Centre de ressources

Accueil Centre de ressources Vos données personnelles en sécurité dans le Cloud

Vos données personnelles en sécurité dans le Cloud

Les données à caractère personnel font l’objet d’une protection rapprochée. Avant de les migrer dans le Cloud, il est primordial de s’assurer que le fournisseur offre  des garanties spécifiques (sécurités, confidentialité..). Mais quelles sont ces mesures à mettre en œuvre ? De la cybersécurité à la transparence sur la localisation des données, que peuvent exiger les entreprises et organismes publiques ?

 

Les "données à caractère personnel" font l'objet d'un régime protecteur, dont les grands principes sont posés par la Loi Informatique et Libertés (http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460) et la Directive européenne 95/46/CE (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML). En application de ces textes, l'entreprise ou l'organisme public qui collecte, stocke et utilise des informations identifiantes sur les personnes (nom, adresse, email, adresse IP, numéro de compte bancaire, photo, empreinte digitale) doit respecter un certains nombres d'obligations. C'est par exemple de déclarer les fichiers sur ses clients et employés à la Commission Nationale de l'Informatique et des Libertés (CNIL), d'informer les personnes concernées de la nature de ces fichiers et de leurs droits (accès, modification, opposition pour des motifs légitimes), ou encore de veiller à la sécurité et la confidentialité des données enregistrées.

Lorsque l'entreprise (responsable de traitement) recours à un prestataire de cloud computing comme Numergy (sous-traitant), ce dernier doit garantir la sécurité et la confidentialité des données sauvegardées dans ses datacenters et qu'il n'agira sur les données que sur instruction de son client.

C'est ce que fait Numergy au travers de nombreuses mesures, parmi lesquelles :

  • Déploiement d'outils de cybersécurité (security operation center, chiffrement, pare-feu,  cloisonnement des environnements, politique de sécurité élaborée avec l'Agence Nationale de la Sécurité des Systèmes d'Information),
  • Mise en conformité aux normes de référence pour l'ensemble des services et du système d'information (certification et agréments en cours pour ISO 90001 et 27001, hébergeur de données de santé, RGS),
  • Transparence sur la localisation des données (engagement contractuel de leur hébergement en France),
  • Mise à disposition d'une interface permettant à l'utilisateur de créer et d'administrer lui-même les machines virtuelles de son environnement, de contrôler les flux entrants et sortants, ainsi que d'exporter les données à tout moment via un site FTP sécurisé (réversibilité),
  • Garantie d’une haute disponibilité du service assortie de pénalités en cas de non respect (jusqu'à 99,99%),
  • Pérennité de la structure issue avec un partenariat public privé (cloud souverain).   

 

Ces mesures répondent aux recommandations de la CNIL sur le cloud computing (http://www.cnil.fr/fileadmin/images/la_cnil/actualite/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf), afin que les entreprises et organismes publics soient en capacité de respecter leurs obligations de responsable de traitement, sans mauvaise surprise.

Elles sont autant d'éléments de compétitivité et de différenciation pour bénéficier en toute sérénité des avantages du cloud computing, alors que la protection des données personnelles va être renforcées par un nouveau règlement européen (http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm).

 

Guillaume

Guillaume Jahan
Directeur Juridique

Après avoir exercé comme avocat en nouvelles technologies au sein des cabinets Bensoussan, Bird&Bird et Salans, il a rejoint fin 2012 le "producteur d'énergie numérique" français et ses services de Cloud Computing à destination des entreprises et du secteurs public.

Suivez moi sur LinkedIn