Le Cloud à la lumière de la CNIL : des recommandations pédagogiques mais à compléter

Le 25 juin 2012, la CNIL a publié ses recommandations relatives au Cloud Computing. Elles sont particulièrement pédagogiques et opérationnelles mais visent surtout les PME.Et se limitent aux données et apparaissent coupées de l'optimisation du système d'information.

Le 25 juin 2012, la CNIL a publié ses recommandations relatives au Cloud Computing. Si elles sont particulièrement pédagogiques (I), elles restent largement à compléter (II).

I. Des recommandations pédagogiques

Intitulé « Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing », ce document est issu d’une consultation lancée par la CNIL à l’automne 2011.
Au total, sept recommandations sont faites :

1. Identifier clairement les données et les traitements qui passeront dans le Cloud,

2. Définir ses propres exigences de sécurité technique et juridique,

3. Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles,

4. Identifier le type de Cloud pertinent (public, privé ou hybride ; SaaS, PaaS ou IaaS),

5. Choisir un prestataire présentant des garanties suffisantes,

6. Revoir la politique de sécurité interne,

7. Surveiller les évolutions dans le temps.

C’est surtout la cinquième recommandation qui est développée par la CNIL. Elle rappelle que le prestataire pourrait être considéré comme conjointement responsable du traitement dès lors qu’il participerait à la détermination des finalités et des moyens de traitement des données à caractère sensible (cf. Directive 95/46/CE art.2).
A ce titre, une obligation de confidentialité et sécurité incombe au prestataire et, de surcroît, il doit notamment apporter son concours au client afin de garantir les droits des personnes concernées : accès, rectification, effacement …
La nécessité d’être vigilant en matière de clauses contractuelles est largement soulignée. Plusieurs modèles de clauses  sont judicieusement proposés par la CNIL en annexe. Elles s’appuient notamment sur les BCR (Binding Corporate Rules) ou les clauses contractuelles types pour l’encadrement des transferts de données.

II.Des recommandations à compléter

Le préambule du document précise que ces recommandations sont tournées notamment vers les PME. L’intention est louable. Il s’agit pour la CNIL d’être opérationnel et d’apporter un « kit » prêt à l’emploi. Mais c’est en cela que le bât blesse car la démarche Cloud ne se cantonne pas au domaine des données.

Au contraire, elle trouve sa source dans un besoin plus global.: l’optimisation des services du système d’information et leur alignement avec les besoins-métiers de l’entreprise.
Corrélativement, les clauses d’un contrat Cloud ne devraient pas se focaliser sur les données, comme un lecteur pressé desdites recommandations pourrait le penser.
En effet, réversibilité, traçabilité, confidentialité, responsabilité, convention de services et pénalités (SLA), audit et PAQ (Plan d’Assurance Qualité), notamment, ne sauraient se limiter au prisme des données.
Bien au contraire, il paraît nécessaire de se référer et d’intégrer lesdites recommandations au sein d’un référentiel plus large, tel que celui proposé par ITIL notamment en matière de gestion de la capacité, de la disponibilité, de la continuité et de la sécurité.
Quant aux SLA, s’il est certainement utile de les revisiter profondément, la CNIL n’apporte guère d’outils et encore moins d’exemples.
De surcroît, en dépit d’une simplicité apparente, diverses questions viennent complexifier le tableau : lois civile et pénale applicables, juridiction(s) compétente(s), durée et conditions financières de sortie, adéquation des unités d’œuvre …
En définitive, au delà des séductions du nuage à la mode et du prêt à porter contractuel, il nous reste encore quelques efforts à faire.

 

Autour du même sujet