Le 25 juin 2012, la
CNIL a publié ses recommandations relatives au Cloud Computing. Si elles sont particulièrement
pédagogiques (I), elles restent largement à compléter (II).
(I)
Des
recommandations pédagogiques
Intitulé
« Recommandations pour les entreprises qui envisagent de souscrire à des
services de Cloud computing », ce document est issu d’une consultation
lancée par la CNIL à l’automne 2011.
Au total, sept
recommandations sont faites :
- Identifier clairement les données et les traitements qui passeront dans le Cloud
- Définir ses propres exigences de sécurité technique et juridique
- Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles
- Identifier le type de Cloud pertinent (public, privé ou hybride ; SaaS, PaaS ou IaaS)
- Choisir un prestataire présentant des garanties suffisantes
- Revoir la politique de sécurité interne
- Surveiller les évolutions dans le temps.
C’est surtout la
cinquième recommandation qui est développée par la CNIL. Elle rappelle que le
prestataire pourrait être considéré comme conjointement responsable du
traitement dès lors qu’il participerait à la détermination des finalités et des
moyens de traitement des données à caractère sensible (cf. Directive 95/46/CE
art.2).
A ce titre, une
obligation de confidentialité et sécurité incombe au prestataire et, de
surcroît, il doit notamment apporter son concours au client afin de garantir
les droits des personnes concernées : accès, rectification, effacement, …
La nécessité d’être
vigilant en matière de clauses contractuelles est largement soulignée. Plusieurs
modèles de clauses sont judicieusement
proposés par la CNIL en annexe. Elles s’appuient notamment sur les BCR (Binding
Corporate Rules) ou les clauses contractuelles types pour l’encadrement des
transferts de données.
(II)
Des
recommandations à compléter
Le préambule du
document précise que ces recommandations sont tournées notamment vers les PME.
L’intention est
louable. Il s’agit pour la CNIL d’être opérationnel et d’apporter un
« kit » prêt à l’emploi. Mais c’est en cela que le bât blesse.
Car la démarche Cloud
ne se cantonne pas au domaine des données.
Au contraire, elle
trouve sa source dans un besoin plus global : l’optimisation des services du système
d’information et leur alignement avec les besoins-métiers de l’entreprise.
Corrélativement, les
clauses d’un contrat Cloud ne devraient pas se focaliser sur les données, comme
un lecteur pressé desdites recommandations pourrait le penser.
En effet, réversibilité,
traçabilité, confidentialité, responsabilité, convention de services et
pénalités (SLA), audit et PAQ (Plan d’Assurance Qualité), notamment, ne
sauraient se limiter au prisme des données.
Bien au contraire, il
paraît nécessaire de se référer et d’intégrer lesdites recommandations au sein d’un
référentiel plus large, tel que celui proposé par ITIL notamment en matière de gestion
de la capacité, de la disponibilité, de la continuité et de la sécurité.
Quant aux SLA, s’il est
certainement utile de les revisiter profondément en matière de Cloud, la CNIL n’apporte guère d’outils
et encore moins d’exemples.
De surcroît, en dépit
d’une simplicité apparente, diverses questions viennent complexifier le tableau
: lois civile et pénale applicables, juridiction(s) compétente(s), durée et
conditions financières de sortie, adéquation des unités d’œuvre, …
En définitive, au delà des
séductions du nuage à la mode et du prêt à porter contractuel, il nous reste
encore quelques efforts à faire ...
Paris, le 1er juillet 2012
