[RGPD] Où sont stockées vos données ? Le Cloud pour les nuls

par | Déc 11, 2017 | Législation et réglementation, RGPD |

Vous vous dites “encore un énième article sur le cloud !” Et vous avez raison. Sauf que la question est toujours posée, surtout avec l’arrivée du RGPD. Le nouveau règlement européen sur la protection des données personnelles est paru au journal officiel de l’Union européenne et entrera en application le 25 mai 2018.

Si vous vous posez effectivement la question, cet article vous apportera (on l’espère !) des réponses concrètes en vulgarisant un peu le discours. N’en déplaise aux DSI et autres experts informatiques à qui n’est pas destiné l’article 😉

Si vous ne vous êtes jamais posé la question, il est grand temps de vous y atteler, car que ce soit à titre privé ou professionnel, le RGPD a pour but de garantir la sécurité et l’accès à vos données. Concrètement, confieriez-vous les clés de chez vous à une tierce personne, sans garantie de confiance ni règles ? Évidemment, non.

C’est parti donc pour une révision express sur le Cloud ! Mot clé : Transparence.

Le Cloud, c’est quoi ?

Le Cloud (ou le SAAS – Software As A Service) a permis de rendre accessible et plus abordable un certain nombre de logiciels en libérant des contraintes d’intégration, d’installation et de maintenance. L’accès se fait alors à distance et l’ensemble des données du logiciel ou d’une application est donc hébergé et stocké par l’éditeur. Le mode SAAS permet non seulement de gagner en mobilité, mais également un usage partagé et collaboratif. Les prérequis sont donc simples, pour utiliser une application en SAAS comme un CRM par exemple, il suffit d’un navigateur et un accès internet. Le Cloud n’a pas simplifié que les usages, il a réduit de fait l’investissement lié à ce type d’équipement.

Les exemples de services collaboratifs les plus utilisés en mode SaaS sont le partage d’agendas en ligne, les outils de conférence à distance, les services de gestion de contacts et de présence, la gestion documentaire et/ou de contenu ainsi que la messagerie d’entreprise. Aujourd’hui, la quasi-totalité des suites et outils marketing sont désormais proposées en mode SAAS, comme Koban. Plébiscité pour ses avantages comme son coût réduit et sa simplicité d’utilisation, le marché croît régulièrement.

A l’heure de la mise en conformité, le SAAS voit remonter ses inconvénients comme freins à la protection des données personnelles. Car le Cloud “soulève un certain nombre de difficultés au regard du respect de la législation relative à la protection des données personnelles, en particulier dans le cas du Cloud public. Ces difficultés sont amplifiées dans le cas des offres standardisées avec des contrats d’adhésion ne laissant pas aux clients la possibilité de les négocier. De manière générale, il est constaté que les clients souffrent d’une insuffisance de transparence de la part des prestataires de Cloud quant aux conditions de réalisation des prestations, notamment sur la sécurité et sur la question de savoir si leurs données sont transférées à l’étranger, et plus précisément à destination de quels pays.”

source : CNIL

Le Cloud : avantage ou inconvénient ?

Les avantages du Cloud ne sont plus à démontrer… Avantage financier par une réduction des coûts à l’inverse de l’intégration en mode licence, et la mutualisation des ressources et serveurs partagés de l’application. Gain de temps par un déploiement technique simplifié et rapide. Le Cloud présente donc un avantage manifeste pour toute entreprise qui souhaite construire un système d’information unifié et collaboratif à moindre coût. Avec le SAAS, l’informatique est externalisée et les déploiements plus rapides. Le paiement à la consommation permet également de réduire et optimiser les coûts. Le Cloud répond en un sens à un mode d’achat qui a évolué avec le consommateur et sa mobilité. Revers de la médaille pour les éditeurs : la volatilité et la rotation parfois importante des clients qui n’hésitent plus à changer de solution, dès lors que celle-ci ne correspond plus à leur besoin ou usages. Les éditeurs se voient donc contraints d’améliorer sans cesse l’expérience utilisateur, optimisant et facilitant ainsi leur application.

Les inconvénients du Cloud sont essentiellement liés à la question de la sécurité des données relatives à l’entreprise cliente, qui sont généralement hébergées et stockées par l’éditeur de la solution. L’ensemble des données étant par définition “délocalisé”, il convient donc d’être vigilant lorsqu’une entreprise doit gérer des données notamment “sensibles” ou “confidentielles” en contractualisant la nature des échanges avec le fournisseur (éditeur).

Le SAAS implique :

  • de sécuriser l’accès aux données de l’entreprise
  • d’évaluer le risque lié à une défaillance de son prestataire, fournisseur
  • de permettre une compatibilité entre plusieurs applications pour l’intégration dans un système d’information
  • de limiter le risque de perte des données lors de migration

Cloud vs RGPD

Ne vous sauvez pas… La solution n’est pas de revenir au mode licence, avec la hausse du coût que cela représenterait. Vous vous voyez ne plus partager votre agenda avec vos collègues ou ne plus utiliser la géolocalisation bien pratique de votre application CRM quand vous êtes en déplacement? Bien sûr que non. Le Cloud est indéniablement pratique. Sauf que côté sécurité des données, tout le monde n’est pas logé à la même enseigne… et cela génère des risques, autant côté éditeur que client. Il est donc nécessaire de s’assurer que ces “nouveaux” risques sont bien maîtrisés avant de choisir une solution Cloud. Le tout étant normalement formalisé lors de contrats pour les prestations liées à ce type de services.

Le RGPD, côté client

L’article 23 du RGPD appelle les contrôleurs de données à conserver et à traiter uniquement les données absolument nécessaires à l’accomplissement de leurs fonctions, ainsi qu’à limiter l’accès aux données personnelles à ceux qui interviennent dans leur traitement.

Le RGPD comprend des suggestions spécifiques sur les types d’actions de sécurité susceptibles d’être considérés comme « pertinents par rapport au risque », comme :

  • Le cryptage des données personnelles
  • La capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des services qui traitent les données personnelles
  • La possibilité de restaurer les données et d’assurer l’accès aux données en temps opportun en cas d’incident physique ou technique

Le RGPD, côté fournisseur (ou éditeur)

Le concept de « la protection de la vie privée par conception » ou “privacy by design” existe depuis des années, mais avec le RGPD celui-ci fait désormais partie des obligations légales. À la base, la « confidentialité par conception » demandait à inclure la notion de protection des données dès la conception d’un système, plutôt qu’à être rajouté. Plus précisément – « Le contrôleur doit … mettre en œuvre des mesures techniques et organisationnelles appropriées … de manière efficace … afin d’être en conformité avec la règlementation et de protéger les droits des personnes concernées ». En clair, l’éditeur doit vous donner la possibilité, dès la conception de l’application, de vous conformer aux règles de protection des données personnelles que vous traitez. La “Privacy by Design” est un mécanisme de protection qui a pour but de prendre en compte des questions de protection des données personnelles dès la conception des produits. Cependant, il est important d’y appliquer un contrôle. Ce contrôle se matérialise par l’intervention d’un « délégué à la protection des données », qui sera en charge de veiller à la bonne application de la protection des données personnelles.

 

Alors, le Cloud est-il compatible avec la conservation de données privées ?

Techniquement, une donnée dite “privée” hébergée sur un Cloud public est accessible par n’importe qui, en premier lieu par le fournisseur du service de stockage. Quand bien même cela irait à l’encontre de toute règle définie dans le cadre du RGPD… La solution pourrait venir du client, qui déciderait de chiffrer toutes les données qu’il choisirait de stocker ou de revenir au mode licence avec un niveau de sécurité accru de tout son système d’information… Rendant par là tout échange ou collaboration quasi impossible.

Avant d’en arriver à cet extrême, quelques recommandations peuvent vous permettre de garantir et sécuriser l’accès et le stockage de vos données sur le Cloud.

Les 2 règles de bases avant de choisir son application SAAS :

  • Savoir OÙ sont localisées les données : où se situent géographiquement les serveurs de stockage et d’hébergement de vos données
  • Obtenir un niveau de transparence suffisant de la part du fournisseur notamment sur les conditions de réalisation des prestations, sécurité, éventuel transfert à l’étranger des données, etc.

Les recommandations de la Commission européenne

Recommandation n°1 : Identifier clairement les données et les traitements qui passeront dans le Cloud

De l’intérêt d’établir un registre de ses données, pour en identifier le responsable du traitement, le type de données, la source, la finalité de traitement, les échanges et transferts, leur lieu d’hébergement… Sachant que certains types de données sont soumises à une réglementation spécifique, comme les données de santé qui ne peuvent être stockées que par un hébergeur agréé par le Ministère de la santé.

Recommandation n°2 : Définir ses propres exigences de sécurité technique et juridique

A l’inverse d’une réponse d’un éditeur à un cahier des charges spécifique pour un système, le principe du Cloud est de “s’abonner en ligne”. Il convient donc de s’assurer que le fournisseur répond bien à votre niveau d’exigence de sécurité, notamment pour ce qui concerne :

  • Les contraintes légales (localisation des données, garantie de sécurité et de confidentialité, réglementations spécifiques à certains types de données, etc.)
  • Les contraintes pratiques (disponibilité, réversibilité/portabilité , etc.)
  • Les contraintes techniques (interopérabilité avec le système existant, etc.)

Recommandation n°3 : Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise

Ceci afin de définir les mesures de sécurité appropriées à exiger de la part de son fournisseur. Une liste complète de 35 risques a été établie par l’ENISA (Agence Européenne chargée de la sécurité des réseaux et de l’information). Les principaux risques pour l’entreprise étant :

  • La perte de gouvernance sur le traitement des données
  • La dépendance technologique vis à vis d’un fournisseur (impossibilité de changer de solution sans perte de données par exemple)
  • Une faille d’accès au système d’information avec un risque de modification des données suite à une défaillance du fournisseur
  • Une destruction ineffective ou non sécurisée des données, ou durée de conservation trop longue
  • Un problème de gestion des droits d’accès par une insuffisance de moyens fournis par le prestataire
  • Une indisponibilité du service du prestataire ou des moyens d’accès au service
  • Fermeture du service du prestataire ou rachat du prestataire par un tiers
  • Non conformité réglementaire, notamment pour des transferts de données hors UE

La Commission européenne recommande que le client évalue la pertinence de ces risques pour sa propre situation et étudie les mesures mises en place par lui-même et par le prestataire pour réduire ces risques.

Lire notre article : [RGPD] Sécurité de la donnée : check liste d’évaluation

Recommandation n°4 : Identifier le type de Cloud pertinent pour le traitement envisagé

“Chaque offre de service de Cloud étant spécifique, il convient de les comparer en identifiant les forces et les faiblesses de chacune au regard du traitement considéré. Une telle analyse permettra de sélectionner l’offre de Cloud computing la mieux adaptée. Il est à noter qu’il peut tout à fait être envisagé de choisir des solutions de Cloud computing différentes en fonction des traitements.”

Source : CNIL

Recommandation n°5 : Choisir un prestataire présentant des garanties suffisantes

“En tant que responsables du traitement, les clients de services de Cloud computing doivent s’assurer qu’ils sont en mesure de remplir leurs obligations. Pour ce faire, ils doivent choisir des prestataires garantissant la mise en place de mesures de sécurité et de confidentialité appropriées, et qui soient transparents vis-à-vis de leurs clients sur les moyens employés pour exécuter leurs prestations (transfert de données à l’étranger, recours à des sous-traitants, politique et mesures de sécurité, etc.).”

Source : CNIL

 

D’une manière générale, la CNIL a constaté que les utilisateurs souffrent surtout d’un manque de transparence de la part des fournisseurs de service. Le RGPD n’a pas pour vocation à inciter les entreprises à un retour en arrière quant à leur transformation digitale. Il vise à offrir plus de transparence et de sécurité aux utilisateurs quant à l’accès et au traitement qui est fait de leurs données. Et n’oubliez pas que, pour répondre aux exigences de qualité et de service client, l’éditeur d’un logiciel peut vous apporter assistance en entrant dans votre système. Bien choisir une application SAAS, c’est d’abord vérifier que le prestataire est en mesure de garantir et de sécuriser vos données par une charte informatique et un contrat de confidentialité adéquat.

PS : Pour info, chez Koban, le stockage et l’hébergement des données se localisent dans l’Union européenne 😉

Source : CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Guillaume

Guillaume

Responsable technique

RGPD 2018

fa legislation

Toutes les ressources RGPD

  • Niveau d’expertise
  • Temps de lecture
restons connectés

Accéder par catégorie

capture note 2017
capture check liste rgpd marketing
CTA FP Data VD Mai2018