Les dangers du cloud computing : la position de la CNIL

Nous avons déjà évoqué les dangers du cloud computing dans une actualité du 6 septembre dernier, relative à la sécurité des données des entreprises. Nous revenons aujourd’hui plus particulièrement sur les risques du cloud. Notre premier regard concernera la question de la protection des données à caractère personnel.

Prendre des risques sur des données qui n'appartiennent pas à l'entreprise

Si les entreprises souhaitent externaliser leurs données les plus stratégiques et ainsi courir le risque d'intrusions ou d'espionnage industriel, libres à elles — à supposer qu'elles soient bien conscientes de ces risques. Mais peuvent-elles se permettre de mettre en danger des données qui ne leur appartiennent pas ? C'est le cas, au tout premier chef, des données à caractère personnel qui sont exploitées par celles-ci (données des clients, mais aussi du personnel).

Dans le climat de relative inconscience générale que nous soulignions dans notre précédente actualité, certains esprits et certaines institutions ont tout de même vite ouvert les yeux.

La CNIL et ses recommandations spécifiques

La CNIL (Commission nationale de l’informatique et des libertés) est de ces institutions. Elle pratique une veille sur les technologies et repère rapidement les liens qui s’imposent entre les innovations et les dangers qu’elles génèrent, spécialement pour les données à caractère personnel et le respect de la vie privée, puisque c’est le champ d'action de la Commission.

La CNIL a ainsi lancé dès 2011 une consultation publique sur le cloud. Les résultats de cette consultation lui ont alors permis de formuler, le 25 juin 2012 des « Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing ».

De la protection de données personnelles à celle de toutes les données

Qui dit protection de données à caractère personnel, dit protection physique de toute donnée en général. Ces recommandations peuvent donc aussi inspirer les bonnes pratiques, informatiques et contractuelles, autour des services de cloud computing.
Et de fait, nombreux sont les conseils ainsi que les modèles de clauses proposés dans ce document de la CNIL, de 21 pages, qui peuvent directement concerner ou être aisément transposés ou adaptés pour la protection de toute donnée de l’entreprise externalisée dans le cloud, fût-elles ou non soumise à la loi Informatique, fichiers et libertés.

La sécurité juridique, certes, mais la sécurité technique avant tout

Le document de la CNIL est important en ce sens qu’avec pragmatisme, il ne se borne pas à faire du droit et à conseiller les bonnes clauses protectrices sur lesquelles les prestataires doivent s’engager. Ceci, c’est — comme nous avons coutume de le présenter — l’habillage juridique d’une opération technique qui, elle aussi et avant tout, doit être sécurisée. C’est ainsi que parmi les recommandations, figurent en bonne place celle de tester la sécurité des données chez le prestataire, ce que peu de clients font, hélas, souvent faute de connaissances et de moyens techniques.
Si déjà ces deux volets : sécurité technique éprouvée et sécurité juridique dument consignée dans des clauses solides d’un contrat de cloud, les dégâts peuvent être en grande partie prévenus. Mais ce ne sont hélas pas les seuls écueils du cloud, nous y reviendrons.

En savoir plus

Annonce de l’enquête CNIL le 17 octobre 2011, sur son site : Cloud computing : la CNIL engage le débat :
www.cnil.fr/linstitution/actualite/article/article/cloud-computing-la-cnil-engage-le-debat/
Synthèse des réponses à la consultation publique sur le Cloud et analyse de la CNIL (pdf, 273 Ko) — document hélas non daté… :
www.cnil.fr/fileadmin/images/la_cnil/actualite/Synthese_des_reponses_a_la_consultation_publique_sur_le_Cloud...
Cloud computing : les conseils de la CNIL pour les entreprises qui utilisent ces nouveaux services du 25 juin 2012 :
www.cnil.fr/linstitution/actualite/article/article/cloud-computing-les-conseils-de-la-cnil-pour-les-entreprises-qui-utilisent-ces-nouveaux-services/
Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing — document hélas non daté… (pdf, 331 Ko) :
www.cnil.fr/fileadmin/images/la_cnil/actualite/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire...
Voir la page thématique Nuage sur le site de la CNIL qui groupe ce que la Commission publie sur le sujet :
www.cnil.fr/nuage/tag/securite-du-si/

Didier FROCHOT