La protection des données, un enjeu au coeur des problématiques des clouds

Selon IDC, 8,6 millions de data centers auront fleuri à l’aube 2017. Centres abritent les données de nombreuses entreprises. Comment les protéger ? La sécurité IT est aujourd’hui un des enjeux majeurs des hébergeurs.

La sécurité des données

Panne, inondation, foudre ou piratage, un data center peut être soumis à de nombreux risques qui adressent in fine la même problématique: la protection des données du client. Il faut donc replacer l’usage client au cœur du sujet et s’intéresser à ses besoins. A ce titre, une cartographie des données est un atout majeur côté client pour analyser leur niveau de sensibilité, déterminer les niveaux de redondance et les engagements de services les plus adaptés. Il n’existe pas de solution unique: à chaque type de données son cloud (public, privé, hybride), à chaque niveau de sensibilité des données (bancaires, industrielles, personnelles, défense nationale), son niveau de sécurité.

La transparence des contrats

Le contrat doit répondre à sa manière à ce besoin de sécurité des données en donnant des engagements contractuels au client et en l’informant régulièrement (obligation d’information y compris pré-contractuelle) des changements qui pourraient impacter la gouvernance ou la compliance. A ce titre, les points suivants doivent être abordés dans les contrats :

  • Les niveaux d’engagement de service du fournisseur,
  • La transparence sur la chaîne des contrats, l’existence éventuelle de sous-traitants avec possibilité de sortie du contrat par le client en cas de refus de ces changements,
  • La localisation des données et l’obligation d’information préalable du client en cas de changement en cours d’exécution, voire la possibilité de résilier le contrat par le client en cas de refus de ce changement,
  • L’intégrité, la confidentialité et la disponibilité des données,
  • La réversibilité et la destruction des données le cas échéant en fin de contrat,
  • Une clause d’audit.

A cela s’ajoutent les nouvelles obligations issues de la réforme du droit des obligations entrée en vigueur le 1er octobre 2016 et du Règlement Européen sur la protection des données qui entrera en vigueur en 2018, notamment :

  • L’obligation d’information pré-contractuelle généralisée et insérée dans le code civil,
  •  L’obligation à partir de 2018 de déclarer toutes les violations de sécurité impactant les données dans les 72 heures (à compter de la connaissance de l’événement), l’obligation d’introduire la notion de «privacy by design» (prise en compte des enjeux liés à la protection des données dès la conception) et du principe d’«accountability» (capacité du responsable de traitement à démontrer le respect effectif du cadre légal en matière de protection des données) dans les services cloud.

Adresser les problématiques de sécurité des données et de transparence dans les contrats, c’est répondre à l’enjeu de la confiance sur le marché du cloud, enjeu primordial à l’échelle du monde digital.