La Revue Squire

Les recommandations de la CNIL sur le cloud : enfin !!


Rédigé par Stéphanie Faber le 26 Juin 2012


C’est peu de dire que les recommandations de la CNIL sur le cloud étaient attendues ! Bon nombre de négociations avec des prestataires ont achoppé sur la façon dont doit se matérialiser la conformité à la loi sur la protection des données personnelles dans un contrat de services cloud. Ce document devrait clarifier un certain nombre de points même s'il ne rendra pas la vie plus facile aux prestataires.

La CNIL a publié le 25 juin[1] des recommandations, suivies d’une liste des éléments essentiels qui doivent se trouver dans les contrats et les modèles de clauses correspondantes.

Les recommandations

Il s’agit avant tout, pour tout futur client du cloud, de procéder au préalable à :

• une évaluation des risques

• la définition de ses exigences en matière de sécurité (et l’adaptation de sa politique interne au cloud)

• un choix attentif du prestataire en fonction des garanties juridiques et techniques qu’il offre.

La CNIL liste les risques qu’elle a identifiés.

L’évaluation devra ensuite se faire périodiquement.

Les parties devront aussi déterminer la qualification juridique du prestataire :

Le prestataire est en principe « sous-traitant » mais pourrait être considéré comme « conjointement responsable » avec le responsable de traitement dans certains cas de PaaS et de SaaS publics, pour lesquels les clients ne peuvent pas réellement donner d’instructions et ne sont pas en mesure de contrôler l’effectivité des garanties de sécurité et de confidentialité apportées par les prestataires (offres standardisées non négociables).

Dans ce cas, la CNIL suggère que le Client reste son principal interlocuteur ainsi que celui des personnes concernées par les données, mais les obligations et la responsabilité du prestataire sont renforcées et il peut se voir infliger des sanctions par la CNIL.


Les éléments contractuels essentiels

Pour la CNIL « si ces éléments essentiels ne figurent pas directement ou indirectement dans un contrat de prestation, les clients ne seront pas en mesure de satisfaire aux obligations légales. »

Parmi ces éléments essentiels nous avons relevés les suivants (pour le cas d’un prestataire « sous-traitant »):

• Engagement de niveaux de services (« SLAs ») avec des pénalités

• Respect des principes européens en matière de protection des données et de la loi Informatique et Libertés par les deux parties

• Existence d’un système de remontée des plaintes et des failles de sécurité

• Sous-traitance :
o Information et obtention du consentement du client
o Report dans les contrats de sous-traitant des obligations contractuelles du contrat client

• Destruction et/ou restitution des données en fin de contrat

• Devoir de coopération avec les autorités de protection des données compétentes

• Indication que le client peut procéder à des audits

• Indication que le prestataire n’agit que sur « instruction » du responsable de traitement

• Indication claire et exhaustive des pays hébergeant les centres de données du prestataire où les données seront traitées

• Assurance d’une protection adéquate à l’étranger (notamment grâce à des clauses contractuelles types ou à des règles contraignantes d’entreprise « BCR »)

• Politique de sécurité et mesures minimales de sécurité : le prestataire devra tenir à la disposition du client le détail des mesures mises en place

• Réversibilité/portabilité

• Traçabilité

Certains de ces points font actuellement l’objet de difficiles négociations entre des groupes internationaux et des prestataires de cloud "public", notamment les problématiques de transparence sur la sécurité et les sous-traitants du prestataire ainsi que la faculté de demander un audit, qui sont présentés comme impraticables et allant à l'encontre même de l'objectif de sécurité. Par ailleurs, les prestataires étrangers ne souhaitent pas s'engager à coopérer avec les autorités locales et plus généralement à respecter le droit européen voire, dans l’attente d’une harmonisation par un règlement, les différentes lois dans l’UE alors qu'ils n'y sont pas forcés dans leur propre pays.

Nous sommes maintenant dans l’attente des recommandations du G29 sur le même sujet.

____________________________________________________________________________
[1] Juste après, et ce n’est pas un hasard, la publication par le G29 des BCR sous-traitants. Voir notre article
Communiqué de la CNIL sur son site



Stéphanie Faber est Membre de voxFemina – Paroles d’Experts au Féminin






Vous souhaitez recevoir nos articles par mail, saisissez ci-dessous votre adresse mail :
















Rester Connecté
Rss
LinkedIn
Twitter




Si vous souhaitez recevoir par email, dès leur mise en ligne, tous les articles publiés sur La Revue, saisissez ici votre adresse :