Les éléments essentiels d’un contrat de Cloud Computing

08-04-2015

Cloud

Vous envisagez de recourir à un prestataire de Cloud Computing ? La CNIL a listé quelques points essentiels à vérifier avant de signer un contrat de Cloud Computing

Sécurité, confidentialité et disponibilité : les 3 piliers du Cloud Computing

Votre prestataire de Cloud Computing doit indiquer toutes les mesures de sécurité mises en œuvres afin de permettre la confidentialité des données :

  • Ceci concerne à la fois les mesures de sécurité physique, afin d’éviter que des intrus ne pénètrent dans les data center.
  • Mais aussi les mesures de chiffrement des données, ainsi que les différents procédés garantissant que le prestataire n’a pas accès aux données. Point à surveiller : les systèmes permettant de connaitre la traçabilité des actions effectuées.
  • Et toutes les autres mesures de sécurité classique sur un réseau : pare-feu, antivirus, détection d’intrusion, suivi des mises à jour, habilitations et authentification du personnel, etc.

Mais aussi les mesures de chiffrement des données, ainsi que les différents procédés garantissant que le prestataire n’a pas accès aux données. Point à surveiller : les systèmes permettant de connaitre la traçabilité des actions effectuées.Parallèlement, le prestataire de Cloud Computing, doit indiquer dans le contrat, toutes les mesures permettant la continuité de services et éventuellement, les possibilités de quitter son service pour un autre. Il faut donc accorder une vigilance plus spécifique :

  • Aux mesures portant sur la disponibilité, l’intégrité et la confidentialité des données
  • Aux mesures liées à la continuité de service, aux systèmes de sauvegarde (redondance des serveurs, etc.)
  • Enfin, les mesures permettant la réversibilité et la portabilité des données de façon aisée, dans un format structuré. Ceci afin de ne pas être dépendant technologiquement d’un prestataire.

Les informations relatives aux traitements des données

Si les services Cloud peuvent être mis en place dans des pays extérieurs à l’Union Européenne, il est important de vérifier :

  • Que les principes européens en matière de protection des données personnelles et la loi Informatique et Libertés soient respectés.
  • Qu’il existe des procédures simples permettant à tout individu concerné, de faire respecter les droits concernant ses informations (droit d’accès, de rectification et de suppression des données).
  • Que les destinataires de ces données soient identifiés
  • Que tous les moyens de traitement soient précisés, (Qu’en est-il par exemple des applications tierces, des sauvegardes qu’elles peuvent effectuer, etc.)
  • Qu’il existe un système de remontée des plaintes et des failles de sécurité

Dans le cas d’une sous-traitance, il est important :

  • de connaître l’organisation entre le prestataire et le sous-traitant,
  • de définir les responsabilités de l’ensemble des acteurs
  • et d’instaurer le report des obligations définies dans les contrats de sous-traitance.

Les garanties mises en œuvre par le prestataire de Cloud Computing

Le prestataire de service de Cloud Computing doit indiquer :

  • La durée de conservation des données collectées et ce qu’il en advient en cas de fin de contrat (récupération des données, transferts, dans quel format, quel délai ? La destruction des données sur les serveurs des prestataires est-elle effective ? etc.)
  • Les lieux où sont réellement localisés les données : quels sont les pays hébergeant les data center ? Est-ce qu’il y a des transferts de données vers d’autres pays et sous quelle forme ? Est-ce que le prestataire est assuré ?

Enfin, il faut que le prestataire de Cloud Computing accepte de coopérer avec les autorités de protection des données compétentes (la CNIL) et informe immédiatement le client dans le cas d’une requête provenant d’une autorité judiciaire.

Les formalités à effectuer auprès de la CNIL

Le client et le prestataire doivent déterminer qui aura à charge les différentes formalités à déclarer à la CNIL.

Vous souhaitez en savoir plus ? Retrouvez les formations de Startech Normandy autour du Cloud Computing

Source :