Le Cloud Computing dans le viseur de la CNIL
La dispersion des données dans des nuages pose de nombreux soucis. La Commission Nationale Informatique et Liberté vient d'émettre ses recommandations à ce sujet.
La Commission Nationale Informatique et Liberté (CNIL) s'inquiète depuis longtemps des effets du développement du Cloud Computing. Elle vient de diffuser un document de synthèse sur ses recommandations aux entreprises en la matière. Celles-ci ont été édictées après une consultation publique débutée fin 2011.
La première recommandation relève d'un bon sens souvent négligé : il convient que les entreprises déterminent formellement les risques pris en choisissant tel ou tel prestataire pour lui confier tel ou tel type de données et de traitements.
La CNIL se préoccupe bien sûr surtout des transferts de données personnelles sur des serveurs situés à l'étranger ou dans des entreprises étrangères, relevant par exemple de lois américaines. Un risque comme l'indique l'avocat Etienne papin, traitant du le Patriot Act pose de véritables soucis qu'il ne faut ni négliger ni exagérer.
Photo : Isabelle Falque-Pierrotin, présidente de la CNIL
Cependant, cet export sauvage de données n'est pas le seul risque. La perte de la capacité de gouvernance ou l'isolement insuffisant des données de différents clients d'un même service sont également préoccupants.
Malgré tout, la CNIL se réjouit que la sécurité des services de Cloud Computing est généralement supérieure à ce qu'une PME est capable d'assurer.
Aux cinq recommandations de base, la CNIL joint dans son document des « éléments essentiels devant figurer dans un contrat de prestation de services de cloud computing ».
