RGPD et Cloud Computing – Défis et opportunités

Le nouveau Règlement général sur la protection des données (RGPD) de l'UE entrera en vigueur le 25 mai 2018. Par conséquent, les entreprises de toutes tailles doivent examiner les changements introduits par le RGPD et identifier les implications organisationnelles et techniques qui leur sont propres. À moins d'un mois de l'échéance imposée, de nombreuses entreprises ne sont toujours pas considérées comme « prêtes pour le RGPD ». Beaucoup d'entre elles se démènent pour mettre en œuvre les bonnes politiques de sécurité informatique et de confidentialité. Le cloud computing et un niveau accru de protection des données devraient aller de pair. Mis à part quelques inquiétudes initiales, les nouveaux défis réglementaires pourraient potentiellement ouvrir de nouvelles opportunités pour les fournisseurs de cloud comme pour les utilisateurs du cloud.

TL;DR ? Passer aux six critères clés…

Introduction

La protection et la sécurité des données sont de plus en plus sous les projecteurs dans le cadre de la numérisation. Elles sont considérées comme une compétence clé pour s'engager avec succès sur la voie de la transformation numérique.

Le contexte et l'objectif du RGPD sont l'harmonisation entre les pays membres de l'UE, afin qu'une loi uniforme sur la protection des données soit valable pour la zone UE et qu'en même temps la position juridique des personnes concernées soit améliorée. Voici quelques-uns des changements les plus importants à la lumière du RGPD :

• Les amendes pour infractions sont considérablement augmentées – jusqu'à 2 ou 4 % du chiffre d'affaires annuel, selon la gravité de l'infraction.
• Les droits des personnes concernées sont considérablement renforcés par les exigences de transparence et d'information.
• En plus des obligations bien connues concernant la protection des données, de nouvelles obligations sont introduites, par exemple pour le paramétrage par défaut respectueux de la vie privée des appareils électroniques.
• Le nouveau règlement s'applique également aux entreprises qui ne sont pas basées dans l'UE mais qui collectent des données auprès de citoyens de l'UE.

Les défis

Les décideurs d'entreprise et les experts en sécurité se demandent maintenant à quoi ressembleront les nouvelles réglementations du RGPD. Et comment ils doivent préparer et mener la mise en œuvre du RGPD. De plus, la question de la “conformité au RGPD” résonne chez les responsables de la sécurité des systèmes d'information (RSSI).

Un grand nombre de décideurs d'entreprise penseront qu'il s'agit d'une “énième nouvelle réglementation de Bruxelles que personne ne remarquera jamais”. Cependant, le RGPD a de bonnes raisons d'être pris en compte. Avant tout, les modifications réglementaires renforceront les droits de toutes les personnes concernées. Cela peut entraîner d'importantes sanctions financières en cas de violations de données affectant les citoyens de l'UE à l'avenir.

Outre un préjudice matériel potentiel, un dommage potentiel à la réputation de l'entreprise est également d'une grande importance. Les médias cherchent à médiatiser les problèmes de confidentialité. C'est un avertissement pour toutes les entreprises qui n'ont pas encore réuni l'expertise nécessaire pour se conformer aux nouvelles exigences. En effet, avec l'entrée en vigueur du RGPD en mai 2018, les amendes seront considérablement augmentées. Avec des amendes pouvant atteindre 20 millions d'euros ou jusqu'à 4 % du chiffre d'affaires annuel, le sujet du RGPD a attiré l'attention de la direction des entreprises de toutes tailles.

Le RGPD dans le contexte du cloud computing

Les nouvelles réglementations concernant la protection des données” sont à la fois un défi et une opportunité. Un indicateur clé de la “conformité au RGPD” est l'état d'esprit en matière de protection des données au sein des entreprises et le niveau de protection des données fourni, ce qui signifie quelles charges de travail critiques pour l'entreprise, où et comment elles fonctionnent sur les infrastructures cloud.

Pour de nombreuses entreprises, le RGPD est un projet complexe. Les défis juridiques, techniques et organisationnels posés par le RGPD n'ont jusqu'à présent été que partiellement surmontés. En particulier dans le cas de grands projets de migration dans l'environnement du cloud computing, dans l'environnement de l'IoT ou dans des scénarios de big data, l'activité quotidienne laisse peu de temps pour se soucier de la mise en œuvre du RGPD. Cependant, outre de nombreux défis de mise en œuvre, le RGPD offre également l'opportunité de se distinguer en redéfinissant et en mettant en œuvre de nouvelles stratégies de protection des données et de sécurité informatique, en particulier dans le contexte du cloud computing.

Par conséquent, le sujet du cloud computing soulève de nombreuses questions dans le contexte du RGPD. En termes techniques, le cloud computing est un contrat de traitement de données. Par conséquent, l'utilisateur du cloud doit être pleinement conscient de la manière dont le fournisseur traite ses données à tout moment. Les fournisseurs de cloud et les fournisseurs de ressources ne font que soutenir leurs fonctions et dépendent des exigences légales de l'autorité responsable. En d'autres termes, les fournisseurs de cloud et les entreprises doivent tous deux répondre aux exigences légales minimales pour chaque service cloud en vertu du RGPD.

Comment tirer parti des défis potentiels derrière le RGPD ? Il y a deux questions principales. D'une part, les entreprises doivent savoir à quels fournisseurs de cloud elles peuvent faire confiance. D'autre part, les entreprises doivent savoir quelles mesures techniques et organisationnelles elles doivent prendre afin d'être “conformes au RGPD”.

Opportunités et obligations pour les RSSI – le bon partenaire cloud

Le bon partenaire cloud peut être un partenaire d'entraînement précieux à la lumière du RGPD. Car, grâce à son expertise en matière de conformité et de sécurité, il peut aider votre entreprise à devenir “prête pour le RGPD”.

Si vous appliquez une stratégie multi-cloud, vous devez évaluer les politiques de protection des données de chaque fournisseur de cloud. Les approches hybrides et multi-cloud sont beaucoup plus complexes à coordonner et peuvent donc présenter un risque plus élevé pour la protection des données. La multitude de fournisseurs de cloud différents, en particulier dans l'environnement du cloud public, rend difficile pour les RSSI de garantir la conformité au RGPD. La conformité au RGPD n'est forte que de son maillon le plus faible. For exemple, une violation ou une non-conformité de la part d'un seul fournisseur de cloud au sein d'un déploiement multi-cloud peut compromettre tous les efforts visant à assurer une conformité réussie au RGPD.

Six critères clés

Ci-dessous, nous avons répertorié un ensemble rapide de critères que vous pouvez utiliser pour évaluer vos partenaires cloud potentiels (en termes de conformité au RGPD) :

Sécurité et confidentialité

La première étape consiste à évaluer dans quelle mesure le fournisseur est capable de respecter vos exigences en matière de sécurité informatique. Un moyen simple pour les fournisseurs de cloud de démontrer leur conformité à la sécurité et au « Privacy by Design » est d'être certifiés ISO 27001 ou ISO 27018. Dans le cas contraire, ils peuvent le démontrer par le biais d'une analyse d'impact relative à la protection des données (AIPD) et/ou d'une évaluation de la sécurité.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformité de CloudSigma

CloudSigma est certifié ISO 27001, garantissant que tous les aspects de notre infrastructure et de nos services utilisés pour fournir et gérer votre cloud sont conformes à la norme de certification ISO la plus élevée en matière de sécurité et de confidentialité des données.
[/vc_column] [/vc_row]

Gestion des risques

Les entreprises qui travaillent avec un large éventail de données critiques doivent fournir des garanties suffisantes (conformément à l'article 28 du règlement RGPD). Ces garanties doivent prouver que le responsable du traitement utilise :

“Uniquement des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Et de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.”

Par conséquent, vous devez vous assurer que votre fournisseur de cloud effectue des audits réguliers pour examen. De même, une notation et une évaluation des mesures techniques et organisationnelles pour garantir la sécurité du traitement. De plus, vous devez vous assurer que le partenaire cloud accorde le droit d'audit à ses clients.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformité CloudSigma

En tant que client de n'importe quelle plateforme cloud CloudSigma, vous êtes officiellement autorisé à effectuer des audits de sécurité, d'opérations et de processus en relation avec les services que nous vous fournissons.
[/vc_column] [/vc_row]

Localisation des données

Vous devriez toujours connaître l'emplacement général de vos données. Pourtant, tous les partenaires cloud ne vous offrent pas la transparence nécessaire concernant les emplacements cloud. Notez que le siège social du fournisseur de cloud n'est pas nécessairement le lieu d'hébergement de vos données. De plus, certaines entreprises peuvent déplacer vos données entre différents emplacements cloud en arrière-plan, sans vous en informer. Cela peut faire partie des conditions d'utilisation du partenaire cloud. Enfin et surtout, les fournisseurs de services cloud peuvent stocker des données dans plusieurs emplacements. Et certains d'entre eux peuvent se trouver en dehors de l'EEE. En tant que responsable du traitement, vous devez définir une stratégie cloud multi-pays pour respecter les exigences d'adéquation ainsi que les lois sur la localisation des données.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformité CloudSigma

Dans le cadre de nos conditions d'utilisation, CloudSigma est structuré de manière à séparer légalement les emplacements cloud par pays. Par conséquent, chaque emplacement est soumis uniquement au cadre juridique local. Tout en offrant une solution cloud 100 % locale pour les clients finaux.
Les emplacements ne sont pas non plus techniquement interconnectés et CloudSigma garantit la plus grande transparence quant à la localisation exacte des données, qui ne seront jamais transférées entre les emplacements cloud.
[/vc_column] [/vc_row]

Fonctionnalités de sécurité

Le RGPD exige une multitude de garanties de protection des données, du chiffrement au repos et en transit aux contrôles d'accès, en passant par la pseudonymisation et l'anonymisation des données. Pour y parvenir, choisissez un partenaire cloud qui propose un choix suffisant de fonctionnalités de sécurité. Par exemple – sauvegarde, chiffrement, politiques de contrôle d'accès et autres. Si votre partenaire cloud ne dispose pas d'une telle politique, vous devez vous occuper vous-même des fonctionnalités de sécurité.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformité CloudSigma

CloudSigma s'efforce d'offrir un niveau élevé de sécurité et de confidentialité à ses clients grâce à une sélection de fonctionnalités et d'outils leur permettant de sécuriser les différents aspects de leur informatique. Sur notre blog, les clients peuvent trouver un certain nombre d'articles décrivant les différentes fonctionnalités de sécurité telles que le chiffrement au niveau du démarrage, les politiques de contrôle d'accès, la vérification en deux étapes, les clés SSH et d'autres.
[/vc_column] [/vc_row]

Ma

Propriété des données

En tant que client d'un fournisseur de cloud, vous êtes le Responsable du traitement (Data Controller). Cela signifie que vous devez conserver le contrôle et la propriété de vos propres données. Vous pouvez y parvenir en signant un Accord de traitement des données (DPA) avec votre partenaire cloud afin de garantir que ce dernier respecte les exigences de protection de la confidentialité des données conformément au RGPD. Vous pouvez soit rédiger le vôtre, soit vérifier si votre partenaire cloud a créé un DPA dans le cadre standard de ses Conditions de service. L'avantage d'utiliser le vôtre est que vous pouvez spécifier le type de données personnelles et de données « spéciales » collectées. Que vous utilisiez le DPA de votre partenaire ou le vôtre, assurez-vous que les conditions stipulent clairement que le Responsable du traitement (c'est-à-dire vous) est propriétaire des données et que le Sous-traitant (c'est-à-dire le partenaire cloud) ne partagera pas les données avec des tiers.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformité CloudSigma

CloudSigma a créé un Accord de traitement des données (DPA), qui permet aux clients de se conformer à leurs obligations au titre du RGPD. Nous avons mis à jour les parties concernées de nos Conditions de service et de notre Politique de confidentialité pour faire référence au DPA et nous conformer au RGPD.
De plus, notre Politique de confidentialité est un document très transparent décrivant l'ensemble de la collecte, du stockage et de l'utilisation des données des clients dans le cloud.
Les clients conservent un accès exclusif et complet à leurs données au niveau du système de fichiers. Le système CloudSigma n'a pas d'accès ni de visibilité à l'intérieur des machines virtuelles (VM) ou des disques. Le système de gestion du cloud de CloudSigma met en œuvre un cadre de contrôle d'accès limitant les droits et l'accès des employés, et enregistre les actions entreprises sur le système.
[/vc_column] [/vc_row]

Suppression des données

Vous devez vous assurer qu'une fois votre contrat avec le partenaire cloud terminé, vous pouvez télécharger/effacer les données. Et également que le partenaire cloud supprimera les données une fois que vous aurez résilié le service. Certains fournisseurs de cloud (en particulier lorsqu'ils sont certifiés ISO) utilisent une politique standardisée pour la suppression des données après l'expiration du contrat. Essayez de savoir combien de temps il faut au fournisseur de cloud pour supprimer vos données.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformité CloudSigma

Chez CloudSigma, le système gère automatiquement toutes les données des clients. Cela inclut la suppression des disques, la suppression planifiée des comptes obsolètes, etc.
CloudSigma ne fait aucune copie des données des disques des clients. L'unique copie se trouve dans notre cloud, à moins que le client ne choisisse de cloner le disque vers un autre système de stockage.
De plus, dans le cadre de notre Accord de traitement des données, vous pouvez exiger la rectification, la suppression, le blocage et/ou la mise à disposition de vos données pendant ou après la fin de votre utilisation du service.
[/vc_column] [/vc_row]

Alors, à quel point votre propre entreprise est-elle “prête pour le RGPD” aujourd'hui ?

N'hésitez pas à nous contacter à l'adresse dpo (at) cloudsigma.com pour plus d'informations sur CloudSigma et le RGPD.

Sources :

• Crisp Research
• Cloud Industry Forum
• BrightTALK
• ScienceDirect