Le cloud computing a littéralement métamorphosé l’organisation des entreprises, en permettant un accès aux données et applications SaaS plus facile et mieux organisé. Toutefois, toute pièce a son revers, et le cloud possède aussi quelques inconvénients, notamment au regard de la gouvernance et de la sécurisation des données. C’est d’ailleurs pour cela qu’ont été récemment mises en place différentes réglementations visant à mieux encadrer l’aspect sécuritaire des données hébergées dans le Cloud. Mais quelles sont ces réglementations et quels sont leurs objectifs ?
Le cloud : nouveaux enjeux, nouveaux risques
Pour de nombreuses entreprises, le cloud computing représente une aubaine, d’une part parce qu’il permet de faire des économies sur l’achat de matériels et de licences, et d’autre part parce qu’il simplifie les process et l’organisation. En améliorant l’accessibilité aux données et aux applications SaaS, le cloud permet en effet de favoriser le travail à distance et une meilleure collaboration entre les différentes équipes. Simple et rapide à mettre en place, il permet aux entreprises d’accéder à des outils qui leur étaient jusque-là impossible d’acheter. Et là où la sécurité posait autrefois problème, elle a été largement améliorée ces dernières années. À tel point que le cloud est désormais utilisé pour protéger les données et garantir la sécurité des outils logiciels. Néanmoins, des failles existent toujours, d’où la nécessité pour de nombreux pays d’adopter de nouvelles réglementations. Leur objectif ? Toujours mieux sécuriser les données hébergées dans le cloud.
Le RGPD : encadrement des données personnelles dans l’UE
Le RGPD, ou Règlement Général sur la Protection des Données, vise à encadrer le traitement des données personnelles partout dans l’Union Européenne. Peu importe sa taille, sa nationalité et son secteur d’activité, chaque organisme est concerné par le RGPD dès lors qu’il manipule des données personnelles stockées dans le cloud. Ce règlement européen, entré en vigueur le 1er juin 2019, responsabilise les organismes privés et publics collectant et traitant des données personnelles.
Les règles du RGPD pour les entreprises
Le RGPD a mis en place un certain nombre de règles à respecter par les entreprises collectant et traitant leurs propres données :
- La transparence du traitement des données : l’utilisation faite des données doit être clairement indiquée aux usagers.
- La collecte maîtrisée des données : seules les données indispensables au bon fonctionnement de l’entreprise doivent être collectées.
- La durée de conservation : la durée de conservation doit être limitée dans le temps.
- La sécurisation des données : les données stockées dans le cloud doivent être sécurisées via des outils performants.
Les règles du RGPD pour les sous-traitants
Les sous-traitants traitant des données personnelles pour le compte d’entreprises doivent eux aussi se conformer au RGPD. Les agences de communication et de marketing, les sociétés de sécurité informatique, les hébergeurs, les sociétés de maintenance, les intégrateurs de logiciel et les entreprises de service numérique sont notamment concernés. Tous doivent :
- Prodiguer des conseils auprès de leurs clients sur la façon dont les données sont collectées et traitées ;
- Tenir un registre des activités effectuées ;
- Désigner un délégué à la protection des données (dans certains cas seulement) ;
- etc.
La mise en place du Règlement Général sur la Protection des Données a permis d’offrir un cadre juridique précieux aux professionnels, et d’harmoniser les règles en matière de protection de données dans toute l’Union Européenne. Toutes les précisions sont disponibles sur le site internet de la CNIL.
Le Cloud Act : encadrement des données personnelles aux Etats-Unis
Créé aux Etats-Unis en 2018, le Cloud Act correspond à un ensemble de lois s’opposant directement aux lois énoncées dans le RGPD. Alors que l’objectif du second est de protéger la vie privée des consommateurs via un ensemble de mesures encadrant la collecte et le traitement des données personnelles, le Cloud Act permet aux Etats-Unis d’exploiter les données personnelles d’individus étrangers librement. Toutes les entreprises de nationalité américaine ou basées sur le sol américain sont concernées. Les lois inscrites dans le Cloud Act permettent d’accéder librement aux données personnelles stockées aux Etats-Unis ainsi qu’à l’étranger. La protection de la vie privée et des données personnelles des consommateurs est donc entièrement remise en cause.
Concrètement, le Cloud Act permet que n’importe quel organisme puisse transférer des données personnelles aux autorités américaines sans délais et sans opposition, et sans même que la personne concernée par les données n’en soit avertie.
Parce que le Cloud Act agit directement en opposition avec le règlement européen, plusieurs alternatives ont été mises en place dans la plupart des pays de l’Union Européenne, dans l’objectif de protéger les données de leurs utilisateurs. Sont notamment utilisés le chiffrement des données et le recours à des prestataires non concernés par le Cloud Act.
Les réglementations autour des données hébergées dans le Cloud par secteurs
La santé
Les données de Santé sont en particulier sujettes, à raison, à des réglementations très contraignantes. La réglementation européenne implique que toutes les données stockées recueillies à l’occasion d’activités diverses telles que des soins, un suivi ou un diagnostic doivent être certifiées ou agrées.
La finance
Le monde de la finance s’est longtemps tenu à l’écart des services de cloud public, craignant des failles de sécurité. Il faut dire que, tout comme la santé, les données personnelles en lien avec la finance sont des données sensibles. Aujourd’hui, de plus en plus de banques s’aventurent dans le stockage de leurs données sur le cloud, en conformité avec la réglementation bancaire. Elles utilisent pour cela une technique d’hybridation, visant à choisir méticuleusement quelles données sont stockées dans le cloud et quelles données sont stockées de manière traditionnelle.
Hébergement de données personnelles dans le cloud : des réglementations en pleine mutation
Les réglementations liées à l’hébergement de données personnelles dans le cloud sont en constante évolution et pour cause, les risques évoluent eux aussi. À l’été 2020, la Commission européenne et les CNIL européennes ont publié des documents visant à pousser les entreprises à mieux choisir les services cloud. Désormais, le recours aux services cloud de fournisseurs américains est remis en cause et pourrait bientôt devenir illégal. La mise en place de plusieurs mesures de sécurité pourrait devenir une nouvelle condition pour que les entreprises aient le droit de stocker leurs données dans le cloud. Ségrégation des données entre différents fournisseurs cloud provenant de pays différents, encryptage des données à travers des techniques complexes, pseudonymisation des données… Des mesures délicates à mettre en place mais qui pourraient bientôt devenir incontournables pour lutter contre les problèmes de cybercriminalité, entre autres.
