Le Cloud protège-t-il la confidentialité et vos données privées ? Qu’en pense la CNIL ?

Le Cloud protège-t-il la confidentialité et vos données privées ? Qu’en pense la CNIL ?


Pour votre entreprise, vous vous devez de respecter quelques principes incontournables et de suivre les recommandations de la Commission européenne en matière de choix de votre prestataire de solutions Cloud/SaaS.

Les 2 principes de bases avant de choisir son application SAAS sont de :

- Connaitre la localisation géographique de vos données, notamment les serveurs de stockage et pas seulement les points d’accès à la solution (y compris dans le cadre d’un PRA ou d’un back-up) ;
- Disposer de garanties juridiques et techniques sur le RGPD, le Cloud-Act Safe et les SLA de la part du fournisseur pour clarifier les prestations fournies, la sécurité et les potentiels transferts de vos données à l’étranger.

Voici en résumé « les recommandations de la CNIL » :

Voir la version complète : ICI


Recommandation n°1 : Définir ses propres exigences de sécurité technique et juridique.
Vous allez souscrire une solution dont l’infrastructure et le modèle est standardisé, notamment sur les aspects relatifs à vos données. Il convient donc de vous assurer que le prestataire répond à votre niveau d’exigence de sécurité, notamment pour ce qui concerne les contraintes légales (localisation des données, garantie de sécurité et de confidentialité, réglementations spécifiques à certains types de données, etc.), pratiques (disponibilité, réversibilité/portabilité , etc.) et techniques (interopérabilité avec le système existant et futurs solutions que vous souhaiteriez intégrer à votre écosystème).

Recommandation n°2 : Identifier les mesures de sécurité essentielles pour l’entreprise.
Cette analyse est à faire avec le concours de votre département IT et sécurité.
Le document « Cloud Computing Risk Assessment » réalisé par l’EUROPEAN UNION AGENCY FOR CYBERSECURITY propose une méthodologie d’évaluation des risques liés au modèle commercial et technologique du Cloud computing telle que le SaaS.
Le rapport fournit un ensemble de recommandations pratiques.
Vous pouvez le consulter ICI.

La nature des risques identifiés sont à titre d’exemples :
- La dépendance technologique vis à vis d’un fournisseur (impossibilité de changer de solution sans perte de données par exemple),
- La perte de gouvernance sur le traitement des données,
- Non-conformité réglementaire, notamment pour des transferts de données hors UE,
- Une faille d’accès au système d’information avec un risque de modification des données suite à une défaillance du fournisseur,
- Une destruction ineffective ou non sécurisée des données, ou durée de conservation trop longue,
- Un problème de gestion des droits d’accès par une insuffisance de moyens fournis par le prestataire,
- Une indisponibilité du service du prestataire ou des moyens d’accès au service,
- Fermeture du service du prestataire ou rachat du prestataire par un tiers.

Recommandation n°3 : Etablir un registre des données et traitements dans le Cloud.
Ce registre doit permettre d’identifier le responsable du traitement, le type de données, la source, la finalité de traitement, les échanges et transferts, leur lieu de stockage…
Ce registre doit également faire mention des données soumises à une réglementation spécifique et qui ne peuvent être stockées que par un hébergeur agréé ou avec un niveau de certification suffisant.

Recommandation n°4 : Demander des garanties suffisantes à votre prestataire
“En tant que responsables du traitement, les clients de solutions SaaS doivent s’assurer qu’ils sont en mesure de remplir leurs obligations.
Pour ce faire, ils doivent choisir des prestataires garantissant la mise en place de mesures de sécurité et de confidentialité appropriées, et qui soient transparents vis-à-vis de leurs clients sur les moyens employés pour exécuter leurs prestations (transfert de données à l’étranger, recours à des sous-traitants, politique et mesures de sécurité, etc.).”
Source : CNIL
La CNIL note toutefois que les clients ne disposent pas d’un niveau de transparence suffisant de la part des fournisseurs de service. En effet, la CNIL rappelle que la RGPD n’incite pas les entreprises à un retour en arrière quant à leur transformation digitale, mais plutôt à imposer plus de transparence et de sécurité pour les clients et utilisateurs, quant à l’accès et au traitement de leurs données par un éditeur de solutions SaaS.

Recommandation n°5 : Identifier le type de Cloud pertinent pour le traitement envisagé
“Chaque offre de service de Cloud étant spécifique, il convient de les comparer en identifiant les forces et les faiblesses de chacune au regard du traitement considéré.
Une telle analyse permettra de sélectionner l’offre SaaS/Cloud la mieux adaptée. Il est à noter qu’il peut tout à fait être envisagé de choisir des solutions Cloud différentes en fonction des traitements.”

Source : CNIL, Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Nouveau call-to-action

 

partager cet article

CET ARTICLE A ÉTÉ POSTÉ AVEC LES TAGS: Actualités, conformité et réglements, contrôle, Risques financiers, Direction Juridique, DPO, gestion des risques, IT, projet, RGPD, sécurité, Sécurité & IT, Trésorerie, cloud-act, cloud-act safe

CET ARTICLE VOUS A PLU

Abonnez-vous à InFinance le blog

Recevez par email les dernières actualités de la trésorerie d’entreprise.

DÉCOUVREZ TITAN TREASURY

« Découvrez la nouvelle solution de trésorerie dédiée à la gestion de tous les risques financiers. »

Titan Treasury Télechargez la présentation

NOS DERNIERS ARTICLES