LE FORUM DES MEMBRES DU VILLAGE

Bonjour,
je suis juriste d'entreprise et j'ai une question relative au stockage informatique des données.
On nous propose de plus en plus de stocker des données privées (nos données, celles de nos clients, des données relatives au personnel, etc) sur des fichiers informatiques qui seront situés dans le "cloud" plutôt qu'à un endroit physique déterminé.
Ceci pose des problèmes spécifiques relatifs à la protection de la vie privée, à la garantie de pouvoir récupérer les données en tous temps, à la protection contre les intrusions de tiers et beaucoup d'autres questions.
En outre je ne suis pas certain de comprendre exactement le fonctionnement du stockage dans le "cloud".

Certains d'entre vous ont-ils déjà été confronté à ces questions? quelles précautions ont été prises? est-il possible de limiter le cloud à des localisations européennes?...

Merci déjà de tout apport.

JM Gindt
Juriste d'entreprise
Belgique

Bonjour,

Au dela des exigences métiers (sécurité et confidentialité des infos stockées) il y a une problématique de données personnelles. En France la CNIL a commis une note sur le sujet, certainement transposable en belgique

http://www.cnil.fr/linstitution/actuali ... -services/

Pour le fonctionnement: vos données sont stockées dans plusieurs endroits, connus ou non du prestataire, et donc sur plusieurs serveurs. Ce n'est rien d'autre qu'une infogérance décentralisée.

Vous devez donc apporter une attention particulière à votre contrat, et prévoir, selon le degré de sensibilité de vos données, et notamment:
- de localiser les infos dans une zone géographique (ex: UE, france, belgique) pour limiter les problématique de données perso
- les modalité de sauvegarde et de restitution des données
- un droit d'audit
- si vos données sont stockées dans des serveurs dédiés (pour vous) ou mutualisés (si vos concurrents ont accès aux mêmes serveurs et qu'ils les auditent, quid de vos données ?)
- les mesures technique de sécurité minimales (ex: serveurs certifiés Tiers III etc..)
- les modalités de sous traitance éventuelle
- le plan de continuité d'urgence
- des SLA (niveaux de service...)
- le respect des normes sur la vie privée
- EDIT: et la réversibilité ! (mesures/procédures qui vous permettront de récupérer vos données à l'issue du contrat)

vous pouvez jeter un coup d'oeil sur le contrat syntec SaaS; qui reprend certaines problématiques du cloud. C'est un bon point de départ:
http://www.reseaux-telecoms.net/fichier ... syntec.pdf

Ce sont des problématiques assez spécialisées et techniques, donc bon courage !

Nox, t'es trop fort, même si je comprends rien à ce que tu racontes !

Le recours à un prestataire de Cloud peut présenter des risques pour la vie privée et les libertés des personnes. Pour cette raison les autorités européennes de protection des données au travers du G29 conseillent d'analyser les risques liés d'une part à l'hébergement en Cloud, d'autre part les risques propres au prestataire (localisation, mesures de sécurité etc...).
vous devrez ensuite lier contractuellement votre sous-traitant/prestataire pour vous assurer qu'il respecte la loi et prenne les mesures de sécurité nécessaires face aux risques que vous aurez estimés.
www.cil-consulting.com

Sur ce sujet, un juriste nous communique sur twitter un message:

Voici mon mémoire sur les risques juridiques liés à l'utilisation du cloud, si ça peut aider sur la question...
https://docs.google.com/file/d/0B85ayqn ... sp=sharing

Laure74 a écrit :Nox, t'es trop fort, même si je comprends rien à ce que tu racontes !

Non mais laisse, c'est nox. Il a forcément raison dès que ça parle technologie.
Nox sait pourquoi ton ordinateur plante. Et ça, c'est pas le premier Chuck Norris venu qui en serait capable.

Attention, je t’arrête tout de suite.
Nox, ce n’est pas qu’un don dû à son incroyable potentiel, issu du croisement entre Bill Gates et Steve Jobs, c’est aussi du travail.
Et ce n’est pas mon ordinateur qui me plante, c’est MOI qui plante mon ordinateur !

Merci à tous et spécialement à Nox pour sa précision. Finalement, avec ces exigences on traite le cloud comme de la sous-traitance, ce qui est d'ailleurs la position prise par le contrôleur (la Banque Nationale) du secteur financier en Belgique. En conséquence toutes les obligations et précautions à prendre en cas de sous-traitance s'appliqueront aussi aux contrats qui ont recours au cloud.

Et aussi un grand merci au juriste qui a partagé son mémoire sur le cloud, belle mentalité de partage de connaissance qui constitue tout le sel de ce forum d'ailleurs; je vais le lire avec grande attention.

JMG
Belgique