Cloud computing : la CNIL pose les bases de la conformité technico-juridique

La recommandation de la CNIL du 25 juin 2012 repose sur sept axes très opérationnels. Elle fixe les points de vigilance à valider par les responsables de traitement et les prestataires pour protéger les données personnelles dans l’environnement du cloud computing.

Véritable check list, applicable au cloud privé et au cloud public, la recommandation de la CNIL vise à anticiper le risque de perte de gouvernance sur les  traitements et les données. La CNIL souhaite amener les différents acteurs  à bâtir des analyses de risques et des politiques de sécurités adaptées aux enjeux.
La CNIL a publié le 25 juin 2012 une importante recommandation dans le domaine du cloud computing. Elle fait suite à une large consultation publique.
Il s’agit d’un outil de travail pour les responsables de projet ainsi que pour la négociation des contrats dans ce domaine. Les utilisateurs, responsables de traitements au sens de la loi Informatique et libertés, et les  fournisseurs de solutions de cloud computing  ne doivent pas l’ignorer.

La recommandation couvre l’ensemble des approches techniques qui constituent aujourd’hui l’offre de marché  en matière de cloud computing. Elle englobe tout à la fois l’Iaas (infrastructure as a service), le Paas (Plateform as a service) et le Saas (Software as a service). Elle inclut la mise en œuvre de services partagés mutualisés entre plusieurs utilisateurs (cloud public), mais également des services dédiés à un seul utilisateur (cloud privé).
La CNIL souligne un changement de paradigme dans l’industrie des prestations de services informatiques qui va bien au-delà de la simple externalisation informatique. Elle y voit de nouveaux enjeux pour le respect de la législation sur la protection des données personnelles dans un contexte de fourniture de service le plus souvent international. L’utilisateur client est confronté à des offres standardisées matérialisées sur le plan juridique par des contrats d’adhésion laissant peu de marge de négociation. Cette nouveauté rend complexe l’identification tout à la fois des responsabilités et des niveaux de service réellement garantis.
Les sept recommandations de la CNIL permettent de disposer d’une check list pour y voir plus clair.

* La première recommandation porte sur la nécessité de réaliser une cartographie des données utilisées dans le cadre du cloud. Le responsable de traitement  doit établir une traçabilité des données afin d’être en mesure de déterminer celles qui font l’objet de traitement en environnement de cloud computing. La CNIL s’avère très attentive au traitement des données sensibles (ex: santé, banque etc.) pour lesquelles le responsable de traitement doit redoubler de prudence.
* La seconde recommandation fait peser sur l’utilisateur l’obligation de valider le niveau d’exigence adopté en matière de sécurité, sur le plan technique et juridique au regard de sa propre situation opérationnelle. La CNIL souligne sur ce point que contrairement à l’externalisation classique, la plupart des services de cloud computing n’entrent pas dans un cahier des charges défini par le client. Malgré cette contrainte externe qui s’impose aux clients, la CNIL précise qu’il entre dans l’obligation du client de s’assurer que des garanties sont apportées s’agissant des axes clé de conformité juridique d’un système d’information.
* La troisième recommandation traduit l’évolution de l’approche de la CNIL en matière de conformité de la sécurité informatique et libertés. Rappelant que 35 risques sont identifiés par l’ENISA dans le domaine des SI, la CNIL souligne tout particulièrement le risque de perte de gouvernance sur le traitement, de dépendance technologique, de failles multiples, de sécurisations de la destruction des données, du contrôle des chaînes de sous-traitants, ou encore le risque de changement de la situation économique du prestataire. Enfin, la CNIL rappelle l’existence de risques réels face à des réquisitions judiciaires notamment par des autorités étrangères qui échapperaient au contrôle de l’utilisateur. Les risques pouvant résulter du recours à des prestataires situés hors de l’Union européenne sont particulièrement soulignés.
* La quatrième recommandation fait peser sur le client  l’obligation de valider les modèles de services (Saas, Paas, Iaas) et de déploiement (cloud public, privé, ou hybride) en réalisant la comparaison des forces et faiblesses de chaque approche par rapport à l’informatique traditionnelle notamment.
* La cinquième recommandation conduira  le client à effectuer des choix s’agissant du réel niveau de garantie proposée par le prestataire. La CNIL propose une grille d’analyse reposant d’une part sur la détermination de la qualification juridique du prestataire et d’autre part sur l’évaluation du niveau de protection assurée par ce dernier par rapport aux données traitées.
La CNIL se réserve dans ce domaine la possibilité de requalifier les statuts juridiques des intervenants afin de déterminer si ces derniers ont réellement la qualité annoncée dans les contrats signés. La loi Informatique et libertés distingue en effet le responsable du traitement du sous-traitant, mais les frontières entre ces deux notions sont de plus en plus floues. Or, l’enjeu pour la CNIL est de veiller au partage effectif des responsabilités afin de sécuriser les schémas juridiques.
Cette démarche est étayée par la fourniture d’une matrice des éléments essentiels permettant de déterminer l’existence d’un niveau de protection suffisant. Cette dernière repose sur  l’évaluation de l’ensemble des informations disponibles relatives au traitement effectué dans la réalité, sur la prise en compte de la liste des garanties mises en œuvre par le prestataire. Dans la mondialisation, l’élément de localisation des traitements et des données constitue là encore un point clé pour la CNIL. La CNIL s’avère très attentive aux formalités obligatoires réalisées par le client qui doivent mentionner le recours à des dispositifs de cloud computing. Enfin la CNIL met en avant la nécessité de disposer d’une politique de sécurité et de confidentialité adaptée aux enjeux.
* La sixième recommandation découle des recommandations précédentes puisqu’elle invite le client à tirer les enseignements des analyses de risques. Les procédures internes d’organisation des SI doivent en tenir compte.
* La septième recommandation est complémentaire de la précédente. Elle invite les clients à rendre pérennes les règles de vigilance et les bonnes pratiques en cas de recours à des services de cloud computing. Cette dernière exigence nécessitera pour le client de mettre en place un véritable tableau de bord comportant les indicateurs clés de la maîtrise des risques juridiques et opérationnels. D’un point de vue opérationnel, cela contraint également le client à adapter les mesures à l’évolution des risques.
En conclusion de ces recommandations, la CNIL fournit des modèles indicatifs de clauses contractuelles qui en cas de contrôle constitueront clairement le baromètre du niveau de prudence mise en œuvre par le client ou des risques assumés.
Ces clauses se caractérisent par des obligations pragmatiques à mettre en œuvre dans une logique d’anticipation et de maîtrise des risques. Elles ont vocation à s’appliquer tant au niveau du responsable des traitements qu’à celui du prestataire.
Les logiques d’audit de certification sont clairement mises en avant par la CNIL.