Les missions de la CNIL, la Commission Nationale de l’Informatique et des Libertés, sont très diverses: en effet, elle s’intéresse à toutes les nouvelles pratiques et nouveaux usages de l’informatique.

Dernièrement, la CNIL vient de remettre un rapport sur l’utilisation de services de Cloud Computing, afin de permettre aux entreprises de mieux effectuer leurs appels d’offres et de choisir leurs prestataires.

Le Cloud Computing est un marché en très grand essor, et ses avantages sont nombreux:

  • diminution des besoins en investissement pour l’achat de matériel
  • possibilité de faire évoluer les capacités machine et les capacités de stockage en fonction des fluctuations de ses besoins ou de la saisonnalité
  • possibilité de confier tout ou partie de la gestion, installation, configuration ou administration de son système informatique

Mais pour autant tous les services de Cloud Computing ne se valent pas. Voici donc la liste des principales recommandations de la CNIL pour bien effectuer son choix:

 

1] Identifier avec précision les données qui seront hébergées dans le Cloud.

  • Certaines données peuvent être stratégiques et nécessiter une prise en charge particulière (Ex: les emails)
  • Certains types de données peuvent être soumis à une réglementation spécifique (Ex: les données santé)

 

2] Définir ses exigences en terme de contraintes légales, pratiques ou techniques

Tous les prestataires ne proposent pas le même degré d’exigence en terme de disponibilité des données, de réversibilité, de portabilité, ou encore d’interopérabilité avec le système existant. Parce que toutes les entreprises n’ont pas les mêmes priorités dans ces domaines, ces éléments sont à étudier au cas par cas.

 

3) Conduire une analyse des risques pour la protection des données personnelles

Parmi les principales mesures de sécurité à exiger du prestataire, on peut citer: une bonne isolation des données et une moindre dépendance technologique, c’est-à-dire la possibilité si nécessaire de changer de solution ou de prestataires. En fonction de son secteur d’activité, il sera également intéressant de se renseigner sur le fait que des réquisitions judiciaires soient possibles par les autorités étrangères ou encore sur la conformité réglementaire pour les transferts internationaux…

 

4) Identifier, parmi les modèles de Cloud disponibles, celui pertinent pour l’entreprise

Il existe trois modèles de services et trois modèles de déploiement du cloud: Saas, Paas, Iaas, et déploiement privé, publiques ou hybrides. A noter qu’il est tout à fait possible de choisir des modèles différents en fonction des données à traiter.

 

En dernier lieu, la CNIL recommande de vérifier les garanties apportées par le prestataire, mais il faut dire que toutes les recommandations précédentes vont également dans ce sens. Elle recommande également de remettre à plat la politique de sécurité des données de l’entreprise et de monitorer toute éventuelle évolution de ces éléments dans le temps.

Enfin, de façon pratique, la CNIL met également à disposition des entreprises intéressées par le Cloud un modèle de contrat comportant l’essentiel des éléments à faire figurer.

Pour retrouver le détail de ses recommandations, vous pouvez vous rendre sur le site de la CNIL.

Et si vous souhaitez davantage de conseils sur le Cloud Computing, voire un accompagnement a sa mise en place, Ivision vous propose un service complet d’externalisation informatique, avec audits et conseils, mise en place et gestion de l’infrastructure informatique, et mise en place de protocoles de sécurités !