Pour Carole Maréchal, Secrétaire Générale & Responsable Juridique Senior & GRC (gouvernance, risques et conformité) de Telehouse France, adresser les problématiques de sécurité des données et de transparence dans les contrats, c’est répondre à l’enjeu de la confiance sur le marché du Cloud, enjeu primordial à l’échelle du monde digital.
Selon IDC, 8,6 millions de datacenters auront fleuri dans le monde à l’aube 2017. Usines des temps modernes, les datacenters abritent les données de nombreuses entreprises. Comment les protéger ? La sécurité des données est aujourd’hui un des enjeux majeurs des hébergeurs.
La sécurité des données
Panne, inondation, foudre ou piratage, un datacenter peut être soumis à de nombreux risques qui adressent in fine la même problématique : la protection des données du client. Il faut donc replacer l’usage client au cœur du sujet et s’intéresser à ses besoins. A ce titre, une cartographie des données est un atout majeur côté client pour analyser leur niveau de sensibilité, déterminer les niveaux de redondance et les engagements de services les plus adaptés. Il n’existe pas de solution unique : à chaque type de données son Cloud (public, privé, hybride), à chaque niveau de sensibilité des données (bancaires, industrielles, personnelles, défense nationale), son niveau de sécurité.
La transparence des contrats
Le contrat doit répondre à sa manière à ce besoin de sécurité des données en donnant des engagements contractuels au client et en l’informant régulièrement (obligation d’information y compris pré-contractuelle) de changements qui pourraient impacter la gouvernance ou la compliance du client. A ce titre, les points suivants doivent être abordés dans les contrats :
- Les niveaux d’engagement de service du fournisseur,
- La transparence sur la chaine des contrats, l’existence éventuelle de sous-traitants avec possibilité de sortie du contrat par le client en cas de refus de ces changements,
- La localisation des données et l’obligation d’information préalable du client en cas de changement en cours d’exécution, voire possibilité de résilier le contrat par le client en cas de refus de ce changement,
- L’intégrité, la confidentialité et la disponibilité des données,
- La réversibilité et la destruction des données le cas échéant en fin de contrat
- Une clause d’audit.
A cela s’ajoutent les nouvelles obligations issues de la réforme du droit des obligations entrée en vigueur le 1er octobre 2016 et le Règlement Européen sur la protection des données qui entrera en vigueur en 2018, notamment :
- L’obligation d’information pré-contractuelle généralisée et insérée dans le code civil,
- L’obligation à partir de 2018 de déclarer tous les violations de sécurité impactant les données dans les 72 heures (à compter de la connaissance de l’évènement), l’obligation d’introduire la notion de « privacy by design » (prise en compte des enjeux liés à la protection des données dès la conception) et du principe d’ « accountability » (capacité du responsable de traitement à démontrer le respect effectif du cadre légal en matière de protection des données) dans les services Cloud.