Nos données personnelles sont partout sur internet, et peuvent être utilisées à très mauvais escient. Дмитрий Хрусталев-Григорьев , Unsplash , CC BY Par Antoine Boutet , INSA Lyon – Université de Lyon Nos données personnelles circulent sur Internet : nom, adresses, coordonnées bancaires ou de sécurité sociale, localisation en temps réel… et les affaires qui y sont liées se font une place pérenne dans le débat public, du scandale Facebook-Cambridge Analytica au vol de données à la Croix-Rouge , en passant par les récents blocages d’hôpitaux par des rançongiciels (ou ransomware ) et l’ interdiction de l’application TikTok pour les fonctionnaires de plusieurs pays . Mais si l’on sait de plus en plus que nos données personnelles sont « précieuses » et offrent des possibilités sans précédent en matière de commercialisation et d’innovation, il est parfois difficile de saisir ou d’expliquer pourquoi il faudrait les protéger. Quels sont les risques
Par Carole Maréchal, Secrétaire Générale & Responsable Juridique Senior & GRC (gouvernance, risques et conformité) de Telehouse France
Selon IDC, 8,6 millions de datacenters auront fleuri dans le monde à l’aube 2017. Usines des temps modernes, les datacenters abritent les données de nombreuses entreprises. Comment les protéger ? La sécurité des données est aujourd’hui un des enjeux majeurs des hébergeurs.
La sécurité des données
Panne, inondation, foudre ou piratage, un datacenter peut être soumis à de nombreux risques qui adressent in fine la même problématique : la protection des données du client. Il faut donc replacer l’usage client au cœur du sujet et s’intéresser à ses besoins. A ce titre, une cartographie des données est un atout majeur côté client pour analyser leur niveau de sensibilité, déterminer les niveaux de redondance et les engagements de services les plus adaptés. Il n’existe pas de solution unique : à chaque type de données son Cloud (public, privé, hybride), à chaque niveau de sensibilité des données (bancaires, industrielles, personnelles, défense nationale), son niveau de sécurité.
La transparence des contrats
Le contrat doit répondre à sa manière à ce besoin de sécurité des données en donnant des engagements contractuels au client et en l’informant régulièrement (obligation d’information y compris pre-contractuelle) de changements qui pourraient impacter la gouvernance ou la compliance du client. A ce titre, les points suivants doivent être abordés dans les contrats :
· Les niveaux d’engagement de service du fournisseur,
· La transparence sur la chaine des contrats, l’existence éventuelle de sous-traitants avec possibilité de sortie du contrat par le client en cas de refus de ces changements,
· La localisation des données et l’obligation d’information préalable du client en cas de changement en cours d’exécution, voire possibilité de résilier le contrat par le client en cas de refus de ce changement,
· L’intégrité, la confidentialité et la disponibilité des données,
· La réversibilité et la destruction des données le cas échéant en fin de contrat
· Une clause d’audit.
A cela s’ajoutent les nouvelles obligations issues de la réforme du droit des obligations entrée en vigueur le 1er octobre 2016 et le Règlement Européen sur la protection des données qui entrera en vigueur en 2018, notamment :
· L’obligation d’information pré-contractuelle généralisée et insérée dans le code civil,
· L’obligation à partir de 2018 de déclarer tous les violations de sécurité impactant les données dans les 72 heures (à compter de la connaissance de l’évènement), l’obligation d’introduire la notion de « privacy by design » (prise en compte des enjeux liés à la protection des données dès la conception) et du principe d’ « accountability » (capacité du responsable de traitement à démontrer le respect effectif du cadre légal en matière de protection des données) dans les services Cloud.
Adresser les problématiques de sécurité des données et de transparence dans les contrats, c’est répondre à l’enjeu de la confiance sur le marché du Cloud, enjeu primordial à l’échelle du monde digital.