La question de la sécurité des informations personnelles identifiables traitées dans les services de  Cloud computing a, très récemment, appelé à l’adoption de la première norme internationale sur la protection des données personnelles dans le cloud : la norme ISO/IEC 27018.Cette nouvelle norme a été approuvée par les organismes de normalisation UIT-T et ISO..
sécurité juridique du cloud

Plus précisément, la norme ISO 27018 constitue un instrument d’autorégulation privé. Elle complètera les législations françaises et européennes relatives à la protection des données personnelles dans les services de Cloud computing. La mise en place de cette norme s’inscrit dans l’esprit du projet de règlement européen sur la protection des données à caractère personnel. Ce dernier s’engage vers le renforcement de la responsabilisation des responsables de traitements
Enjeux principaux de la norme ISO 27018
Le marché du Cloud computing ou de l’informatique en nuage est un marché énorme.
Selon le cabinet Gartner, le marché connaît un succès tel qu’il progressera de 18,5% pour atteindre 131 milliards de dollars USD, en 2017. Pourtant, la question de la sécurité des données à caractère personnel dans les services de Cloud computing reste une question délicate pour les responsables IT.
Une entreprise qui utilise un service de Cloud computing reste responsable du  traitement des informations personnelles identifiables qu’elle effectue.  La norme permet de renforcer la sécurité des données, garantit la transparence et permet aux fournisseurs de cloud public de se conformer à leurs obligations réglementaires. Elle permet également de sécuriser les relations contractuelles entre les responsables de traitements et leurs sous-traitants qui traitent des données lors de la conclusion du contrat de Cloud.
Un outil au service de la protection des données personnelles
La norme ISO 27018 s’attache à ce que les prestataires de service cloud se conforment à la réglementation en matière de protection des données personnelles.

  • Elle prévoit notamment qu’il est obligatoire d’obtenir le consentement exprès et préalable des personnes qui utilisent le service si le prestataire de services de Cloud souhaite traiter les données personnelles de son client à des fins publicitaires et marketing.
  • En matière de transparence, il est prévu que les opérateurs de Cloud s’engagent à être transparents concernant le lieu de stockage des données ainsi que sur l’identité des sous-traitants (s’il y en a).
  • L’obligation de confidentialité des données personnelles doit être garantie en concluant des accords de confidentialité avec le personnel chargé du traitement des données. Les opérateurs s’engagent également à former ses salariés.
  • En cas de failles de sécurité, les prestataires ont l’obligation de le notifier à leurs clients et aux autorités.
  • S’agissant de l’issue du contrat de prestation de service cloud, les prestataires s’engagent à avoir une politique en matière de transfert ou de destruction des données personnelles.

La conformité à la norme ISO 27018 peut être contrôlée et certifiée. Les utilisateurs peuvent ainsi s’assurer à travers cette certification que le prestataire réponde aux exigences de sécurité mises en place à leurs égards par le cadre légal de protection des données personnelles.
Inspirer la confiance pour la migration des données personnelles vers le Cloud
L’établissement d’un climat de confiance est primordial pour inciter à l’utilisation d’une application basée dans le nuage. Mais comment vérifier que le fournisseur de services Cloud est digne de confiance?
L’une des réponses à cette question est la conformité des fournisseurs de service Cloud à la norme ISO 27018.
Cette norme est non seulement un élément de différenciation pour les entreprises, comme l’illustre l’adoption récente par Microsoft de la norme ISO 27018 pour la sécurisation de son service cloud ; mais elle est également un argument efficace qui devrait réduire les réserves qui pouvaient prendre le pas sur des projets de migration vers le cloud. En effet, ayant été établit pour assurer un haut niveau de protection des données personnelles stockées sur le cloud, en responsabilisant les prestataires de services cloud,  cette norme permettrait de restaurer la confiance des utilisateurs.
Effets juridiques de la norme ISO 27018
Cette norme n’a pas de caractère juridique contraignant, elle n’est ainsi pas opposable en justice. Elle ne constitue qu’un recueil de recommandations et de bonnes pratiques. Cependant, elle est une référence pour les acteurs du Cloud, non seulement au niveau technique, mais également au niveau commercial.
Dans les contrats de Cloud computing, en l’absence de clause spécifique faisant référence à cette norme, elle n’est pas opposable entre les parties. Il est cependant possible d’y faire référence car elle constitue « l’état de l’art » en la matière. Il est conseillé de prévoir une clause spécifique qui y fait référence dans le contrat afin de donner une valeur contraignante à la norme. Le prévoir dans le contrat permet de réduire l’aléa juridique au cas où le contrat est soumis à une législation hors UE. Le contrat deviendra ainsi l’outil pour répondre aux demandes et attentes des autorités de contrôle de L’Union Européenne.

ando_Randrianjafisamindrakotroka Ando Randrianjafisamindrakotroka
Master 2 Gestion et Droit de l’économie numérique

A propos de Ando RANDRIANJAFISAMINDRAKOTROKA

Étiquettes : , , ,