Confronter Cloud computing et conformité RGPD (Règlement général sur la protection des données) peut sembler paradoxal.
Tel était le thème du Petit-déjeuner débat du 11 avril 2018 animé par Eric Le Quellenec et Edouard Camoin, responsable de la sécurité des systèmes d’information (RSSI) de la société Outscale.
En effet, le RGPD impose de nouvelles règles contraignantes sur un territoire restreint quand le cloud computing a vocation à se développer à l’international avec un objectif de service toujours plus performant.
Cloud computing et conformité RGPD : de nombreuses obligations
Le RGPD impose de nombreuses obligations notamment en matière de sous-traitance. Il est donc important, dans un premier temps, d’écarter la responsabilité conjointe car les prestataires du cloud n’en veulent pas.
Concernant la clause de sous-traitance, celle-ci doit mentionner tous les points de l’article 28 du RGPD. Par ailleurs, il est nécessaire de mentionner :
- la forme des instructions du client ;
- l’arrêt des services par le sous-traitant pour une instruction illégale ;
- la mention d’une obligation de moyen ou de résultat ;
- le déplafonnement ou pas de la clause limitative de responsabilité ;
- un droit de résiliation du contrat pour refus d’un sous-traitant ultérieur par le client ;
- la mise en place d’un audit de manière indépendante et non pas automatique dès qu’une faille de sécurité apparaît ;
- les délais pour la destruction des données à la fin du contrat.
Marché cloud US centré et RGPD
L’entrée en vigueur du RGPD n’empêche pas de continuer à travailler avec les Etats-Unis. Cependant, la Cnil conseille de ne contracter qu’avec les prestataires qui s’auto-déclarent conformes au Privacy Shield.
Affaire Microsoft Ireland
Dans le cadre d’un trafic de stupéfiants, la justice américaine a souhaité avoir accès à des données personnelles qui étaient stockées dans les serveurs de Microsoft Irland. Mircosoft Irland ayant refusé toute fourniture de données en l’absence de décision de justice américaine et d’exequatur en Irlande, les Etats-Unis ont voté une nouvelle loi : le Cloud Act (Clarifying Lawful Overseas Use of Data Act).
D’après ce Cloud Act, les Etats-Unis peuvent imposer à toute personne physique ou morale américaine ou rattachée aux Etats-Unis, d’après la définition de la « US Person » du Cloud Act, de divulguer des informations dans le cadre d’une décision judiciaire et ce même si cette personne est localisée en dehors des Etats-Unis.
Le cloud souverain, une solution
Amazon étant le leader sur le marché du cloud, Outscale est une alternative qui propose une des infrastructures « multisouverains » (comprendre par régions) configurables sur mesure.
Concernant le transfert de données européennes aux Etats-Unis, sans revenir sur le Cloud Act, les contraintes sont nombreuses et les garanties faibles alors que concernant la conformité au Privacy Shield, il faut savoir que toute entreprise américaine peut être déclarée conforme si elle en paye le prix.
Eric Le Quellenec
Aurélie Alcaraz
Lexing Informatique conseil