Big Data, Science des données, aide à la décision en entreprise, business intelligence, data warehouse, reporting, OLAP, web analytics, data visualization, data mining, internet des objets, informatique cognitive, intelligence artificielle...

Abonnez-vous gratuitement à Decideo !


Decideo

 


La protection des données : Quel rôle pour le fournisseur Cloud ?


Rédigé par Gilles Pecqueron, Telehouse et Gildas Leroy, Easyvista le 7 Janvier 2014

Avec l’essor de l’informatique et à l’heure du Cloud computing, les datacenters deviennent un élément central de l’économie numérique. Toutefois suite aux récentes révélations et affaires d’espionnages, la sécurité des données est plus que jamais au cœur des préoccupations des entreprises. En effet, les entreprises peuvent se retrouver en dehors de la législation européenne sur la protection des données et s’exposer ainsi, à leur insu, à des risques juridiques et financiers.



LA PROTECTION DES DONNEES SOUVENT NEGLIGEE ?

Gilles Pecqueron, Business Developer Manager chez Telehouse et Gildas Leroy, Vice-Président EMEA d’EasyVista
Gilles Pecqueron, Business Developer Manager chez Telehouse et Gildas Leroy, Vice-Président EMEA d’EasyVista
Pour nombre de fournisseurs de solutions SaaS, le datacenter est au cœur de la chaîne de valeur. Le choix du site et du prestataire Cloud est donc un choix stratégique qui impacte directement le cœur de business de ces entreprises. Les critères prioritaires observés sont notamment : la sécurité et les niveaux de certification (ex : ISO 27001) ; la connectivité, la performance et les niveaux de disponibilité ; la maturité des services fournis sous forme de serveurs virtualisés ; la stabilité financière du prestataire d’hébergement ou encore la localisation physique des données et la conformité avec la législation sur la protection des données.

Aujourd’hui, les garanties et les niveaux de services offerts par les meilleurs opérateurs du marché permettent aux entreprises et organisations d’héberger sereinement leurs données les plus sensibles dans le Cloud. Toutefois, les questions de conformité avec la législation Européenne sur la protection des données restent souvent négligées, alors qu’elles constituent un risque potentiel juridique et financier majeur pour les entreprises et leurs dirigeants.

La sécurité des données est habituellement abordée sous deux angles principaux : leur sensibilité stratégique (données confidentielles ou sensibles) et leur sécurité physique (corruption des bases de données, capacité à remonter une sauvegarde dans les meilleurs délais, etc.). Or la sécurité des données concerne aussi le respect de la législation européenne sur la protection des données. En tant qu’hébergeur, le datacenter est directement impliqué dans la sécurité de ce patrimoine informationnel. Il doit garantir la disponibilité, l’intégrité ainsi que la confidentialité des données.

GARANTIR LE RESPECT DE LA LEGISLATION SUR LA PROTECTION DES DONNEES

Les affaires récentes contribuent à sensibiliser le marché sur ces questions. Ainsi, l’affaire Snowden remet en lumière la loi « USA Patriot Act » qui confère à la NSA - National Security Agency, organisme gouvernemental de la défense des Etat-Unis - un accès illimité aux données hébergées ou gérées par les acteurs Cloud américains et leurs filiales étrangères, sans que leurs clients en soient informés.

L’usage en Europe de services Cloud qui collectent, stockent, gèrent ou traitent des données contraint le responsable du traitement à se conformer à la législation européenne. Si un fournisseur SaaS est une société américaine, ou filiale d’une société américaine, il est soumis à la législation américaine sur l’accès aux données, notamment la loi « USA Patriot Act », quel que soit le lieu d’hébergement physique des données, en Europe ou ailleurs. La NSA a ainsi le droit d’exiger d’accéder aux données hébergées et le prestataire a l’interdiction d’informer ses clients sur cette requête. Cette obligation légale heurte frontalement la réglementation européenne sur la protection des données. Le client est alors lui-même, souvent à son insu, exposé juridiquement et financièrement car il ne peut garantir qu’il respecte la législation sur la protection des données. Le « Safe Harbour » que font valoir certains fournisseurs Cloud a malheureusement été rendu caduc par la Loi USA Patriot Act (voir Avis d’Expert - Alain Weber, Avocat spécialiste des questions sur la protection des données personnelles).

Dans ce contexte douteux, les entreprises qui font appel à des solutions Cloud de type datacenters ou SaaS recherchent désormais une plus grande transparence vis-à-vis du respect de la législation européenne et de la protection de leurs données, et en particulier des données personnelles qui font l’objet d’une législation toujours plus contraignante en France et en Europe. Afin de se protéger du risque juridique et financier, elles doivent être attentives à plusieurs critères contractuels tels que :

-Le lieu d’hébergement des données, des backups et dispositifs de PRA (Plan de Reprise d’Activité) au sein de l’Union Européenne ;

-La présence exclusive dans la chaîne de services Cloud de sociétés de droit Européens pouvant démontrer qu’elles ne sont pas soumises à la législation américaine ;

-L’encadrement explicite du droit de transfert des données à un tiers, avec obligation d’approbation préalable par le Client ;

-Le respect des clauses préconisées par la CNIL sur la protection des données. Par exemple : « Les Parties s’engagent à collecter et à traiter toute donnée personnelle en conformité avec toute réglementation en vigueur applicable au traitement de ces données, et notamment à la loi n°78-17 du 6 janvier 1978 modifiée. Au regard de cette loi, les Parties sont conjointement responsables du Traitement réalisé au titre du Contrat. ». Cette clause devant être appliquée à tous prestataires intervenant dans le stockage, le traitement et la gestion des données.

Les entreprises et organisations disposent ainsi d’outils contractuels leur permettant de garantir que leurs fournisseurs Cloud ne les exposent pas, à leur insu, juridiquement et financièrement sur la question de la protection des données. Il reste encore un important travail d’éducation et de sensibilisation sur ce sujet sensible sur lequel on déplore souvent un certain manque de transparence…




Nouveau commentaire :
Facebook Twitter

Vous pouvez commenter ou apporter un complément d’information à tous les articles de ce site. Les commentaires sont libres et ouverts à tous. Néanmoins, nous nous réservons le droit de supprimer, sans explication ni préavis, tout commentaire qui ne serait pas conforme à nos règles internes de fonctionnement, c'est-à-dire tout commentaire diffamatoire ou sans rapport avec le sujet de l’article. Par ailleurs, les commentaires anonymes sont systématiquement supprimés s’ils sont trop négatifs ou trop positifs. Ayez des opinions, partagez les avec les autres, mais assumez les ! Merci d’avance. Merci de noter également que les commentaires ne sont pas automatiquement envoyés aux rédacteurs de chaque article. Si vous souhaitez poser une question au rédacteur d'un article, contactez-le directement, n'utilisez pas les commentaires.