Cloud computing et Cnil

04.12.2012

La Cnil apporte son aide aux entreprises qui souhaitent recourir au cloud computing au moyen de recommandations pratiques et de modèles de clauses contractuelles.

Les offres de cloud computing se sont multipliées ces dernières années. Cette pratique offre aux entreprises une évolution avantageuse de leurs services informatiques en
permettant notamment une mutualisation des coûts d’hébergement. Elle pose en revanche des questions relatives au traitement automatisé des données à caractère personnel, tant sur le plan juridique que sur celui des risques.
Afin d’en clarifier le cadre juridique, la Cnil (Commission nationale de l’informatique et des libertés) a lancé fin 2011 une consultation publique sur le cloud computing. Les sept recommandations qu’elle a publiées sur son site Internet en juin dernier à destination des entreprises françaises, et en particulier des PME, en sont le fruit. Elles visent à aider ces dernières à prendre une décision éclairée lorsqu’elles souhaitent recourir à ce type de prestations.

Identifier les données à transférer

Avant d’envisager de recourir au cloud computing, l’entreprise doit clairement identifier les données, traitements ou services qui pourraient être ainsi hébergés. Pour chaque traitement, elle doit distinguer :
- les données à caractère personnel;
- les données sensibles ;
- les données stratégiques pour l’entreprise ;
- les données utilisées dans les applications « métiers ».
Dans le cas où une partie seulement des données et traitements serait déplacée dans le cloud, l’entreprise doit s’assurer que les traitements transférés ne risquent pas d’inclure des données d’autres traitements qui n’ont pas été déportés.
L’entreprise doit vérifier également si les données qu’elle envisage de transférer dans le cloud relèvent d’une réglementation spécifique – telle que les données de santé –, auquel cas elle doit identifier les conditions nécessaires à leur transfert.

Définir ses exigences de sécurité

À l’inverse des offres classiques d’externalisation, dans lesquelles les prestataires fournissent une réponse personnalisée à un cahier des charges défini par l ’entreprise cliente, de nombreuses offres de cloud sont établies de manière standardisée. L’entreprise ne doit pas pour autant renoncer à définir ses exigences et doit s’assurer que les offres proposées y satisfont, au regard notamment des points suivants :
- contraintes légales (localisation des données, garantie de sécurité et de confidentialité, réglementations spécifiques à certains types de données…) ;
- contraintes pratiques (disponibilité, réversibilité/portabilité…) ;
- contraintes techniques (interopérabilité avec le système existant…).

Analyser les risques

L’entreprise cliente doit procéder à une analyse de risques complète afin de définir les mesures de sécurité appropriées à exiger du prestataire ou à mettre en oeuvre au sein de sa propre organisation. La Cnil alerte les entreprises qui n’ont pas les moyens de mener une analyse complète sur les risques qu’elle juge les plus importants en cas de recours au cloud, en particulier au regard de la protection des données personnelles. À ce titre, la Commission énumère les risques suivants :
- perte de gouvernance sur le traitement de données à caractère personnel ;
- dépendance technologique vis-à-vis du fournisseur de cloud computing ;
- faille dans l’isolation des données (risque que les données hébergées sur un système virtualisé soient modifiées ou rendues accessibles à des tiers non autorisés, suite à une défaillance du prestataire ou à une mauvaise gestion du rôle d’hyperviseur) ;
- réquisitions judiciaires, notamment par des autorités étrangères ;
- faille dans la chaîne de soustraitance, dans le cas où le prestataire a lui-même fait appel à des tiers pour fournir le service ;
- destruction ineffective ou non sécurisée des données, ou durée de conservation trop longue ;
- problème de gestion des droits d’accès par les personnes en raison d’une fourniture insuffisante de moyens par le prestataire ;
- indisponibilité du service du prestataire, ce qui comprend l’indisponibilité du service en lui-même, mais aussi l’indisponibilité des moyens d’accès au service (notamment les problèmes de réseaux) ;
- fermeture du service du prestataire ou acquisition du prestataire par un tiers ;
- non-conformité réglementaire, notamment sur les transferts internationaux.
Il est possible de limiter la plupart de ces risques au moyen de clauses contractuelles prévoyant des pénalités à la charge du prestataire et par la mise en oeuvre de mesures techniques et organisationnelles au niveau de l’entreprise cliente et du prestataire

Choisir le type de cloud pertinent

Le marché offre trois modèles de services de cloud computing :
- SaaS : « Software as a Service », ou fourniture de logiciel en ligne ;
- PaaS : « Platform as a Service », ou fourniture d’une plateforme de développement d’applications en ligne ;
- IaaS : « Infrastructure as a Service », ou fourniture d’infrastructures de calcul et de stockage en ligne.
Il existe par ailleurs trois modèles de déploiement :
- « public », quand un service est partagé et mutualisé entre de nombreux clients ;
- « privé », quand le cloud est dédié à un client ;
- « hybride », quand un service est pour partie dans un cloud public et dans un cloud privé.
Chaque offre de service de cloud computing étant spécifique, la Cnil recommande de comparer les points forts et les points faibles de chacune au regard du traitement des données. On peut choisir des solutions de cloud computing différentes en fonction des traitements, ce qui garantit une meilleure protection des données collectées puisqu’elles ne sont pas toutes confiées au même prestataire.

Enfin, la Cnil conseille une transition progressive vers le cloud computing, afin de mieux en appréhender les risques.

Sélectionner un prestataire fiable

En tant que responsables du traitement de données à caractère personnel, les entreprises doivent choisir des prestataires garantissant des mesures de sécurité et de confidentialité appropriées, et qui soient transparents à leur égard sur les moyens employés pour réaliser leurs prestations.
Lorsqu’un client fait appel à un prestataire, on considère généralement que le premier est responsable du traitement et le second sous-traitant. La Cnil constate néanmoins dans certains cas de PaaS et de SaaS publics une absence d’instructions et de moyens de contrôle du client sur le prestataire, due notamment à des offres standardisées et à des contrats d’adhésion qui ne laissent pas de marge de négociation aux entreprises clientes.
Le client et le prestataire doivent déterminer lequel d’entre eux effectuera les formalités déclaratives auprès de la Cnil en cas de responsabilité conjointe du traitement. Dans tous les cas, la partie en charge de ces formalités devra être en mesure de fournir la preuve, sur demande de l’autre partie, qu’elles ont été régulièrement effectuées auprès de la Cnil.

Revoir la politique de sécurité interne

Le cloud computing suppose une révision complète des procédures de sécurité internes de l’entreprise conformément aux conclusions de l’analyse de risques. En effet, cette pratique engendre de nouveaux risques liés notamment aux transmissions par Internet ou à l’utilisation de terminaux mobiles et nomades.
La Cnil recommande d’apporter un soin particulier aux systèmes d’authentification des employés de l’entreprise ; le prestataire de cloud computing doit offrir à cet égard une offre compatible.

Surveiller les évolutions dans le temps

La Cnil recommande d’évaluer périodiquement la prestation de cloud computing en fonction de l’évolution dans le temps du contexte, des risques, des solutions disponibles sur le marché, de la législation, etc.
L’analyse de risques doit être actualisée dès qu’une évolution significative du service survient, afin d’adapter les mesures ou les solutions. La Cnil entend par « évolutions » celles qui peuvent toucher les fonctionnalités du produit ou la fourniture technique du service, par exemple une modification de la politique de sécurité ou un nouveau centre de données.

Pour aller plus loin

Qu'est-ce que le cloud computing ?

L’expression « cloud computing » (« informatique en nuage ») désigne le transfert vers Internet de données et d’applications jusqu’alors situées sur les serveurs et ordinateurs des sociétés, des organisations ou des particuliers. Le recours à cette pratique s’apparente sur le plan économique à une location de ressources informatiques, facturée en fonction de la consommation.

Modèles de clauses contractuelles

La Cnil propose des clauses contractuelles destinées à être insérées dans les contrats de prestations de cloud. Ces clauses visent à aider les sociétés clientes, en particulier les PME, à choisir un prestataire offrant toutes les garanties en termes de protection des données personnelles et de sécurité au regard de la loi « Informatique et libertés ».

Eléments essentiels d'un contrat de cloud

La Cnil a dressé une liste des éléments essentiels à faire figurer dans un contrat de prestation de services de cloud computing : informations relatives aux traitements, garanties mises en oeuvre par le prestataire, localisation et transferts (pays d’hébergement), formalités à effectuer auprès de la Cnil, sécurité et confidentialité.

En quoi consiste la méthode Ebios ?

La méthode EBIOS (Expression des besoins et identification des objectifs de sécurité) permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information (SSI). La Cnil juge cette méthode pertinente pour l’analyse de risques et la recommande.