Вы находитесь на странице: 1из 10

Synthse des rponses la consultation publique sur le Cloud computing lance par la CNIL doctobre dcembre 2011 et analyse

se de la CNIL
1. Dfinition du Cloud computing Dans la consultation publique, la CNIL avait dfini le Cloud computing en sappuyant notamment sur diverses dfinitions et sur les critres dfinis par le NIST1 suite un long travail de concertation. Les critres retenus taient les suivants : simplicit d'un service la demande ; extrme flexibilit ; accs lger ; virtualisation des ressources ; paiement l'usage . De plus, la consultation distinguait les services de Cloud computing selon trois modles de services : SaaS : Software as a Service , cest--dire la fourniture de logiciel en ligne ; PaaS : Platform as a Service , cest--dire la fourniture dune plateforme de dveloppement dapplications en ligne ; IaaS : Infrastructure as a Service , cest--dire la fourniture dinfrastructures de calcul et de stockage en ligne. En vue de lallger, la consultation ne portait pas sur les diffrents modles de dploiement de ces services, savoir le Cloud public , pour un service partag et mutualis entre de nombreux clients, le Cloud priv , pour un service ddi un client et le Cloud hybride , quand les deux modles prcdents sont combins. De nombreuses contributions ont rappel limportance de ces distinctions. La consultation ne remet pas en cause la dfinition du Cloud computing propose par la CNIL. Nanmoins, quelques ajustements de vocabulaire peuvent tre proposs afin de tenir compte des contributions, comme le remplacement de virtualisation par mutualisation , que beaucoup ont mis en avant, et qui est en effet un terme prfrable. Si la consultation avait vocation couvrir toutes les modalits du Cloud computing, de nombreuses rponses ont surtout pris en compte les offres de Cloud public destination des entreprises et notamment les offres SaaS (logiciel en ligne). Les analyses des acteurs
1

Liste de caractristiques tablie par le National Institute of Standard and Technology, USA, dans le document The NIST definition of Cloud computing , http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf -18 rue Vivienne - CS 30223 - 75083 Paris Cedex 02 - Tl. : 01 53 73 22 22 - Fax : 01 53 73 22 00 RPUBLIQUE FRANAISE

prsentes dans le prsent document sont donc souvent focalises sur le cas particulier de cette modalit de Cloud computing (caractrise par des offres standard, une certaine mutualisation, une absence dinformation sur la localisation, et des contrats dadhsion). 2. Qualification du prestataire de Cloud computing Rappelons quaux termes de larticle 3 de la loi de 1978 modifie, le responsable de traitement est dfini comme la personne physique ou morale qui dtermine les finalits et les moyens du traitement de donnes caractre personnel. Le sous-traitant quant lui, traite les donnes caractre personnel pour le compte du responsable de traitement et selon ses instructions. Afin daider les acteurs du Cloud dterminer le rle de chacun, la CNIL proposait la solution suivante : Client : il sera toujours responsable de traitement. En effet, en collectant des donnes et en dcidant den externaliser le traitement auprs dun prestataire, il est responsable de traitement en ce quil dtermine les finalits et les moyens de traitement des donnes. Prestataire : en principe, il agit pour le compte et sur les instructions du client responsable de traitement. Ds lors, il semble possible dtablir une prsomption de sous-traitance dans la relation quentretiennent le client et le prestataire. Une telle prsomption est particulirement effective lorsque le client a recours un Cloud priv, cest--dire propre un client, qui implique une grande matrise de la ralisation de la prestation du Cloud par le prestataire. En revanche, lorsquun client a recours un Cloud public, o par nature le prestataire dfinit le fonctionnement et les objectifs de lapplication en ligne accessible diffrents clients, les rles respectifs du client et du prestataire peuvent savrer difficiles dterminer, et dpendent galement du type de services souscrit par le client. La CNIL proposait donc que la prsomption de sous-traitance puisse tomber en application dun faisceau dindices qui doit permettre de dterminer la marge de manuvre dont dispose le prestataire pour raliser la prestation de services. Ce faisceau dindices est compos des critres suivants : 1. Le niveau dinstruction donn par le client au prestataire : ce critre peut permettre dvaluer dans quelle mesure le prestataire est tenu par les instructions du client responsable de traitement. Ds lors, si le client laisse une grande autonomie au prestataire dans la ralisation de sa prestation, le prestataire agira galement comme responsable de traitement, sous rserve que les autres critres voqus ci-aprs se ralisent galement. Exemple : Une socit de cours domiciles a recours un prestataire afin de partager les supports de cours quelle propose ses lves. Pour avoir accs aux supports de cours, les lves doivent senregistrer sur la plateforme de la socit de cours domicile. Cette socit, qui agit comme responsable de traitement, a accept les conditions dutilisation de la socit prestataire. Le contrat de prestations de services sign entre la socit de cours domicile et le prestataire ne prcise pas expressment les conditions de stockage, le volume de donnes stockes et le primtre gographique de stockage des donnes. Le prestataire dispose donc dune grande autonomie et pourrait ce titre tre galement qualifi de responsable de traitement et non comme sous-traitant sous rserve que les indices voqus ci-aprs se
-28 rue Vivienne - CS 30223 - 75083 Paris Cedex 02 - Tl. : 01 53 73 22 22 - Fax : 01 53 73 22 00 RPUBLIQUE FRANAISE

ralisent galement. En revanche, si le contrat de prestation de services est extrmement prcis et sil savre que la socit de cours domicile matrise la ralisation de la prestation telle quelle la pralablement dfinie dans le contrat de service, alors la socit prestataire sera considre comme sous-traitant. 2. Le degr de contrle de lexcution de la prestation du prestataire par le client responsable de traitement : ce critre est un indicateur efficace de la faon dont le prestataire met en uvre les instructions donnes par le client. Il convient en effet de sinterroger sur le degr de surveillance du client en tant que responsable de traitement sur la prestation de son prestataire. Exemple : Une socit cliente qui agit comme responsable de traitement ne contrle pas le prestataire auquel elle a recours et ce dernier na aucune obligation de rapporter rgulirement ltat davancement de ses missions. Dans ce cas, le prestataire devrait galement tre considr comme responsable de traitement et non comme sous-traitant sous rserve que les indices voqus ci-aprs se ralisent. 3. La valeur ajoute fournie par le prestataire sur le traitement des donnes du client : ce critre permet de savoir dans quelle mesure le prestataire matrise le traitement de donnes. En effet, plus le prestataire disposera dune expertise approfondie dans un domaine, plus il sera mme de dcider des moyens de traitement mettre en place dans le cadre de la ralisation des prestations et sera donc susceptible dtre galement qualifi de responsable de traitement. Exemple : Un salon de coiffure utilise une application de consultation et ddition de documents en ligne pour grer son fichier clients : ce titre, il est responsable de traitement, puisquil dtermine les finalits du traitement (gestion de son fichier client) et les moyens de traitement (recours un prestataire). Toutefois, lorsque les donnes sont transfres au prestataire qui fournit cette application, ce dernier en matrise les conditions dans lesquelles il ralise la prestation de services qui lui est confie par le client. Il semble donc que dans ces conditions le prestataire puisse galement tre considr comme responsable de traitement et non comme sous-traitant, sous rserve que les indices voqus ci-aprs se ralisent. 4. Le degr de transparence sur le recours un prestataire : ce critre pourra donner une indication quant la qualification du prestataire. En effet, si lidentit du prestataire est connue par les personnes concernes qui utilisent les services du client, le prestataire pourra tre prsum comme agissant galement comme responsable de traitement. Exemple : Dans le cadre de la gestion des fiches de paye des employs dune socit X, finalit pour laquelle elle est considre comme responsable de traitement, la socit X a recours aux services de stockage en ligne dun prestataire. Lorsque les employs ont accs linterface sur laquelle sont places leurs fiches de paye, il est clairement indiqu que ce service est gr par la socit du prestataire. Une telle prsentation constituera un indice permettant de prsumer que dans une telle hypothse le prestataire agit galement comme responsable de traitement et non comme sous-traitant. Lapplication de ce faisceau dindices permettrait notamment de prendre en compte la nature particulirement standardise des offres de Cloud computing dont il rsulte gnralement une trs grande matrise de la prestation par le prestataire.

-38 rue Vivienne - CS 30223 - 75083 Paris Cedex 02 - Tl. : 01 53 73 22 22 - Fax : 01 53 73 22 00 RPUBLIQUE FRANAISE

Les contributeurs ont eu des avis partags sur la proposition dune prsomption de soustraitance : une moiti lapprouve, lautre non. Les remarques formules rvlent que la qualification du prestataire ne sappuierait pas sur une prsomption, mais dpendrait de loffre propose par le prestataire : lanalyse doit tre faite en fonction de la nature du Cloud (public ou priv) et des modles de services (IaaS, SaaS, PaaS) ; les critres composant le faisceau dindices doivent tre clarifis (notion dexpertise et degr de transparence) ou ne sont pas adapts au Cloud computing (contrats standards) ; la majorit des offres de Cloud tant des contrats dadhsion, les responsables du traitement nont pas rellement la possibilit de ngocier avec les prestataires, donc la plupart de ces derniers sont fortement susceptibles dtre responsables du traitement ; la coresponsabilit est source dinscurit juridique. Par ailleurs, les avis des contributeurs sont partags en terme de scurit juridique, concernant la pertinence dinstaurer une prsomption de sous-traitance qui pourrait tomber en application du faisceau dindices, et plus favorables la proposition de crer un rgime juridique spcifique aux sous-traitants. Position de la CNIL Lorsquun client fait appel un prestataire de services, il est gnralement admis que le premier est responsable de traitement et le second sous-traitant. Toutefois, la CNIL constate que dans certains cas de PaaS et de SaaS public, les clients, bien que responsables du choix de leurs prestataires, ne peuvent pas rellement leur donner dinstructions et ne sont pas en mesure de contrler leffectivit des garanties de scurit et de confidentialit apportes par les prestataires. Cette absence dinstruction et de moyens de contrle est due notamment des offres standards, non modifiables par les clients, et des contrats dadhsion qui ne leur laissent aucune possibilit de ngociation. Aussi, dans ces situations, le prestataire pourrait a priori tre considr comme conjointement responsable en vertu de la dfinition de responsable du traitement fournie larticle 2 de la Directive 95/46/CE, puisquil participe la dtermination des finalits et des moyens des traitements de donnes caractre personnel. Afin de prvenir tout risque de dilution des responsabilits d la prsence de responsables de traitement conjoints, ces derniers devront procder un partage clair des responsabilits dans le contrat de prestation qui les lient, afin dviter notamment que les personnes concernes ne soient affects par la prsence de responsables conjoints du traitement.

-48 rue Vivienne - CS 30223 - 75083 Paris Cedex 02 - Tl. : 01 53 73 22 22 - Fax : 01 53 73 22 00 RPUBLIQUE FRANAISE

A cet effet, la CNIL propose un tableau du partage des responsabilits entre le client et le prestataire :
Obligation de confidentialit et scurit Exercice des droits des personnes concernes auprs du

Hypothse

Formalits dclaratives

Information des personnes

Le prestataire est conjointement responsable du traitement

Client

Client

Client + Prestataire

Client (avec le concours 4 du prestataire)

Par ailleurs, la CNIL rappelle quun prestataire ne peut utiliser les donnes personnelles qui lui ont t confies par ses clients que sur les instructions de ces derniers. En consquence, un prestataire qui souhaiterait traiter des donnes pour dautres finalits que celles dtermines par ses clients (un exemple courant tant la publicit cible) outrepasserait les instructions de ses clients sil ne les informe pas de son intention et nobtient pas leur autorisation au pralable. Si le prestataire obtient une telle autorisation, il sera alors responsable du traitement quil met en uvre pour une finalit distincte de celle du traitement du client. Dans une telle situation, le client et le prestataire seront chacun responsables des traitements quils effectuent. Aussi, il sera notamment dans lobligation dinformer les personnes concernes de la mise en uvre de manire dun tel traitement, conformment larticle 32 de la loi de 1978 modifie. Enfin, il est noter que depuis la consultation publique lance par la CNIL, la Commission europenne a publi son projet de rglement relatif la protection des donnes personnelles le 25 janvier 2012, lequel instaure un rgime lgal du sous-traitant dans son article 26, prvoyant notamment une liste non exhaustive des lments devant figurer dans le contrat de prestation. Le projet de texte soumet le sous-traitant un certain nombre dobligations communes avec le responsable de traitement. Ainsi, le sous-traitant serait soumis aux obligations de documentation (article 28), de coopration avec lautorit de contrle (article 29), de scurit des traitements (article 30), de notification au responsable du traitement en cas dune violation de donnes personnelles (article 31), danalyse dimpact (article 33), dautorisation ou de
2

Le client et le prestataire auront des obligations dclaratives auprs des autorits de protection comptentes concernant le traitement dont ils sont conjointement responsables. Ils devront alors dterminer qui dentre eux effectuera ces formalits. La CNIL recommande que ce soit le client qui sen charge, puisque le recours un prestataire de Cloud peut sinscrire dans un traitement plus gnral, mais il est tout fait envisageable que ce soit le prestataire qui sacquitte des formalits. Dans tous les cas, la partie en charge de ces formalits dclaratives devra tre en mesure de fournir la preuve, sur demande de lautre partie, quelles ont t dment effectues auprs des autorits comptentes. 3 Bien que lobligation dinformation incombe la fois au client et au prestataire tous deux responsables de traitement, il est souhaitable quen pratique ce soit lentit laquelle la personne concerne a communiqu ses donnes qui linforme des moyens de traitement auxquels le prestataire a recours. Par consquent, le prestataire doit fournir au client toutes les informations ncessaires au respect de cette obligation dinformation. Toutefois, le prestataire doit rester la personne de contact laquelle la personne concerne devra sadresser pour obtenir davantage dinformation sur le traitement pour lequel le prestataire agit comme responsable conjoint du traitement. 4 La dissmination possible des donnes sur diffrents serveurs localiss dans divers pays peut rendre plus compliqu lexercice de leurs droits par les personnes concernes. Il convient alors de sassurer que le prestataire et le client mettent en uvre les garanties ncessaires pour permettre aux personnes concernes dexercer leurs droits daccs, de rectification, de modification, de mise jour ou deffacement. -58 rue Vivienne - CS 30223 - 75083 Paris Cedex 02 - Tl. : 01 53 73 22 22 - Fax : 01 53 73 22 00 RPUBLIQUE FRANAISE

consultation pralable de lautorit de contrle (article 34), de dsignation dun dlgu la protection des donnes (article 35) et dencadrement des transferts (articles 40, 42, 43). Par consquent, la cration dun tel statut lgal soumettant le sous-traitant un nombre important dobligations est une solution intressante permettant de rquilibrer la balance des pouvoirs, et donc des responsabilits. 5. Dtermination de la loi applicable La consultation posait une question ouverte aux contributeurs, afin de savoir quels critres pourraient permettre de dterminer la loi applicable aux acteurs du Cloud computing. Une part importante des contributeurs a propos de ne retenir que la loi du responsable du traitement pour dterminer la loi applicable. Toutefois, cette proposition carte le critre li aux moyens de traitement tel quactuellement envisag par larticle 5-I-2 de la loi Informatique et Liberts (selon lequel la loi Informatique et Liberts est applicable lorsque le traitement est ralis par un responsable de traitement qui nest pas tabli au sein de lUnion europenne, mais qui a recours des moyens de traitement situs sur le territoire franais), restreignant alors le champ dapplication territorial de la loi franaise et risquant daccentuer le phnomne de forum shopping 5 auquel les lgislations europennes se trouvent dj confrontes. Par consquent, il ne parat pas envisageable de sorienter vers une telle solution. En revanche, compte tenu de la difficult dterminer le droit applicable en fonction du responsable du traitement, le critre du ciblage a t cit comme un critre intressant, permettant de garantir une meilleure protection des donnes personnelles des individus. Cependant, les entreprises ont mis en avant que le choix dun tel critre pourrait conduire lapplication cumulative de plusieurs droits, ce quelles ne souhaitent pas. Ce critre de ciblage a dailleurs t retenu dans le projet de rglement, lequel prvoit son application aux responsables du traitement non tablis au sein de lUnion europenne, mais qui offrent des biens ou des services des personnes ayant leur rsidence sur le territoire de lUnion (article 3 du projet de rglement). 6. Encadrement des transferts Dans la consultation, la CNIL proposait les solutions juridiques et techniques suivantes pour encadrer les transferts de donnes en-dehors de lUnion europenne : Sur un plan juridique La multiplication des lieux potentiels de stockage des donnes rend difficile la mise en uvre des instruments juridiques garantissant un niveau de protection adquat.

Dans le cas prsent, forum shopping dsigne le fait quune entreprise choisisse de simplanter dans un pays plutt que dans un autre en considration davantages lis la lgislation de celui-ci. Par exemple, labsence dautorisation pralable de lautorit anglaise pour les transferts destination de pays situs en-dehors de lUnion europenne pourrait inciter un groupe amricain souhaitant ouvrir une filiale en Europe choisir le Royaume-Uni. -68 rue Vivienne - CS 30223 - 75083 Paris Cedex 02 - Tl. : 01 53 73 22 22 - Fax : 01 53 73 22 00 RPUBLIQUE FRANAISE

La CNIL propose dune part, dappeler les prestataires de services intgrer les clauses contractuelles types dans leurs contrats de prestations de services, dautre part, de rflchir la faisabilit de BCR6 sous-traitants. Ces BCR sous-traitants permettraient un client du prestataire de confier ses donnes personnelles ce sous-traitant en tant assur que les donnes transfres au sein du groupe du prestataire bnficient dun niveau de protection adquat. Sur un plan technique Lencadrement des transferts pourrait galement reposer sur des solutions techniques utilises. Certains prestataires voquent par exemple le recours des mtadonnes pour dfinir ou dcrire une autre donne quel que soit son support (papier ou lectronique), ou encore les solutions de chiffrement homomorphe. Le recours au chiffrement pourrait galement apparatre comme une solution satisfaisante pour garantir lenvoi de donnes vers certains pays uniquement. Dans un tel cas, le client pourrait alors endosser vritablement son rle de responsable de traitement en dterminant prcisment, avant mme la ralisation de la prestation, les pays destinataires de donnes. La CNIL a interrog les participants la consultation publique sur la question de savoir quel est linstrument, parmi ceux existants, le mieux adapt au contexte du Cloud computing. Alors que les contributeurs relvent de manire gnrale que les mcanismes de transferts actuels ne sont gnralement pas adapts au contexte du Cloud computing, il ressort de cette consultation que les BCR sont considrs comme loutil le mieux adapt. Par ailleurs, la proposition de reconnaissance de BCR sous-traitants a t accueillie trs favorablement par les acteurs du march. Sagissant du projet de rglement publi par la Commission europenne, les articles 42 ( Transferts moyennant des garanties appropries ) et 43 ( Transferts encadrs par des rgles dentreprise contraignantes ) prvoient que les transferts de donnes vers des pays tiers sont possibles si le responsable du traitement ou le sous-traitant ont mis en place des instruments permettant doffrir des garanties de protection appropries, sous rserve dune autorisation pralable de lautorit nationale lorsque les instruments mis en place ne sont pas juridiquement contraignants. Aussi, le projet de rglement reconnat expressment les BCR sous-traitants. Par ailleurs, la demande de prestataires, et suite une tude de faisabilit ralise par la CNIL en 2011, le sous-groupe BCR du Groupe de travail de lArticle 29 travaille actuellement la rdaction dun avis sur les BCR sous-traitant, qui devrait tre publi prochainement.

Binding Corporate Rules ou rgles dentreprise contraignantes -78 rue Vivienne - CS 30223 - 75083 Paris Cedex 02 - Tl. : 01 53 73 22 22 - Fax : 01 53 73 22 00 RPUBLIQUE FRANAISE

Dans lattente de la publication de cet avis, il est recommand dencadrer les transferts de donnes par la signature de clauses contractuelles types. Les solutions diffrent selon la qualification et la localisation du prestataire : Si le client transfre les donnes un prestataire de Cloud localis hors UE agissant en qualit de sous-traitant : signature des clauses contractuelles types de 2010, qui prvoient notamment les chanes de sous-traitance. Si le client transfre les donnes un prestataire de Cloud localis au sein de lUE agissant en qualit de sous-traitant, lequel transfre lui-mme les donnes un soustraitant situ hors UE : plusieurs mcanismes sont possibles (signature des clauses contractuelles types de 2010 entre le responsable du traitement et le sous-traitant hors UE, mandat ou contrat tripartites). Si le client transfre les donnes un prestataire de Cloud localis hors UE agissant en qualit de responsable du traitement : signature des clauses contractuelles types de 2001 ou 2004. Si le prestataire transfre ultrieurement les donnes de son client un sous-traitant hors UE, deux solutions sont envisageables : o soit le client signe directement les clauses contractuelles types de 2010 avec ce sous-traitant, o soit le prestataire de Cloud signe un contrat avec le sous-traitant qui reprend les mmes obligations que celles des clauses types de 2010, condition quil soit prvu dans le contrat de prestation conclu entre le client et le prestataire de Cloud lobligation de ce dernier de signer un contrat quivalent aux clauses contractuelles types avec tout sous-traitant. 7. Scurit du Cloud computing La question de la scurit des donnes est centrale pour les clients recourant au Cloud computing et la consultation a confirm la proccupation centrale des clients sur ce sujet. En effet, en passant au Cloud computing, lentreprise externalise les donnes personnelles quelle traite mais galement dautres donnes patrimoniales et stratgiques ainsi que les processus eux-mmes. Ds lors, une panne du service de Cloud peut conduire limpossibilit pour lentreprise davoir la moindre activit et une faille ou une fuite de donnes peut avoir des consquences importantes sur son fonctionnement, vis--vis de ses clients et de ses concurrents. a. Le renforcement du contrat de Cloud et les engagements de niveaux de service pour la protection des donnes Si la contractualisation des conditions de scurisation du traitement est vue comme une ncessit pour la plupart des acteurs, plusieurs acteurs en soulignent les limites dues au caractre standard des offres de Cloud computing et au constat que, de fait, le prestataire dfinit unilatralement les mesures qui lui semblent pertinentes. Il semble donc ncessaire de considrer que des moyens additionnels doivent tre dfinis pour encadrer la scurit des traitements dans le Cloud, comme la certification du prestataire ou les audits par le client. Cest pourquoi la CNIL a dress la liste des dispositions minimales que le contrat doit inclure (responsabilit en cas de perte des donnes par exemple) et encourager la cration de
-88 rue Vivienne - CS 30223 - 75083 Paris Cedex 02 - Tl. : 01 53 73 22 22 - Fax : 01 53 73 22 00 RPUBLIQUE FRANAISE

SLAs/PLAs7 associs au contrat et incluant des questions de protection des donnes. A terme, il est souhaitable que les contrats standards des prestataires incluent ces SLAs/PLAs. b. Lanalyse de risques Sagissant de lanalyse de risques, le secteur reconnat le caractre essentiel de cette dmarche pour un client souhaitant passer au Cloud computing : les documents de lENISA et de la Cloud Security Alliance sont reconnus comme des outils pertinents pour une telle analyse mais devraient tre complts de la bonne prise en compte de la protection des donnes personnelles. Cest pourquoi la CNIL a fourni des recommandations, destination notamment des petites entreprises qui nont pas ncessairement les moyens financiers et techniques de mener une analyse de risques complte. En particulier, la CNIL a identifi les risques relatifs la protection des donnes qui sappliquent gnralement au Cloud computing. c. Les mesures de scurit Concernant les mesures de scurit, beaucoup de contributions ont soulign le recouvrement entre les mesures proposes par la CNIL et les mesures imposes par certaines normes de scurit existantes, comme ISO 27001, SAS70 ou ISAE3402. Ces normes fournissent un cadre qui peut faciliter lvaluation de la scurit du prestataire, sans toutefois fournir de garanties absolues : il convient chaque fois dexaminer les conditions exactes dapplications de la norme et notamment le primtre dactivit concern chez le prestataire. Par ailleurs, les rponses montrent que de nombreux professionnels identifient autant de facteurs de risques du ct du client que du prestataire. d. Le recours au chiffrement Sur le cas particulier du chiffrement qui tait mis en avant par la CNIL dans sa consultation comme la faon la plus sre pour le client de contrler lusage des donnes personnelles, les contributions des acteurs les plus impliqus dans la fourniture de services de Cloud (notamment les prestataires mais galement quelques grands clients) montrent que cette solution nest pas encore oprationnelle techniquement pour la plupart des services de Cloud computing. Seuls les services de stockage de donnes, type IaaS, semblent aujourdhui ligibles la mise en uvre du chiffrement ct client. Pour les offres applicatives les plus rpandues (SaaS), des progrs doivent encore tre raliss. En revanche, dautres solutions, comme lobfuscation 8 ou le morcellement des donnes sont avances par certains acteurs mais devraient tre approfondies pour dterminer leurs caractristiques et leurs ventuels apports en termes de protection des donnes. Le risque daccs aux donnes par des autorits trangres, par exemple dans le cadre du Patriot Act aux Etats-Unis, doit tre pris en compte dans lanalyse de risques. En effet, mme quand les donnes sont transfres sur des liens chiffrs (https ou VPN par exemple), elles restent le plus souvent traites en clair par le prestataire de Cloud computing. Une solution pour limiter ce risque, lorsque le client a les moyens de mettre en place une gestion des cls
7

SLA : Service Level Agreement, engagement de niveau de service pris par le prestataire. Les SLAs sont une pratique courante dans le cadre de prestations de service. PLA : Privacy Level Agreement, dclinaison des SLA pour les questions de protection des donnes. Ce concept est en cours de dveloppement, notamment au sein de la Cloud Security Alliance (CSA). La CNIL participe aux travaux de la CSA sur les PLAs. 8 Anglicisme dsignant une procdure destine rendre une information difficile comprendre -98 rue Vivienne - CS 30223 - 75083 Paris Cedex 02 - Tl. : 01 53 73 22 22 - Fax : 01 53 73 22 00 RPUBLIQUE FRANAISE

adquates et quil utilise un algorithme reconnu, est de chiffrer les donnes sur les terminaux du client avant de les transfrer via un canal scuris9. Cette solution nest cependant pas adapte de nombreux services SaaS, par exemple les services de gestion de documents en ligne, car dans ce cas le prestataire a besoin dun accs en clair aux donnes pour fournir le service. En outre, limpossibilit de rduire suffisamment le risque daccs aux donnes par des autorits trangres a dj conduit certaines autorits de protection des donnes limiter voire interdire lutilisation de certains services SaaS10. e. La rversibilit (ou portabilit) Enfin, tous les acteurs pratiquant le Cloud semblent avoir pris en compte la question de la rversibilit/portabilit, mme si des progrs peuvent encore tre raliss (sur les formats et les ventuels logiciels ncessaires pour utiliser les donnes restitues, etc.), notamment pour les applications mtier du client. f. Les normes et certifications En conclusion, de nombreux acteurs confirment lanalyse de la CNIL concernant le besoin de dfinir des rfrences techniques sur la protection des donnes personnelles, notamment dans le Cloud computing. La norme ISO 27001 est rgulirement cite comme exemple pour les questions lies la scurit du systme dinformation. Il est cependant noter quil sagit dune norme gnrique qui ne prend pas en compte toutes les spcificits des questions de Vie prive. Une certification ISO 27001 sur un primtre englobant totalement la solution de Cloud est donc une rfrence en termes de bonnes pratiques de scurit mais ne rpond pas totalement aux besoins. Des travaux sont actuellement engags lISO pour mieux prendre en compte la problmatique de protection des donnes, ds lors que le primtre tudi est correctement tabli. Par ailleurs, le travail de normalisation doit prendre en compte la maturit des services et, de ce point de vue, les services IaaS semblent les plus susceptibles dtre concerns par une telle dmarche court terme. Le rle de la CNIL sera de conseiller les responsables de traitement sur les bonnes pratiques adopter, et de participer aux travaux de normalisation mens par le secteur. Les travaux de la CSA (Cloud Security Alliance), auxquels la CNIL participe, semblent fournir un cadre de travail reconnu par tous et pourraient inclure la question de la protection des donnes personnelles.

Pour rappel, un canal scuris (https ou VPN par exemple) permet dassurer la confidentialit des donnes pendant lenvoi afin de sassurer que seul le serveur vis (ici, celui du prestataire de Cloud) puisse lire les donnes envoyes. Si les donnes sont envoyes sans avoir t pralablement chiffres, elles seront donc lisibles par le prestataire. 10 Lautorit norvgienne a ainsi interdit lutilisation de Google Docs dans diffrents cas, notamment lorsque des donnes caractre personnel sont concernes. Lautorit danoise a pour sa part interdit son utilisation lorsque des donnes sensibles sont concernes. -108 rue Vivienne - CS 30223 - 75083 Paris Cedex 02 - Tl. : 01 53 73 22 22 - Fax : 01 53 73 22 00 RPUBLIQUE FRANAISE

Оценить