La Cnil a récemment publié plusieurs recommandations afin d'accompagner les entreprises dans le renforcement de la protection des données personnelles qu'elles utilisent dans le cadre du cloud computing. Tour d'horizon.
Fin 2011, la Commission nationale de l'informatique et des libertés (Cnil) avait engagé le débat sur la problématique de la protection des données à caractère personnel dans le cadre du recours par les entreprises à des services de cloud computing (1). Avec pour objectif d'envisager toutes les solutions juridiques et techniques permettant de garantir un haut niveau de protection des données à caractère personnel. La Cnil a publié, le 25 juin dernier, son analyse (2). Il en ressort sept recommandations pratiques "indicatives", ayant pour objet d'accompagner les entreprises dans le choix d'une offre de cloud (3). Ces recommandations portent principalement sur l'analyse des risques et la contractualisation des services. Les assureurs, qui de plus en plus se laissent tenter par les services de cloud computing (messagerie électronique, CRM, etc.), devront mettre en place ces recommandations.
L'analyse des risques
L'une des recommandations centrales de la Cnil invite les entreprises à « conduire une analyse des risques afin d'identifier les mesures de sécurité essentielles pour l'entreprise » (4). A cet égard, la méthode Ebios (expression des besoins d'identification des objectifs de sécurité) constitue, selon elle, une méthode pertinente. Selon cette procédure, il convient, à partir d'un contexte défini par l'entreprise, d'identifier pour chaque risque (et selon son niveau) une ou plusieurs mesure(s) adaptée(s) visant à le traiter.
En application de cette méthode, l'étude du contexte doit permettre...
