Contrats, Certifications, Réglementations : une composante juridique à la transformation vers le Cloud

La transformation de services dans les entreprises et leur passage dans le Cloud est une des principales tendances de l’IT. 80% des entreprises ont des projets de déploiements de services dans le Cloud sur les 12 prochains mois et 70 à 80% devraient, selon Gartner, adopter les services du Cloud public. La gestion des données et son cadre contractuel, juridique et règlementaire n’est pas un nouveau problème inhérent au Cloud. 

para
Vincent Para
Senior Consultant
Devoteam
chodzko
Adrien Chodz’ko
Consultant
Devoteam

Cependant, ces services apportent une nouvelle composante avec la gestion déléguée des données qui complexifie le sujet, en particulier pour le Cloud public où la gestion des données est confiée pour tout ou partie à un tiers. Au-delà des aspects métiers et budgétaires, ces transformations d’entreprise doivent donc intégrer les sujets contractuels et règlementaires.

Une relation contractuelle à établir

La première étape est de réfléchir à la protection et à la confidentialité des données de l’entreprise, en amont de la migration, pour éviter des accès et modifications non autorisés. La CNIL a édité sept recommandations pour une entreprise :

  1. Identifier clairement les données et les traitements qui passeront dans le Cloud ;
  2. Définir ses exigences de sécurité technique et juridique ;
  3. Conduire une analyse de risques pour identifier les mesures de sécurité essentielles ;
  4. Identifier le type de Cloud pertinent pour le traitement envisagé ;
  5. Choisir un prestataire présentant des garanties suffisantes ;
  6. Revoir la politique de sécurité interne ;
  7. Surveiller les évolutions dans le temps.

Le respect de la confidentialité des données et les moyens déployés pour en assurer l’intégrité sont deux points majeurs dans la contractualisation avec un fournisseur Cloud. Les clauses générales et particulières doivent également être explicitement définies dans les contrats d’hébergement d’informations. Les responsabilités de chacun (entreprise, prestataires et sous-traitants) et les engagements de services associés doivent être définis, même avec des partenaires de confiance. Les types de clauses suivantes, publiées par la CNIL, peuvent aider dans la définition d’un contrat de services Cloud.

Télécharger la tribune

Haut