{"id":3970,"date":"2013-08-23T09:11:46","date_gmt":"2013-08-23T19:11:46","guid":{"rendered":"http:\/\/www.net.pf\/?p=3970"},"modified":"2017-06-06T23:00:09","modified_gmt":"2017-06-07T09:00:09","slug":"cnil-cloud-computing-les-7-etapes-cles-pour-garantir-la-confidentialite-des-donnees","status":"publish","type":"post","link":"https:\/\/www.service-public.pf\/dgen\/cnil-cloud-computing-les-7-etapes-cles-pour-garantir-la-confidentialite-des-donnees\/","title":{"rendered":"CNIL &#8211; Cloud computing : les 7 \u00e9tapes cl\u00e9s pour garantir la confidentialit\u00e9 des donn\u00e9es"},"content":{"rendered":"<p>Des recommandations pratiques permettant de d\u00e9finir le partage des responsabilit\u00e9s<\/p>\n<p>Avant tout engagement commercial, l&rsquo;organisme souhaitant recourir \u00e0 une prestation d&rsquo;externalisation devra mener une r\u00e9flexion sp\u00e9cifique afin :<\/p>\n<ol>\n<li>D&rsquo;identifier clairement les donn\u00e9es et les traitements qui passeront dans le cloud ;<\/li>\n<li>De d\u00e9finir ses propres exigences de s\u00e9curit\u00e9 technique et juridique ;<\/li>\n<li>De conduire une analyse de risques afin d&rsquo;identifier les mesures de s\u00e9curit\u00e9 essentielles pour l&rsquo;entreprise ;<\/li>\n<li>D&rsquo;identifier le type de cloud pertinent pour le traitement envisag\u00e9 ;<\/li>\n<li>De choisir un prestataire pr\u00e9sentant des garanties suffisantes ;<\/li>\n<li>De revoir la politique de s\u00e9curit\u00e9 interne ;<\/li>\n<li>De surveiller les \u00e9volutions dans le temps.<\/li>\n<\/ol>\n<p>Ces 7 \u00e9tapes pr\u00e9alables permettent :<\/p>\n<ul>\n<li>De d\u00e9terminer la qualification juridique du prestataire : s&rsquo;agit-il d&rsquo;un simple sous-traitant au sens de l&rsquo;article 35 de la loi Informatique et libert\u00e9s ou bien d&rsquo;un responsable conjoint de traitement au sens de l&rsquo;article 2 de la Directive 95\/46\/CE ?<\/li>\n<li>La CNIL recommande que les obligations et le p\u00e9rim\u00e8tre des responsabilit\u00e9s de chacun, notamment en mati\u00e8re de s\u00e9curit\u00e9, soient clairement \u00e9tablis. Cette distribution des responsabilit\u00e9s doit \u00eatre act\u00e9e en amont, par exemple dans le contrat de prestation de services, et cela de la mani\u00e8re la plus pr\u00e9cise possible.<\/li>\n<li>La CNIL retient la responsabilit\u00e9 conjointe du client et du prestataire lorsque le client ne peut pas r\u00e9ellement donner d&rsquo;instructions \u00e0 son prestataire et ne peut pas contr\u00f4ler l&rsquo;effectivit\u00e9 des garanties de s\u00e9curit\u00e9 apport\u00e9es par ce dernier. Ceci peut \u00eatre d\u00fb notamment \u00e0 des offres standardis\u00e9es, non modifiables par les clients, et \u00e0 des contrats d&rsquo;adh\u00e9sion qui ne laissent aucune possibilit\u00e9 de n\u00e9gociation. Cette absence d&rsquo;instruction et de moyens de contr\u00f4le \u00e9tant constat\u00e9e pour certains services de PaaS et de SaaS publics, le prestataire pourrait donc dans ces cas \u00eatre a priori consid\u00e9r\u00e9 comme responsable conjoint de traitement.<\/li>\n<li>D&rsquo;\u00e9valuer le niveau de protection assur\u00e9 par le prestataire aux donn\u00e9es trait\u00e9es : le niveau de s\u00e9curit\u00e9 offert par le prestataire est-il sup\u00e9rieur ou \u00e9gal \u00e0 celui qui \u00e9tait pr\u00e9alablement assur\u00e9 ?<\/li>\n<\/ul>\n<p>Le cloud ne doit pas aboutir \u00e0 une diminution du niveau de protection des donn\u00e9es, particuli\u00e8rement s&rsquo;agissant de donn\u00e9s sensibles, au sens de l&rsquo;article 8 de la loi Informatique et libert\u00e9s.<\/p>\n<p>Des mod\u00e8les de clauses pour d\u00e9finir clairement les responsabilit\u00e9s dans un contrat<\/p>\n<p>Que la responsabilit\u00e9 du traitement soit conjointe ou bien \u00e0 la charge unique du client, les responsabilit\u00e9s du client et du prestataire doivent \u00eatre express\u00e9ment d\u00e9finies et comporter :<\/p>\n<h3>1. Une information transparente sur les modalit\u00e9s de traitement :<\/h3>\n<p>Il s&rsquo;agit pour le prestataire :<\/p>\n<ul>\n<li>De s&rsquo;engager \u00e0 respecter les principes essentiels en mati\u00e8re de protection des donn\u00e9es personnelles (par exemple, obligation d&rsquo;informer les personnes, soit en fournissant au client toutes les informations n\u00e9cessaires pour remplir cette obligation, soit en informant directement les personnes concern\u00e9es lorsque le prestataire est responsable conjoint du traitement),<\/li>\n<li>De mettre \u00e0 disposition un syst\u00e8me de remont\u00e9e des plaintes et des failles de s\u00e9curit\u00e9,<\/li>\n<li>De d\u00e9crire les moyens de traitement \u00e0 mettre en \u0153uvre, d&rsquo;informer le client de tout recours \u00e0 des sous-contractants (et d&rsquo;obtenir son accord pr\u00e9alable lorsque le prestataire est sous-traitant),<\/li>\n<li>De proposer des proc\u00e9dures simples pour respecter les droits des personnes concern\u00e9es vis-\u00e0-vis de leurs donn\u00e9es (notamment le droit d&rsquo;acc\u00e8s aux donn\u00e9es) ;<\/li>\n<\/ul>\n<h3>2. Une information transparente sur les lieux de stockage des donn\u00e9es et sur les transferts indiquant, de mani\u00e8re claire et exhaustive :<\/h3>\n<ul>\n<li>Les pays h\u00e9bergeant les serveurs du prestataire (et de ses sous-contractants \u00e9ventuels),<\/li>\n<li>L&rsquo;existence d&rsquo;une protection suffisante des donn\u00e9es lorsqu&rsquo;elles sont h\u00e9berg\u00e9es en-dehors de l&rsquo;Union europ\u00e9enne (notamment gr\u00e2ce \u00e0 des Clauses contractuelles types ou \u00e0 des r\u00e8gles contraignantes d&rsquo;entreprise \u00a0\u00bb BCR \u00ab\u00a0),<\/li>\n<li>La possibilit\u00e9 de limiter les transferts de donn\u00e9es uniquement vers des pays assurant un niveau de protection suffisant,<\/li>\n<li>Et portant \u00e0 la connaissance du client toute requ\u00eate provenant d&rsquo;une\u00a0autorit\u00e9 administrative ou judiciaire \u00e9trang\u00e8re ;<\/li>\n<\/ul>\n<h3>3. Les garanties mises en \u0153uvre par le prestataire :<\/h3>\n<ul>\n<li>Respect de dur\u00e9es de conservation des donn\u00e9es limit\u00e9es et raisonnables au regard des finalit\u00e9s pour lesquelles elles sont collect\u00e9es,<\/li>\n<li>Destruction ou restitution de ces donn\u00e9es,<\/li>\n<li>Devoir de coop\u00e9ration avec les autorit\u00e9s de protection des donn\u00e9es comp\u00e9tences,<\/li>\n<li>Possibilit\u00e9 pour le client de diligenter des audits ;<\/li>\n<\/ul>\n<h3>4. Les formalit\u00e9s aupr\u00e8s de la CNIL<\/h3>\n<p>Elles peuvent \u00eatre effectu\u00e9es au nom du client (par lui ou un sous-traitant mandat\u00e9 \u00e0 cet effet), ou du prestataire s&rsquo;il est responsable conjoint du traitement ;<\/p>\n<h3>5. La s\u00e9curit\u00e9\u00a0et la confidentialit\u00e9 des donn\u00e9es h\u00e9berg\u00e9es<\/h3>\n<ul>\n<li>Indication des obligations du prestataire en mati\u00e8re de s\u00e9curit\u00e9 des donn\u00e9es (et, lorsque celui-ci est sous-traitant, pr\u00e9cision qu&rsquo;il ne peut agir que sur instruction du client),<\/li>\n<li>Politique de s\u00e9curit\u00e9 et mesures de s\u00e9curit\u00e9 retenues,<\/li>\n<li>Proc\u00e9dure de certification \u00e9ventuelle (soumise \u00e0 libre n\u00e9gociation),<\/li>\n<li>Proc\u00e9dure permettant l&rsquo;audit (notamment lorsque le prestataire est sous-traitant),<\/li>\n<li>R\u00e9versibilit\u00e9\/portabilit\u00e9 des donn\u00e9es, tra\u00e7abilit\u00e9, continuit\u00e9 de service, sauvegardes et engagements de niveau de service.<\/li>\n<\/ul>\n<p>Des mod\u00e8les de clauses, portant uniquement sur la protection des donn\u00e9es personnelles et n&rsquo;ayant donc pas vocation \u00e0 constituer un contrat de prestation de services complet, sont pr\u00e9sent\u00e9s \u00e0 titre d&rsquo;illustration. Elles peuvent faire l&rsquo;objet d&rsquo;am\u00e9nagements formels, d\u00e8s lors que les droits, les obligations et le partage des responsabilit\u00e9s du client et du prestataire sont clairement d\u00e9finis dans le contrat.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des recommandations pratiques permettant de d\u00e9finir le partage des responsabilit\u00e9s Avant tout engagement commercial, l&rsquo;organisme souhaitant recourir \u00e0 une prestation d&rsquo;externalisation devra mener une r\u00e9flexion sp\u00e9cifique afin : D&rsquo;identifier clairement les donn\u00e9es et les traitements qui passeront dans le cloud ; De d\u00e9finir ses propres exigences de s\u00e9curit\u00e9 technique et juridique ; De conduire une [&hellip;]<\/p>\n","protected":false},"author":4,"featured_media":3971,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[1308],"tags":[377,357,77,88],"_links":{"self":[{"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/posts\/3970"}],"collection":[{"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/comments?post=3970"}],"version-history":[{"count":0,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/posts\/3970\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/media?parent=3970"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/categories?post=3970"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.service-public.pf\/dgen\/wp-json\/wp\/v2\/tags?post=3970"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}