donnees disponibles doivent etre clairement definis.
La souverainete numerique et le cloud de confiance
La question de la souverainete des donnees est devenue un enjeu strategique, en particulier pour les organismes publics et les operateurs d’importance vitale. Les legislations extraterritoriales de certains pays, notamment le Cloud Act americain, peuvent contraindre un hebergeur a fournir les donnees de ses clients aux autorites de son pays d’origine.
Le label « Cloud de confiance » lance par l’ANSSI vise a garantir un niveau de protection eleve contre les legislations extraterritoriales. Ce label impose que les donnees soient hebergees en Europe par une entite de droit europeen, sans lien capitalistique avec une entreprise soumise a une legislation extraterritoriale. Plusieurs offres certifiees sont desormais disponibles sur le marche francais.
