Cloud computing : la CNIL pose les bases de la conformité technico-juridique
La recommandation de la CNIL du 25 juin 2012 repose sur sept axes très opérationnels. Elle fixe les points de vigilance à valider par les responsables de traitement et les prestataires pour protéger les données personnelles dans l’environnement du cloud computing.
Véritable check list, applicable au cloud privé et au cloud public, la recommandation de la CNIL vise à anticiper le risque de perte de gouvernance sur les traitements et les données. La CNIL souhaite amener les différents acteurs à bâtir des analyses de risques et des politiques de sécurités adaptées aux enjeux.
La CNIL a publié le 25 juin 2012 une importante recommandation dans le domaine du
cloud computing. Elle fait suite à une large consultation publique.
Il s’agit d’un
outil de travail pour les responsables de projet ainsi que pour la négociation
des contrats dans ce domaine. Les utilisateurs, responsables de traitements au
sens de la loi Informatique et libertés, et les
fournisseurs de solutions de cloud computing ne doivent pas l’ignorer.
La recommandation couvre l’ensemble des approches techniques
qui constituent aujourd’hui l’offre de marché
en matière de cloud computing. Elle englobe tout à la fois l’Iaas
(infrastructure as a service), le Paas (Plateform as a service) et le Saas
(Software as a service). Elle inclut la mise en œuvre de services partagés
mutualisés entre plusieurs utilisateurs (cloud public), mais également des
services dédiés à un seul utilisateur (cloud privé).
La CNIL souligne un changement de paradigme dans l’industrie
des prestations de services informatiques qui va bien au-delà de la simple
externalisation informatique. Elle y voit de nouveaux enjeux pour le respect de
la législation sur la protection des données personnelles dans un contexte de
fourniture de service le plus souvent international. L’utilisateur client est
confronté à des offres standardisées matérialisées sur le plan juridique par
des contrats d’adhésion laissant peu de marge de négociation. Cette nouveauté
rend complexe l’identification tout à la fois des responsabilités et des
niveaux de service réellement garantis.
Les sept recommandations de la CNIL
permettent de disposer d’une check list pour y voir plus clair.
* La première
recommandation
porte sur la nécessité de réaliser une cartographie des données utilisées dans
le cadre du cloud. Le responsable de traitement
doit établir une traçabilité des données afin d’être en mesure de
déterminer celles qui font l’objet de traitement en environnement de cloud
computing. La CNIL s’avère très attentive au traitement des données sensibles
(ex: santé, banque etc.) pour lesquelles le responsable de traitement doit
redoubler de prudence.
* La seconde
recommandation fait
peser sur l’utilisateur l’obligation de valider le niveau d’exigence adopté en
matière de sécurité, sur le plan technique et juridique au regard de sa propre
situation opérationnelle. La CNIL souligne sur ce point que contrairement à
l’externalisation classique, la plupart des services de cloud computing
n’entrent pas dans un cahier des charges défini par le client. Malgré cette
contrainte externe qui s’impose aux clients, la CNIL précise qu’il entre dans
l’obligation du client de s’assurer que des garanties sont apportées s’agissant
des axes clé de conformité juridique d’un système d’information.
* La troisième
recommandation
traduit l’évolution de l’approche de la CNIL en matière de conformité de la
sécurité informatique et libertés. Rappelant que 35 risques sont identifiés par l’ENISA dans le domaine des
SI, la CNIL souligne tout particulièrement le risque de perte de gouvernance
sur le traitement, de dépendance technologique, de failles multiples, de
sécurisations de la destruction des données, du contrôle des chaînes de
sous-traitants, ou encore le risque de changement de la situation économique du
prestataire. Enfin, la CNIL rappelle l’existence de risques réels face à des
réquisitions judiciaires notamment par des autorités étrangères qui
échapperaient au contrôle de l’utilisateur. Les risques pouvant résulter du
recours à des prestataires situés hors de l’Union européenne sont
particulièrement soulignés.
* La quatrième
recommandation fait
peser sur le client l’obligation de
valider les modèles de services (Saas, Paas, Iaas) et de déploiement (cloud
public, privé, ou hybride) en réalisant la comparaison des forces et faiblesses
de chaque approche par rapport à l’informatique traditionnelle notamment.
* La cinquième
recommandation
conduira le client à effectuer des choix
s’agissant du réel niveau de garantie proposée par le prestataire. La CNIL
propose une grille d’analyse reposant d’une part sur la détermination de la
qualification juridique du prestataire et d’autre part sur l’évaluation du
niveau de protection assurée par ce dernier par rapport aux données traitées.
La CNIL se réserve dans ce domaine la possibilité de requalifier les statuts
juridiques des intervenants afin de déterminer si ces derniers ont réellement
la qualité annoncée dans les contrats signés. La loi Informatique et libertés
distingue en effet le responsable du traitement du sous-traitant, mais les frontières
entre ces deux notions sont de plus en plus floues. Or, l’enjeu pour la CNIL
est de veiller au partage effectif des responsabilités afin de sécuriser les
schémas juridiques.
Cette démarche est étayée par la fourniture d’une matrice
des éléments essentiels permettant de déterminer l’existence d’un niveau de
protection suffisant. Cette dernière repose sur
l’évaluation de l’ensemble des informations disponibles relatives au
traitement effectué dans la réalité, sur la prise en compte de la liste des
garanties mises en œuvre par le prestataire. Dans la mondialisation, l’élément
de localisation des traitements et des données constitue là encore un point clé
pour la CNIL. La CNIL s’avère très attentive aux formalités obligatoires
réalisées par le client qui doivent mentionner le recours à des dispositifs de
cloud computing. Enfin la CNIL met en avant la nécessité de disposer d’une
politique de sécurité et de confidentialité adaptée aux enjeux.
* La sixième
recommandation
découle des recommandations précédentes puisqu’elle invite le client à tirer
les enseignements des analyses de risques. Les procédures internes
d’organisation des SI doivent en tenir compte.
* La septième recommandation est complémentaire de la
précédente. Elle invite les clients à rendre pérennes les règles de vigilance
et les bonnes pratiques en cas de recours à des services de cloud computing. Cette
dernière exigence nécessitera pour le client de mettre en place un véritable
tableau de bord comportant les indicateurs clés de la maîtrise des risques
juridiques et opérationnels. D’un point de vue opérationnel, cela contraint
également le client à adapter les mesures à l’évolution des risques.
En conclusion de ces
recommandations, la
CNIL fournit des modèles indicatifs de clauses contractuelles qui en cas de
contrôle constitueront clairement le baromètre du niveau de prudence mise en œuvre
par le client ou des risques assumés.
Ces clauses se caractérisent par des
obligations pragmatiques à mettre en œuvre dans une logique d’anticipation et de
maîtrise des risques. Elles ont vocation à s’appliquer tant au niveau du
responsable des traitements qu’à celui du prestataire.
Les logiques d’audit de
certification sont clairement mises en avant par la CNIL.