Les conseils de la CNIL aux entreprises qui veulent adopter le cloud

Identifier clairement les données qu’on peut mettre dans le cloud, définir ses propres exigences de sécurité technique et juridique, conduire une analyse de risques afin d’identifier les mesures de sécurité pour l’entreprise, identifier le type de cloud pertinent pour le traitement envisagé (PaaS, IaaS…) ou encore choisir un prestataire présentant des garanties suffisantes : voici quelques-unes des recommandations formulées par la Cnil aux entreprises qui envisagent de souscrire à des services de cloud computing.

Identifier clairement les données qu’on peut mettre dans le cloud, définir ses propres exigences de sécurité technique et juridique, conduire une analyse de risques afin d’identifier les mesures de sécurité pour l’entreprise, identifier le type de cloud pertinent pour le traitement envisagé (PaaS, IaaS…) ou encore choisir un prestataire présentant des garanties suffisantes : voici quelques-unes des recommandations formulées par la Cnil aux entreprises qui envisagent de souscrire à des services de cloud computing.

« La standardisation des offres et le recours par les prestataires de Cloud à des contrats d'adhésion pour formaliser leurs relations contractuelles avec leurs clients laissent peu de marge de négociation à ces derniers. De plus, il apparaît que les prestataires fournissent généralement peu d'informations à leurs clients quant aux mesures techniques et organisationnelles mises en œuvre permettant de garantir la sécurité et la confidentialité des données traitées pour le compte des clients. Cette insuffisance de transparence de la part des prestataires fait défaut aux clients, puisqu'ils ne disposent pas de toutes les informations nécessaires leur permettant de remplir leurs obligations en tant que responsables de traitement », explique la Cnil.

Ce véritable b.a.-ba – qui n’évite pas toujours les poncifs -  donne également le détail des éléments essentiels devant figurer dans un contrat de prestation de services cloud.

La commission rappelle notamment qu’il est nécessaire de définir clairement le partage des responsabilités vis-à-vis des autorités compétentes en matière de protection des données personnelles lorsque de telles informations sont stockées dans le cloud.

Précisons que ce document est le résultat d’une « large consultation publique » lancée en 2011. Une consultation publique qui a suscité 49 réponses. 



Pour approfondir sur Administration et supervision du Cloud