Jose Medio Cachafeiro
Juriste International
Conseiller auprès de Nanocloud sur la réglementation cloud
L’entrée en vigueur du nouveau Règlement Général de Protection des Données (RGPD) , prévue en 2017 par la Commission Européenne, amènera à une revue des contrats cloud. Traitant notamment de la confidentialité des données dans le cloud, cette directive engage les DSI qui se doivent de vérifier la localisation de celles-ci et la réglementation applicable au cas par cas avec tous leurs fournisseurs.
Services cloud, sécurité et confidentialité
L’adoption omniprésente de technologies cloud pour le stockage et pour le traitement de données présente un ensemble complexe de nouveaux défis. La suppression, au sein de l’entreprise, du contrôle direct sur la donnée et son environnement, au bénéfice de parties tierces, nécessite de vérifier que toutes les obligations réglementaires et les pratiques de sécurité appliquées dans l’organisation sont appliquées à l’identique par ses fournisseurs. Des garanties supplémentaires et des contrôles sont requis pour assurer la protection du patrimoine de données qui est remis entre les mains de ces parties tierces.
Les experts en sécurité et confidentialité des données sont donc sollicités sur l’évaluation des risques spécifiques à ce type de services. Cela va de la liste des parties impliquées, leurs rôles et responsabilités, au lieu où sont sauvegardées les données et le système légal qui leur est applicable. Différents systèmes juridiques peuvent entrer en jeu, du fait notamment que la localisation des datacentres diffère des lieux où les ensembles de données circulent. Lorsqu’on utilise des solutions cloud, il est extrêmement important de contrôler avec soin où ses données résident et quelles sont les règles qui s’appliquent à elles. La responsabilité du fournisseur de stockage, ainsi que les engagements contractuels entre le contrôleur de l’entreprise cliente et le fournisseur de traitement dans le cloud, deviennent un aspect clé de la relation commerciale à établir.
Le cloud et la nouvelle réglementation générale sur la protection des données
En raison des implications figurant dans le nouveau Règlement Général de la Protection des Données (RGPD), la plupart des organisations globales utilisant des services cloud devront suivre d’une façon ou d’une autre les recommandations de cette loi. La conséquence la plus directe de son application est que autant les clients que les fournisseurs auront des responsabilités accrues dans l’accomplissement de leurs obligations, quoi que, d’après l’art. 22, les entreprises clientes resteront les seules finalement responsables et devront vérifier que les activités de traitement numérique sont effectuées en accord avec la réglementation.
Il est alors de la plus haute importance de mettre en œuvre les vérifications nécessaires avant de signer un contrat ou, si ce contrat est déjà dans une relecture avancée de ses termes, de vérifier que les règles appropriées ont bien été suivies. L’exposé préalable 63a insiste sur le besoin de sélectionner un fournisseur qui présente suffisamment de garanties, notamment en terme d’expertise, de fiabilité et de ressources. Cela devra se traduire par l’application de mesures techniques et organisationnelles afin d’améliorer la sécurité des traitements numériques.
Le Législateur est conscient de l’impact que les nouvelles règles peuvent avoir sur la relation entre les clients et les fournisseurs de traitements cloud. Celui-ci encourage les associations ou les groupes les représentant à communiquer les bonnes lignes de conduite, afin de faciliter l’application de la réglementation et ajuster les devoirs et les obligations respectifs à des opérations précises de traitement numérique.
Le nouveau RGPD mentionne pour la première fois la notion de « privacy by design ». La conséquence pour un service cloud est que les nouveaux procédés, procédures et produits doivent être pensés et conçus dès l’origine en vue d’assurer la protection des données.
Un autre développement important du RGPD impacte directement le service cloud : les failles de sécurité. Une faille de sécurité doit être signalée à l’autorité de supervision compétente dans les 72 heures après sa découverte, et si cela cela ne peut être finalisé dans ce délai, une explication des raisons du retard devra être fournie dès lors que la notification est diffusable. En conséquence, dès qu’un fournisseur est averti de ce type de faille, il doit immédiatement en alerter son client afin de garantir ce délai. Un procédé de gestion d’incident et de faille, qui remonte l’alerte et notifie toutes les parties prenantes et les régulateurs, devrait ainsi figurer en tant que clause dans un contrat cloud.
En résumé, le cloud computing présente des défis de taille pour les entités exposées à différents systèmes de réglementation de la confidentialité. Bien qu’il présente les mêmes problématiques que d’autres modèles de fourniture de services, il les amplifie néanmoins. D’une certaine façon, il déforme les régimes traditionnels concernant la confidentialité et amène à en élever le niveau pour forcer les parties prenantes à développer un ensemble de règles contractuelles et des standards qui complètent et renforcent le cadre réglementaire.