Actualité : article de veille

Conseils préalables au recours à des offres de cloud computing

Le 02/07/2012 par La Rédaction de Net-iris, dans Technologies / Droit de l'internet.

Vos réactions...

   

Recommandations au plan contractuel de la CNIL à destination des entreprises françaises souhaitant bénéficier de prestations informatiques en nuage.

Introduction

L'informatique en nuage (cloud computing) représente un changement de paradigme par rapport à la situation actuelle caractérisée par des systèmes informatiques décentralisés. Ce terme désigne le transfert vers le nuage Internet, de données et d'applications qui auparavant étaient situées sur les serveurs et ordinateurs des sociétés, des organisations ou des particuliers.

Bien qu'elle en soit encore à ses débuts, l'informatique en nuage est déjà une réalité commerciale et le taux d'adoption des services informatiques en nuage est en croissance. Le modèle économique associé s'apparente à la location de ressources informatiques avec une facturation en fonction de la consommation.

On peut trouver des offres de services de cloud computing pour l'hébergement d'infrastructures (IaaS - Infrastructure as a Service), la fourniture de plateformes de développement (PaaS - Platform as a Service) ou celle de logiciels en ligne (SaaS - Software as a Service). Ces offres sont proposées dans des Clouds publics (service partagé et mutualisé entre de nombreux clients), privés (Cloud dédié à un client) ou hybrides (combinaison des modèles public et privé).

Pour la Commission nationale informatique et libertés, "le cloud génère de nouveaux risques, tant du côté du prestataire que du côté du client, notamment au niveau de la pérennité des données", aussi est-il préférable de bien mesurer ces risques en cas de recours à de telles offres, et de prévoir certaines clauses dans les contrats. Une liste de recommandations de la CNIL a ainsi été rédigée suite à une consultation publique. Ce document présente les éléments essentiels qui selon elle doivent figurer dans un contrat de prestation de services de cloud computing, ainsi que des modèles type de clauses.

Recommandations de la CNIL

Pour la Commission, l'entreprise qui envisage d'avoir recours à une ou plusieurs offres de cloud computing doit :

  • identifier clairement les données et les traitements qui passeront dans le Cloud ;
  • définir ses propres exigences de sécurité technique et juridique ;
  • conduire une analyse de risques afin d'identifier les mesures de sécurité essentielles pour l'entreprise ;
  • identifier le type de Cloud pertinent pour le traitement envisagé ;
  • choisir un prestataire présentant des garanties suffisantes ;
  • revoir la politique de sécurité interne ;
  • surveiller les évolutions dans le temps.

Eléments essentiels devant figurer dans un contrat de prestation de services de cloud computing

Informations relatives aux traitements

  • respect des principes européens en matière de protection des données personnelles et de la loi Informatique et Libertés (notamment des principes de proportionnalité et de respect des finalités) ;
  • existence d'un système de remontée des plaintes et des failles de sécurité ;
  • moyens de traitement ;
  • destinataires des données ;
  • sous-traitance :
    - information et obtention du consentement du client en cas d'utilisation de tiers ou de sous-contractants situés ou non à l'étranger pour participer à la réalisation du traitement (si le prestataire est responsable conjoint du traitement, il devra seulement informer le client et non pas obtenir son consentement) ;
    - report dans les contrats de sous-traitance ultérieurs contractés par le prestataire des obligations contractuelles prévues dans le contrat de prestation signé entre le client et le prestataire et organisation de la responsabilité contractuelle des sous-contractants vis-à-vis du prestataire et du client.
  • existence de procédures simples permettant de respecter les droits des personnes concernées vis-à-vis de leurs données (droits d'accès, modification ou suppression, etc.).

Garanties mises en oeuvre par le prestataire

  • durée de conservation des données limitée et raisonnable au regard des finalités pour lesquelles les données ont été collectées ;
  • destruction et/ou restitution des données en fin de prestation ou en cas de rupture anticipée du contrat dans un format structuré et couramment utilisé ;
  • devoir de coopération avec les autorités de protection des données compétentes ;
  • lorsque le prestataire est sous-traitant, indication que le client peut procéder à des audits du prestataire afin de s'assurer que ces garanties sont effectivement mises en oeuvre.

Localisation et transferts

  • indication claire et exhaustive des pays hébergeant les centres de données du prestataire où les données seront traitées ;
  • assurance d'une protection adéquate à l'étranger (notamment grâce à des Clauses contractuelles types ou à des règles contraignantes d'entreprise "BCR") ;
  • possibilité de limiter les transferts de données uniquement vers des pays membres de l'Espace Economique Européen ou vers des pays tiers reconnus comme assurant un niveau de protection adéquat par décision de la Commission européenne (au contraire des autres éléments, celui-ci est laissé à la négociation des parties. En tout état de cause, un prestataire qui laisse la possibilité à ses clients de limiter les transferts de données vers des pays membres de l'EEE ou vers des pays tiers assurant un niveau de protection adéquat reconnu par la Commission européenne offrira à ses clients des garanties de protection des données renforcées. Toutefois, les clients doivent être conscients que lorsqu'ils choisissent des prestataires localisés dans des pays tiers, les autorités administratives ou judiciaires locales peuvent adresser des requêtes aux prestataires pour accéder aux données) ;
  • information immédiate du client en cas de requête provenant d'une autorité administrative ou judiciaire étrangère.

Formalités auprès de la CNIL

  • lorsque le prestataire est sous-traitant, obligation de fournir au client toute information utile permettant de procéder à la déclaration du traitement auprès de la CNIL ;
  • lorsque le prestataire est responsable conjoint du traitement, le client et le prestataire doivent déterminer quelle partie sera en charge des formalités pour son compte et pour celui de l'autre partie. Quelle que soit la solution choisie, la partie qui ne déclare pas devra fournir à celle qui effectuera les formalités déclaratives toute information utile permettant de procéder à la déclaration du traitement auprès de la CNIL.

Sécurité et confidentialité

  • indication des obligations incombant au prestataire en matière de sécurité des données et, lorsque celui-ci est sous-traitant, précision qu'il ne peut agir que sur instruction du client ;
  • politique de sécurité et mesures minimales de sécurité :
    (le prestataire sous-traitant devra tenir à la disposition du client le détail des mesures mises en place, tandis que le prestataire responsable conjoint du traitement devra seulement garantir que des mesures suffisantes ont été mises en oeuvre.)
    - existence d'une politique de sécurité accessible ;
    - mesures de sécurité et sûreté physique sur le site d'hébergement (protection du site et sécurité des accès, sécurité électrique et système de climatisation, etc.) ;
    - mesures nécessaires pour assurer la disponibilité, l'intégrité et la confidentialité des données : par exemple, chiffrement des données et procédés garantissant ainsi que le prestataire n'a pas accès aux données qui lui sont confiées (chiffrement côté client, avec un algorithme reconnu et une gestion des clés adéquate, avant tout transfert) et liaison chiffrée avec le serveur de Cloud (connexion de type https ou VPN par exemple), etc. ;
    - autres mesures de sécurité logique (protection du réseau (pare-feu,antivirus, détection d'intrusion, etc.), gestion des mises à jour, protection du terminal, gestion des habilitations, authentification des personnels, sécurité des développements applicatifs, etc.) ;
  • certifications : preuve de certifications pertinentes par des auditeurs indépendants et qualifiés, par exemple une certification ISO 27001 sur un périmètre incluant intégralement les services fournis, définition rigoureuse d'une politique d'audit du prestataire par le client comprise dans les garanties générales (au contraire des autres éléments, la certification est laissé à la négociation des parties. En tout état de cause, un prestataire qui dispose d'une certification offrira à ses clients des garanties de protection des données renforcées) ;
  • réversibilité/portabilité : garantir la réversibilité ou la portabilité aisée des données dans un format structuré et couramment utilisé, sur demande du client et à tout moment ;
  • traçabilité : accès aux journaux de traçabilité des actions effectuées sur les données par les personnels du client et par ceux du prestataire et information de toute anomalie détectée par le prestataire ;
  • continuité de service, sauvegardes et intégrité : système de sauvegarde, redondance des serveurs, etc. ;
  • engagement de niveaux de services ("Service Level Agreements" ou "SLA") : engagements contraignants pour le prestataire sur le niveau de service, devant notamment prévoir des pénalités pour le prestataire en cas de non-respect des engagements contractuels. Ceci doit être mis en place en particulier pour les clauses relatives à la protection des données (durée de conservation, exercice des droits des personnes concernées, disponibilité du traitement, etc.).

© 2012 Net-iris

   

Pour approfondir ce sujet :

Commentaires et réactions :