Par Myriam Quéméner, Magistrat, Docteur en droit
Le cloud computing est une technique permettant d’utiliser la mémoire et les capacités informatiques d’ordinateurs et de serveurs répartis dans le monde entier et reliés par un réseau tel qu’Internet. Cela permet à la capacité de stockage et à la puissance de calcul d’être disponibles à la demande sans l’infrastructure nécessaire.
A découvrir également : Compte rendu exemple, comment le faire rapidement et bien ?
Compte tenu du développement de ce moyen de réduire les coûts de stockage des données, nous devons nous interroger sur les risques que le cloud peut représenter pour les données numériques, qui représentent véritablement le trésor des entreprises et constituent aujourd’hui un levier économique fondamental pour leur avenir. Un rapport récent estime le coût des pannes de nuage à plus de 500 millions d’euros.
Comme le souligne la CNIL, le nuage ne doit pas conduire à une diminution du niveau de protection des données et, à cet égard, il convient de présenter les réponses juridiques nécessaires et nouvelles, notamment en ce qui concerne le règlement européen.
A découvrir également : Est-ce que vous pouvez imprimer vos documents chez votre détaillant postal ?
Cloud et Cyber Risques
L’utilisation de services de cloud computing peut présenter des risques pour la sécurité des données de l’entreprise, car l’accès aux données et aux applications est assuré entre le client et la multiplicité des serveurs distants. Ce risque est donc amplifié par la mise en commun des serveurs et par la relocalisation des serveurs. L’accès aux services nécessite donc des connexions sécurisées et une authentification utilisateur. Cela se pose le problème de la gestion des identifiants et des responsabilités connexes (accès non autorisé, perte ou vol d’identifiants, niveau d’autorisation, démission ou licenciement, etc.).
Nous ne devons pas négliger la perte de données de risque qui doit être évaluée et anticipée dans le cadre de procédures de sauvegarde appropriées (stockage dans des espaces privés, locaux, publics, etc.).
De même, la mise en œuvre de services de cloud computing comporte des risques en ce qui concerne la confidentialité des données. En effet, il existe un risque réel de fuite de données ou de détérioration de l’intégrité des données en raison du nombre de serveurs et leur réinstallation.
Il existe également des dangers dans la continuité des services, car si les investissements dans des machines et des logiciels spécifiques peuvent permettre à une entreprise d’assurer au minimum l’avenir de son infrastructure informatique, le cloud computing peut poser des risques pour la durabilité du fournisseur de technologie.
En outre, la fourniture de services d’informatique en nuage est assurée par un fournisseur externe, ce qui inclut, comme pour tout projet externalisé, les risques liés à la qualité du service obtenu, ainsi que la propriété et l’intégrité des données et/ou des applications confiées, qui devraient donc être prévues contractuellement.
Enfin, l’utilisation du cloud computing entraîne un certain nombre de risques pour les données personnelles et les formalités imposées par la CNIL à l’entreprise qui choisit de mettre en place de tels services. Ces risques sont aggravés si les données sont transférées hors de l’Union européenne (UE). La rédaction des contrats de cloud computing doit donc également tenir compte des problèmes liés à la données conformément aux textes en vigueur.
Solutions Cloud et juridiques
Pour atténuer les risques, il est conseillé de mettre en place un contrat de niveau de service, comme dans le cadre de tout projet d’externalisation, permettant au client d’obtenir du fournisseur une qualité de service convenue contractuellement. Cet accord, également connu sous le nom de « SLA » (Service Level Agreement), peut traiter des critères de bande passante attendus, car l’intérêt de l’informatique en nuage disparaît en cas de mauvaise qualité de bande passante. En outre, le contrat de service peut inclure des indications sur les attentes du client concernant le respect des obligations du fournisseur et, en particulier, introduire un système de malus ou de pénalités en cas de non-respect du contrat de contrat de service.
De plus, pour assurer la pérennité des services d’informatique en nuage, il est essentiel de contracter un plan de réversibilité pour assurer la portabilité des services vers d’autres fournisseurs. Dans ce plan, il est nécessaire de prévoient les déclencheurs de cette réversibilité, tels que la déficience du prestataire, les conditions de cette réversibilité et aussi le coût de celle-ci.
Pour compenser la perte de données, il est recommandé de répliquer les données sur plusieurs sites distants ou d’obtenir des résultats de récupération des données dans des délais contractuels définis, avec la réplication des données uniquement pour garantir que le client récupère les données.
En ce qui concerne l’intégrité et la confidentialité des données, il peut être conseillé de convenir avec le fournisseur que le fournisseur accepte contractuellement de subir régulièrement des audits externes. En outre, il est nécessaire de veiller à ce que la clause de responsabilité du contrat soit correctement rédigée, et en particulier la traçabilité, l’accès frauduleux, la violation de l’intégrité et même la perte de données sensibles. En particulier en ce qui concerne les données sensibles telles que les données personnelles, le client peut exiger que les données restent situées sur des serveurs situés exclusivement dans l’UE et prévoir les moyens de surveiller cette obligation. Le client s’exonère ainsi d’un ensemble de formalités de la CNIL liées au transfert de données personnelles en dehors de l’UE.
Enfin, afin de garantir que l’utilisation des services cloud reste financièrement attrayante, il conviendra que ces entreprises soient particulièrement vigilantes lorsqu’elles choisissent des outils de mesure de la consommation de services d’informatique en nuage.
Cloud et nouvelles solutions juridiques en matière de cybersécurité
Avec une application directe et uniforme, le nouveau règlement prend en compte les évolutions technologiques telles que le Cloud Computing. L’impact sur le nuage du Règlement Général pour la Protection des Données Personnelles (RGDP) est important puisque les professionnels ont l’obligation de sécuriser le traitement qu’ils effectuent.
Le règlement réglemente le transfert de données à caractère personnel hors de l’UE, avec, en cas d’échec, des sanctions pouvant atteindre 4 % du chiffre d’affaires, comme indiqué dans un article précédent. Chaque contrôleur et le sous-traitant doit mettre en œuvre « des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque ». Le renforcement des obligations en matière de sécurité exige également la transparence des rapports sur les violations de données.
Perspectives
Il est important de noter que ce règlement européen sur la protection des données à caractère personnel sera donc à l’origine de nombreux changements dans l’industrie du cloud computing. L’un de ses principaux points est de simplifier les règles européennes en matière de protection des données en établissant un régime uniforme au niveau de l’UE pour remplacer la législation actuellement fragmentée en raison des différences propres à chaque État membre. Ce règlement accroîtra également la responsabilité du responsable du traitement et du responsable du traitement des données en les obligeant à documenter chaque traitement, à assurer une protection efficace et à notifier les autorités de chaque cas enregistré de violation de données.
Ou l’informatique dans les nuages selon la traduction donnée par le National Commission de terminologie et de néologie, JO du 6 juin 2010
Catherine Barreau, « Le marché unique numérique et la réglementation des données personnelles », Annales des Mines — Réalités industrielles 2016/3 (août 2016), p. 37-41.
http://iwgcr.org/wp-content/uploads/2014/03/downtime-statistics-current-1.3.pdf
https://www.cnil.fr, 7 CNIL, Cloud computing : 7 étapes clés pour garantir la confidentialité des données, 1er juillet 2013
Francis Hintermann, « Computer science : the cloud revolution », The Expansion Management Review 2010/4 (no 139), p. 98-105.
Voir http://www.eurocloud.fr/doc/cigref.pdf
https://www.cnil.fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
Livre blanc — Cabinet Mathias, https://www.lecercle.biz/Le-Cercle-publications/DOSSIER-SPECIAL-Donnees-Personnelles