
CLOUD ET PME : DONNÉES DÉLOCALISÉES, RISQUES LÉGAUX (RGPD ET AUTRES)
DÉFINITION DE BASE DU CLOUD ET DE SON UTILISATION
C’est une délocalisation de l’infrastructure informatique ou du stockage de serveurs informatiques distants par l’intermédiaire d’un réseau, généralement internet.
C’est un accès à la puissance de calcul ou de stockage de serveurs informatiques (ordinateurs qui exécutent des opérations à la demande d’autres ordinateurs) distants par l’intermédiaire d’une liaison Internet sécurisée.
Il permet d’accéder à des services avec une administration simplifiée.
Ces serveurs sont loués à la demande, le plus souvent par tranche d’utilisation selon des critères techniques mais également au forfait.
Exemples de services courants : Dropbox, Google Drive, Microsoft Azure, Amazon Web service …
Il existe différents types de configurations CLOUD
- CLOUD PRIVÉ avec usage exclusif par une seule entreprise, détenu, géré et opéré par l’entreprise ou un tiers. Il peut se trouver dans l’entreprise ou être délocalisé.
- CLOUD PUBLIC ouvert à tous ou détenu et géré par une entreprise, une organisation, voire un gouvernement.
- A noter qu’une combinaison de ces structures est aussi possible
Concrètement, de plus en plus d’entreprises utilisent des :
APPLICATIONS SaaS (ou logiciels en tant que services)
C’est une application qui est exécutée non pas depuis l’ordinateur d’un usager, mais depuis un serveur distant auquel la machine accède via un navigateur internet (par exemple Firefox, Internet Explorer)
Les clients n’achètent pas une licence permanente pour l’application, ils la louent sur une base mensuelle ou à l’acte, en fonction de leurs besoins.
POUR
- La facturation
- La relation client (CRM ou Customer Relationship Management)
- Le suivi des ventes
- La planification
- Les communications (courrier électronique et messagerie instantanée) …
POUR INFORMATION IL EXISTE AUSSI 2 AUTRES FORMES DE SERVICE SUR LE CLOUD
- PaaS ou Plateform as a Service qui s’adresse en particulier aux développeurs pour concevoir et déployer leurs applications et services.
- IaaS ou Infrastructure as a Service où le système d’exploitation et les applications sont installés par les clients. Ils se connectent et travaillent comme s’ils étaient sur un ordinateur classique.
PME/TPE, LES QUESTIONS À VOUS POSER AVANT DE CHOISIR LE CLOUD
Il est conseillé de se faire aider par un spécialiste au courant des contraintes juridiques sur la gestion des données.
NE VOUS PRÉCIPITEZ PAS DANS LE CHOIX DE VOTRE CLOUD
QUELQUES POINTS À BIEN CONSIDÉRER AVANT DE S’ENGAGER
- À quelle fréquence nettoyez-vous les serveurs des comptes inactifs ?
- Durée de conservation des données limitée et raisonnable au regard des finalités pour lesquelles les données ont été collectées.
Attention au respect de la conformité aux normes légales nationales et européennes auxquelles sont soumis les fournisseurs de service cloud pour leurs relations avec les entreprises en Europe.
Quel type d’authentification est utilisée ?
Il existe 3 types d’identification :
- Simple ou par un seul facteur comme un mot de passe
- Forte par 2 facteurs ou plus (mot de passe, code unique, smartphone, empreinte digitale…)
- Unique (SSO ou single Sign-On) pour accéder à plusieurs services
Qui peut accéder à mes données ?
Certaines données telles le nom de l’administrateur principal ou les coordonnées du contractant doivent être accessibles à votre fournisseur.
Les données vitales de votre activité (listing clients, fournisseurs, employées…) doivent être protégées pour maintenir votre activité et pour vous conformer au principe de protection dès la conception ( « Security by design » , principe important du RGPD, art 32)
Où mes données seront-elles physiquement stockées ?
Les ordinateurs (serveurs) sur lesquels vos données sont gardées se trouvent souvent à l’étranger.
Vérifiez qu’ils se situent dans un pays autorisé par les règles européennes si vous transférez des données personnelles. (RGPD art 44 )
CAS PARTICULIER : DONNÉES PERSONNELLES, RESPONSABILITÉS DU CHEF D’ENTREPRISE
EN TANT QUE CHEF D’ENTREPRISE, VOUS ÊTES RESPONSABLE ET RISQUEZ GROS
» Cinq ans d’emprisonnement et plus de 300 000 euros d’amende « (Responsabilité pénale, art 226-17 Code pénal ) si vous ne respectez pas la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, (art 40 et 41)
“I.- Afin de démontrer que le traitement est effectué conformément au présent titre, le responsable de traitement et son sous-traitant mettent en œuvre les mesures prévues aux 1 et 2 des articles 24 et 25 du règlement (UE) 2016/679 du 27 avril 2016 et celles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel mentionnées au I de l’article 6 de la présente loi.(…)“
D’autres dispositions vous engagent :
- Au pénal
Art 226-13 Code pénal : prévoit 1 an d’emprisonnement et 15 000 € d’amende en cas de la « révélation d’une information à caractère secret «
- Au civil
Art 1231-1 Code civil : Le débiteur est condamné, s’il y a lieu, au paiement de dommages et intérêts soit à raison de l’inexécution de l’obligation, soit à raison du retard dans l’exécution, s’il ne justifie pas que l’exécution a été empêchée par la force majeure. (accents ajoutés par l’auteure)
Vous risquez une condamnation pour les dommages causés par votre manque éventuel de maîtrise du risque informatique puisque vous avez l’obligation légale d’assurer la sécurité des données personnelles sous le RGPD
Art 32 RGPD Sécurité des traitements dès la conception
“1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…) “
CONSÉQUENCES
Vous devez assurer la sécurité des données personnelles gérées par votre entreprise (employés, clients…) et si vous avez sous-traité cette fonction, vous êtes responsable d’assurer que votre sous-traitant remplisse ces mêmes obligations.
ESSENTIEL : Vous devez prouver votre diligence concernant les flux de données personnelles hors de l’Union Européenne (UE).
Les flux de données personnelles sont interdits vers certains pays jugés peu respectueux des normes de protection de vie privée.
ATTENTION NOUVELLE JURISPRUDENCE QUI INVALIDE LE PRIVACY SHIELD LE 16 JUILLET 2020 – DÉCISION DE LA CJUE DITE SCHREMS 2
mais
vous devez vérifier que les données ne sont pas transférées à des sous-contractants de pays interdits par l’UE.
- Par ailleurs, vous êtes soumis à des normes de sécurité.
La CNIL (Commission Nationale Informatique et Libertés) et L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’information) publient des guides et recommandations dans ce sens.
L’Union européenne a signé un accord sur le transfert des données avec les États-Unis, Le Privacy Shield en anglais ATTENTION INVALIDATION DU PRIVACY SHIELD LE 16/07/2020 VOIR MON ARTICLE https://mementosafe.com/que-faire-lnvalidation-privacyshield-schrems2/
AUTRES QUESTIONS À CONSIDÉRER POUR LE CHOIX DE VOTRE CLOUD
Quel est le niveau de chiffrement ?
Vous-même chiffrez les documents avant de les transférer sur votre cloud.
- Si une clé est utilisée, est-elle unique à chaque utilisateur ou partagée ?
- Comment sont effectuées les sauvegardes ?
- Quelles précautions ont été prises pour la protection physique des serveurs (risque de foudre, incendie, catastrophes naturelles…)
Bien sûr, le cloud ne doit pas être le seul endroit où votre société conserve ses informations.
Le risque 0 n’existant pas, il est nécessaire de mitiger votre risque.
CONCLUSION
Pour les PME et TPE, un abonnement au cloud peut être rentable pour :
- Un stockage sécurisé des données de plus en plus importantes en quantité et en qualité pour l’activité.
Ces données ont une grande valeur. Le cloud permet d’y accéder de tout poste connecté autorisé.
- L’analyse et le traitement des données diverse de l’activité de l’entreprise, combinés au Big Data (la très grande quantité de données recueillies sur internet), est de plus en plus à la portée des PME, le coût d’accès ne cessant de baisser.
- Le cloud permet le partage et la modification des documents en temps réel pour tous les acteurs autorisés de l’entreprise
- Comme indiqué plus haut, il permet d’accéder à des logiciels loués et adaptés aux besoins précis de l’entreprise
Avant de vous engager, prenez le temps de vérifier l’offre, surtout quant aux responsabilités en cas de perte ou d’atteintes à vos données.