Sécurité et confidentialité des données sur le Cloud : du bon sens et quelques conseils
Les révélations dans le cadre de l’affaire Snowden démontrent en creux à quel point la sécurité des données n’est pas une question à prendre à la légère. De fait, le choix d’une solution de Cloud Computing demeure sensible. Aujourd’hui, le grand public découvre l’étendue et la puissance des programmes de surveillance tous azimuts de la NSA (nous avons tous entendu parler des fuites à travers le programme PRISM) : quel entrepreneur ou DSI peut affirmer à coup sûr que ses données sont en totale sécurité sur des serveurs basés aux USA, à l’abri des regards indiscrets ? La réponse tient en un mot : aucun. Pourtant, certains estiment encore qu’il demeure difficile de se forger une opinion concernant le meilleur choix de solution Cloud. La défiance constatée vis-à-vis de ce mode d’hébergement dématérialisé ne doit néanmoins pas occulter deux points essentiels qu’il est important de souligner :
- c’est aux Etats-Unis que la confidentialité n’est pas assurée,
- le Cloud Computing offre des avantages inédits aux entreprises en matière d’hébergement.
Les Etats-Unis et le Patriot Act
Soyons clairs : il est impossible pour une entreprise hexagonale de bénéficier des garanties et du cadre du droit français dès lors qu’elle se soumet à la législation d’un pays étranger à qui elle confierait l’hébergement de ses données, CQFD. Or, on le voit, les polémiques en matière de respect de la confidentialité des informations professionnelles ou privées concernent les Etats-Unis. Depuis l’instauration du Patriot Act, la législation américaine permet aux services de sécurité d’accéder à une infinité de données, et notamment à celles stockées sur des serveurs hébergés sur le territoire US, y compris si la société qui possède les serveurs est d’une autre nationalité. Et cette intrusion dans des données « confidentielles » n’a pas besoin d’être effectuée sous le contrôle d’un juge, ni même d’être rendue publique. En clair, vos données peuvent être dupliquées, conservées et divulguées à votre insu… pour la simple et bonne raison que le droit américain l’autorise.
Les atouts du Cloud en toute sécurité, c’est possible
Le Cloud Computing en tant que solution technique offre indéniablement des perspectives d’hébergement gigantesques et une pléiade d’atouts précieux pour les entreprises : qu’il serait regrettable de les occulter pour de mauvaises raisons, toutes liées à ce que permet la législation en vigueur sous d’autres latitudes. Quelques exemples : que ce soit en matière de flexibilité (réponse instantanée aux besoins de bande passante), de récupération immédiate des données, de mises à jour automatiques, d’économie (paiement à l’usage, sans frais d’installation particulier par ailleurs), de partage simultanée des actions, applications, documents entre collaborateurs, de mobilité, de tranquillité (vos données ne peuvent plus se perdre)… Tout concourt, avec le Cloud Computing, à une meilleure compétitivité des entreprises. Quant aux questions (centrales) de la sécurité et de la confidentialité, elles se règlent en toute logique dans les solutions apportées par les prestataires (reconnus) qui, en Europe et bien sûr en France, ont bâti des offres en tous points similaires techniquement à ce qu’il est possible de trouver aux Etats-Unis et surtout, dans des cadres législatifs garants du respect des données de leurs clients. D’ailleurs, des chercheurs néerlandais (Institute for Information Law Faculty, Amsterdam) ont publié fin 2012 une étude* mettant en lumière l’intérêt de choisir exclusivement un fournisseur français (ou européen) pour externaliser le traitement des données personnelles ou des informations capitales pour l’entreprise. Il en va de la garantie de la confidentialité des données concernées.
Les rappels de la CNIL
Enfin, avant de signer un contrat avec un prestataire de Cloud computing, il est important de s’assurer que certains points y figurent nommément. Comme le rappelle à juste titre la CNIL, le contrat doit notamment préciser…
- les informations relatives aux traitements des données : respect des principes européens en matière de protection des données personnelles et de la loi Informatique et Libertés, existence d’un système de remontée des plaintes et des failles de sécurité …
- les garanties apportées : durée de conservation des données, restitution ou destruction des données en cas de résiliation du contrat à terme ou de façon anticipée, coopération avec les autorités compétentes en matière de protection des données…
- localisation et transfert : indication détaillée des pays hébergeant les données, protection assurée à l’étranger…
formalités auprès de la CNIL - sécurité et confidentialité : obligations du prestataire et des sous-traitants, politique de sécurité, intégrité des données, portabilité, continuité du service,…