Example: stock market

Recommandations pour les entreprises qui …

Recommandations pour les entreprises qui envisagent de souscrire des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soul ve un certain nombre de difficult s au regard du respect de la l gislation relative la protection des donn es personnelles, en particulier dans le cas du Cloud public. Ces difficult s sont amplifi es dans le cas des offres standardis es avec des contrats d adh sion ne laissant pas aux clients la possibilit de les n gocier. De mani re g n rale, il est constat que les clients souffrent d une insuffisance de transparence de la part des prestataires de Cloud quant aux conditions de r alisation des prestations, notamment sur la s curit et sur la question de savoir si leurs donn es sont transf r es l tranger, et plus pr cis ment destination de quels pays. Par cons quent, il est indispensable qu une entreprise fran aise qui envisage de recourir un service de Cloud computing r alise une analyse de risques et soit tr s rigoureuse dans le choix de son prestataire.

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing D’un point de vue juridique, la CNIL constate que le Cloud computing soulève un certain

Tags:

  Services

Information

Domain:

Source:

Link to this page:

Please notify us if you found a problem with this document:

Other abuse

Transcription of Recommandations pour les entreprises qui …

1 Recommandations pour les entreprises qui envisagent de souscrire des services de Cloud computing D un point de vue juridique, la CNIL constate que le Cloud computing soul ve un certain nombre de difficult s au regard du respect de la l gislation relative la protection des donn es personnelles, en particulier dans le cas du Cloud public. Ces difficult s sont amplifi es dans le cas des offres standardis es avec des contrats d adh sion ne laissant pas aux clients la possibilit de les n gocier. De mani re g n rale, il est constat que les clients souffrent d une insuffisance de transparence de la part des prestataires de Cloud quant aux conditions de r alisation des prestations, notamment sur la s curit et sur la question de savoir si leurs donn es sont transf r es l tranger, et plus pr cis ment destination de quels pays. Par cons quent, il est indispensable qu une entreprise fran aise qui envisage de recourir un service de Cloud computing r alise une analyse de risques et soit tr s rigoureuse dans le choix de son prestataire.

2 En particulier, l entreprise devra prendre en consid ration les garanties offertes par un prestataire en mati re de protection des donn es personnelles et s assurer que ce dernier lui fournira toutes les garanties n cessaires au respect de ses obligations au regard de la loi Informatique et Libert s, notamment en termes d information des personnes concern es, d encadrement des transferts et de s curit des donn es. Il est noter qu en cas d impossibilit de n gocier un contrat, une comparaison des conditions contractuelles propos es par les diff rents prestataires est indispensable. Ceci permet d effectuer un choix prenant en compte les consid rations tant conomiques que juridiques et techniques. Concernant la s curit , la CNIL constate que les offres de Cloud reconnues peuvent pr senter des niveaux de s curit sup rieurs ceux que peuvent garantir les PME. Cependant, le Cloud g n re de nouveaux risques, tant du c t du prestataire que du c t du client, notamment au niveau de la p rennit des donn es.

3 Il est donc n cessaire de s assurer que ces nouveaux risques sont maitris s avant de choisir une solution de Cloud. La CNIL a tabli les Recommandations suivantes afin d aider les entreprises fran aises, notamment les PME, effectuer une prise de d cision clair e lorsqu elles envisagent d avoir recours des prestations de services de Cloud computing. Ces Recommandations indicatives sont principalement bas es sur une analyse de risques r alis e au pr alable par les clients et des engagements de transparence des prestataires vis- -vis de leurs clients qui doivent tre formalis s dans les contrats de prestation de services . -2- 8 rue Vivienne - CS 30223 - 75083 Paris Cedex 02 - T l. : 01 53 73 22 22 - Fax : 01 53 73 22 00 R PUBLIQUE FRAN AISE Recommandation n 1 : Identifier clairement les donn es et les traitements qui passeront dans le Cloud Avant d envisager le recours au Cloud computing, le client responsable de traitement doit clairement identifier les donn es, traitements ou services qui pourraient tre h berg s dans le Cloud.

4 Pour chaque traitement, il doit tablir quels types de donn es pourraient tre concern s en distinguant : les donn es caract re personnel, les donn es sensibles1, les donn es strat giques pour l entreprise, les donn es utilis es dans les applications m tiers. Dans le cas o une partie seulement des donn es et traitements est transf r e dans le Cloud, comme par exemple le logiciel de messagerie, le client doit veiller s assurer que les traitements pass s dans le Cloud ne risquent pas d inclure des donn es d autres traitements qui n ont pas migr . Un tel exemple est l utilisation d une messagerie Cloud dans laquelle les collaborateurs changent des contenus strat giques pour l entreprise. Par ailleurs, certains types de donn es sont soumis une r glementation sp cifique, il est donc n cessaire de v rifier si les donn es qui pourraient tre transf r es dans le Cloud sont soumises de telles obligations et, lorsque cela est le cas, d identifier les conditions minimales leur transfert.

5 Par exemple, les donn es de sant ne peuvent tre stock es que par un h bergeur de donn es de sant agr par le Minist re de la sant . Recommandation n 2 : D finir ses propres exigences de s curit technique et juridique Le passage au Cloud demande une approche rigoureuse en termes de s curit technique et juridique. Contrairement aux offres classiques d externalisation, dans lesquelles les prestataires fournissent une r ponse personnalis e un cahier des charges d fini par le client, de nombreuses offres de Cloud sont standard pour tous les clients et ne r pondent pas un cahier des charges particulier. Pour autant, le client doit d finir ses propres exigences et valuer si les offres envisag es r pondent l ensemble des exigences formul es. En effet, si le but du Cloud est de d charger le client de certaines t ches op rationnelles, il doit s assurer a priori que le prestataire suit un niveau d exigence au moins gal au sien.

6 1 Donn es sensibles au sens de l article 8 de la Loi Informatique et Libert s ou donn es relevant de l article 9. -3- 8 rue Vivienne - CS 30223 - 75083 Paris Cedex 02 - T l. : 01 53 73 22 22 - Fax : 01 53 73 22 00 R PUBLIQUE FRAN AISE Les exigences doivent comprendre l ensemble des points importants pour le client et consid rer notamment : les contraintes l gales (localisation des donn es, garantie de s curit et de confidentialit , r glementations sp cifiques certains types de donn es, etc.) ; les contraintes pratiques (disponibilit , r versibilit /portabilit 2, etc.) ; et les contraintes techniques (interop rabilit avec le syst me existant, etc.). Pour les donn es et les traitements m tier , le client doit particuli rement veiller garantir la r versibilit et s assurer qu un niveau de disponibilit suffisant est garanti par le prestataire et par son fournisseur d acc s Internet.

7 Recommandation n 3 : Conduire une analyse de risques afin d identifier les mesures de s curit essentielles pour l entreprise Conduire une analyse de risques compl te est essentiel pour tre en mesure de d finir les mesures de s curit appropri e exiger du prestataire ou mettre en uvre au sein de l entreprise. La m thode EBIOS3 constitue une m thode pertinente pour l analyse de risques condition que les donn es caract re personnel soient consid r es dans les biens prot ger et que les impacts sur la vie priv e des personnes concern es soient pris en compte. Pour les organismes qui n ont pas les moyens de mener une analyse compl te, la Commission souhaite mettre en avant les risques suivants, qui sont plus importants dans le cas du Cloud que dans le cas de traitements informatiques traditionnels, et qui sont particuli rement pertinents pour la protection des donn es personnelles.

8 Une liste plus compl te de 35 risques fournie par l ENISA4 peut aussi tre utilis e. Les principaux risques identifi s par notre Commission sont les suivants : o perte de gouvernance sur le traitement ; o d pendance technologique vis- -vis du fournisseur de Cloud Computing, c est- -dire l impossibilit de changer de solution (pour un autre fournisseur ou une solution interne) sans perte de donn es ; o faille dans l isolation des donn es, c est- -dire le risque que les donn es h berg es sur un syst me virtualis soient modifi es ou rendues accessibles des tiers non autoris s, suite une d faillance du prestataire ou une mauvaise gestion du r le d hyperviseur ; 2 La r versibilit (ou portabilit ) est la possibilit de pouvoir obtenir une copie de l int gralit de ses donn es dans un format structur et couramment utilis . Ceci permet au responsable de traitement de s assurer qu il puisse changer de solution si besoin sans perte d information (donn es, structure, etc.)

9 3 La m thode EBIOS (Expression des Besoins et Identification des Objectifs de S curit ) permet d appr cier et de traiter les risques relatifs la s curit des syst mes d information (SSI). Elle permet aussi de communiquer leur sujet au sein de l organisme et vis- -vis de ses partenaires afin de contribuer au processus de gestion des risques SSI. 4 Agence Europ enne charg e de la s curit des r seaux et de l'information, rapport disponible en anglais et en espagnol l adresse suivante : -4- 8 rue Vivienne - CS 30223 - 75083 Paris Cedex 02 - T l. : 01 53 73 22 22 - Fax : 01 53 73 22 00 R PUBLIQUE FRAN AISE o r quisitions judiciaires, notamment par des autorit s trang res ; o faille dans la cha ne de sous-traitance, dans le cas o le prestataire a lui-m me fait appel des tiers pour fournir le service ; o destruction ineffective ou non s curis e des donn es, ou dur e de conservation trop longue ; o probl me de gestion des droits d acc s par les personnes caus par une insuffisance de moyens fournis par le prestataire ; o indisponibilit du service du prestataire, ce qui comprend l indisponibilit du service en lui-m me mais aussi l indisponibilit des moyens d acc s au service (notamment les probl mes r seaux) ; o fermeture du service du prestataire ou acquisition du prestataire par un tiers ; o non-conformit r glementaire, notamment sur les transferts internationaux.

10 Dans le cas o une partie seulement des donn es et traitements sont transf r s dans le Cloud, comme par exemple le logiciel de messagerie, le client doit galement consid rer l impact de la migration partielle sur les traitements et donn es non transf r s, par exemple si les donn es sensibles ou strat giques sont explicitement exclues du transfert dans le Cloud, les traitements n cessitant l envoi de telles donn es par courriel devront tre adapt s. La plupart des ces risques ont vocation tre r duits par des dispositions contractuelles, pouvant inclure des p nalit s pour le prestataire, et par des mesures techniques et organisationnelles au niveau du client et du prestataire. La Commission recommande que le client value la pertinence de ces risques pour sa propre situation et tudie les mesures mises en place par lui-m me et par le prestataire pour r duire ces risques.


Related search queries