Recevez chaque jour toute l'actualité du numérique

x

Protéger vos données personnelles en sécurisant vos contrats de Cloud computing

Si les avantages du Cloud computing sont nombreux, les risques juridiques liés à l’utilisation de ces solutions ne doivent pas être négligés par les entreprises.
Twitter Facebook Linkedin Flipboard Email
×

Protéger vos données personnelles en sécurisant vos contrats de Cloud computing
Protéger vos données personnelles en sécurisant vos contrats de Cloud computing © DR

Que ce soit des prestations d'hébergement d'infrastructures (IaaS), de fourniture de plateformes de développement (PaaS) ou l’accès à des logiciels en ligne (SaaS), le recours à des solutions de cloud computing (ou informatique dans les nuages) s’est largement développé ces dernières années.

Ce succès est largement lié aux nombreux avantages offerts par ces solutions. Outre le fait que le recours à une prestation de Cloud computing permet à une entreprise d’optimiser la gestion de ses coûts et de bénéficier d’un service dont le paiement s’effectue proportionnellement à l’usage, l’accès au service de cloud se fait de manière facile et flexible, souvent par l’intermédiaire d’applications disponibles facilement via internet.

L'importance du choix du prestataire

Mais si les avantages du cloud computing  sont connus, le recours à ces solutions pose un certain nombre de problématiques juridiques liées notamment à la protection des données à caractère personnel stockées dans le nuage.

Afin de maîtriser ce risque juridique, l’utilisateur de ce type de prestations doit accorder une importance toute particulière au choix de son prestataire et à la rédaction de son contrat de prestation de service.

S’il est vrai que les particuliers n’ont pas souvent la possibilité de négocier les termes des contrats d’adhésion qui leur sont proposés, la marge de manœuvre des entreprises est plus grande, ce qui leur permet d’influer sur les termes des contrats de prestation de cloud computing.

Afin d’orienter les entreprises qui envisagent de souscrire à des services de Cloud computing, la CNIL (Commission Nationale de l’Informatique et des Libertés) a publié en juillet 2013 une fiche pratique rappelant ses recommandations dans ce domaine.

La CNIL recommande préalablement à la souscription d’un contrat de cloud computing, de mener une réflexion portant sur 7 points clés :

  • L’identification claire des données et des traitements stockées dans le cloud ;
  • La définition par l’entreprise de ses propres exigences de sécurité technique et juridique ;
  • La conduite d’une analyse de risques afin d'identifier les mesures de sécurité essentielles pour l'entreprise ;
  • L’identification du type de cloud pertinent pour le traitement envisagé ;
  • Le choix d’un prestataire présentant des garanties suffisantes ;
  • La mise à jour de la politique de sécurité interne ;
  • La surveillance des évolutions dans le temps.

Une fois cette analyse effectuée, il convient pour l’entreprise de formaliser ses relations avec le prestataire dans un document contractuel qui précise clairement le partage de responsabilité entre les deux parties et qui détaille les mesures techniques et organisationnelles mises en œuvre par lui et permettant de garantir la sécurité et la confidentialité des données traitées pour le compte de l’entreprise.

anticiper la fin du contrat et s’assurer de la continuité du service avec un autre prestataire

A cet égard, la CNIL met à disposition des entreprises des modèles de clauses "portant uniquement sur la protection des données personnelles" pouvant servir de base à la rédaction d’un contrat de prestation de service de cloud. Ces clauses sont accessibles sur le site de la CNIL.

Parmi les éléments essentiels devant figurer sur le contrat de prestation de cloud computing, il convient de prévoir des clauses relatives à :

  • La description du traitement et des données : moyens du traitement, destinataires, respect des droits des personnes et procédures de mise en œuvre, sous-traitance, existence d’un système de remontée des plaintes et des failles de sécurité etc.
  • Les garanties mises en œuvre par le prestataire en termes de sécurité et confidentialité des données : durée de conservation des données, destruction ou restitution à la fin du contrat, coopération avec les autorités de protection, etc.
  • La localisation et le transfert des données : lieux d’hébergement des données, possibilité de limiter les transferts uniquement à l’UE, existence d’une protection suffisante hors UE, etc.
  • Les formalités auprès de la CNIL : Elles peuvent être effectuées au nom du client (par lui ou un sous-traitant mandaté à cet effet), ou du prestataire s'il est responsable conjoint du traitement.
  • La sécurité et la confidentialité des données : description des obligations du prestataire et des instructions du client, mesures de sécurité physique et logique, certifications, réversibilité/portabilité, traçabilité et journalisation, continuité de service, sauvegardes, engagement de niveaux de services, etc.

D’autres éléments qui ne concernent pas directement la protection des données à caractère personnel devront également figurer au contrat. Il s’avère notamment indispensable d’anticiper la fin du contrat et de s’assurer de la continuité du service avec un autre prestataire en prévoyant une clause de réversibilité détaillant les modalités de transfert des services vers d’autres prestataires.

Par ailleurs, l’ensemble des mesures de protection et de confidentialité des données devra être adapté au degré de sensibilité des données qui font l’objet du traitement. Plus les données stockées sur le cloud seront sensibles (données de santé, données bancaires, etc.), plus les obligations pesant sur les prestataires seront renforcées. Dans ce cas, par exemple, il est recommandé de limiter les transferts hors France uniquement aux pays membres de l’UE.

Compte tenu des risques juridiques liés à l’utilisation du cloud computing, une analyse du risque juridique et une contractualisation de ce risque apparaissent indispensables pour les entreprises qui souhaitent le maîtriser au mieux.

Amina Khaled, avocat associé BEAM Avocats, spécialité IP-IT

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media