Article IT et données personnelles Droit de la concurrence, consommation et distribution Contrats commerciaux et internationaux | 03/06/16 | 4 min. | Florence Chafiol
De nombreuses normes existent en matière de sécurité de l’information.
Elles permettent déjà aux prestataires du Cloud qui les respectent, d’apporter à leurs clients certaines garanties. Cependant, la nouvelle norme ISO 27018, qui a vu le jour cet été et qui porte sur le traitement des données personnelles dans le Cloud, devrait constituer un véritable atout différentiateur pour ceux des prestataires de services de Cloud qui s’engagent à s’y conformer.
L’Organisation Internationale de Normalisation (ISO) a adopté cet été une nouvelle norme « ISO/IEC 27018-2014 ». Bien que ce fait nouveau soit passé quasiment inaperçu jusqu’à présent dans la presse spécialisée, cette nouvelle norme ISO prévoit un cadre fort utile concernant le respect par les prestataires de services de Cloud d’un certain nombre de mesures concernant les données personnelles qui transitent par leurs outils.
La norme ISO 27018 s’inscrit dans le prolongement des normes existantes en matière de sécurité de l’information, telles que les normes ISO 27001 et ISO 27002 qui permettent d’identifier les risques de sécurité inhérents aux systèmes d’information et de mettre en œuvre les contrôles nécessaires pour les éviter (par exemple la sécurisation des bureaux et des installations, les contrôles d’accès, la gestion des incidents, la continuité des opérations, etc.). La norme ISO 27018 est quant à elle spécifiquement adaptée aux services de Cloud et constitue la première norme internationale spécifique à la protection des données personnelles pour le Cloud. Elle augmente ainsi le nombre de contrôles prévus déjà par la norme ISO 27002, constituant ainsi l’ « état de l’art » en la matière.
Cette norme répond directement aux demandes et attentes des autorités de contrôle de l’Union Européenne qui réclamaient l’introduction d’un cadre normatif permettant de contrôler les engagements pris par les sous-traitants du Cloud, de manière à renforcer la confiance des utilisateurs dans le cadre de l’utilisation de solutions Cloud (Voir la Communication de la Commission européenne datant de 2012 sur la stratégie en matière de Cloud ici (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?...). En particulier, ce cadre normatif permet désormais aux utilisateurs de se conformer aux exigences de sécurité telles que définies par le cadre légal de protection des données personnelles.
Plus précisément, les principes clés de cette norme ISO 27018 sont notamment les suivants :
- Consentement : les prestataires de services Cloud s’engagent à ne pas traiter les données personnelles des clients à des fins publicitaires et marketing, sauf avec le consentement exprès et préalable de ceux-ci, étant précisé que ce consentement ne saurait conditionner la prestation de services.
- Transparence : les prestataires de services Cloud doivent informer leurs utilisateurs sur le lieu de stockage des données qui transitent par le Cloud ainsi que sur l’identité des éventuels sous-traitants appelés à traiter les données lors de la conclusion du contrat de Cloud ; ils s’engagent également à prendre des engagements clairs sur la manière dont les données sont traitées.
- Communication : les prestataires de services Cloud s’engagent, en cas de failles de sécurité affectant les données, à en informer le client et les autorités et à aider les utilisateurs à se conformer à leurs propres obligations d’information ; ils s’engagent également à ne pas divulguer d’informations aux autorités nationales sauf lorsqu’ils y sont tenus par la réglementation applicable et, dans ce cas, à en informer le client, sauf interdiction légale.
- Portabilité/destruction des données : ils s’engagent également à mettre en œuvre une politique en matière de transfert ou de destruction des données personnelles à l’issue du contrat.
- Conformité : la conformité à la norme ISO 27018 peut être contrôlée et certifiée par un auditeur qualifié, permettant ainsi à l’utilisateur de vérifier rapidement la conformité du traitement à la réglementation de protection des données personnelles.
- Confidentialité des données : enfin les prestataires de Cloud s’engagent à conclure des accords de confidentialité avec les membres du personnel qui ont accès aux données personnelles et à leur fournir toute formation requise.
Les principaux acteurs du Cloud aux États-Unis et en Europe avaient annoncé en octobre 2014 leur intention d’obtenir cette norme dans leur programme de certification pour leurs principaux services de Cloud.
C’est désormais déjà le cas de Microsoft dont les produits et services Azure, Office 365, Dynamics CRM Online et Microsoft Intune ont été reconnus conformes à la norme ISO 27018 au début du mois de février 2015 par des auditeurs indépendants (British Standards Institute -BSI- et Bureau Veritas).
Il reste à voir si d’autres leur emboiteront le pas mais il est certain que cette nouvelle norme ISO 27018 deviendra un véritable élément différentiateur en matière de sécurité et de confidentialité des données personnelles dans le domaine du Cloud.
Florence Chafiol-Chaumont, associé
Publié le 15 octobre 2014, mis à jour le 19 février 2015