Aller au contenu principal

Cloud Computing – De l’artisanat de 2012 à la révolution industrielle de 2016

26 novembre 2012

Arnaud Alcabez

Surfant sur le Cloud Computing, il ne se passe pas un jour sans qu’une nouvelle entreprise annonce la création d’un datacenter et se lance dans la commercialisation de services en ligne. Toutefois, à court terme, peu d’entre elles seront à même de continuer leur activité au regard des normalisations et réglementations qui vont voir le jour entre 2013 et 2016. Je vous propose dans cet article de passer en revue ce qui nous attend dans les années à venir…

La Commission Européenne a défini fin 2008 un code de bonne conduite énergétique pour les centres de données, l’ »EU Code of Conduct for Data Centres ». Le statut « Corporate » est délivré aux centres de données qui ont démontré que l’ensemble de leurs sites répondait aux exigences énergétiques les plus strictes édictées par ce code de bonne conduite révisé chaque année. Le code de bonne conduite version 2012 est disponible ici. Le Power Usage Effectivness (PUE), ainsi que les métriques ITTE et ITEU devraient d’ailleurs très prochainement devenir une norme ISO, avec les travaux initiés par The Green Grid au travers d’un groupe de travail nommé JTC1. The Green Grid espère arriver à une normalisation ISO en 2013.

Parallèlement, les travaux concernant la sécurité du Cloud Computing (ISO 27017 – Information Technology — Security techniques — Security in cloud computing, et ISO 27018 – Information Technology — Security techniques — Code of practice for data protection controls for public cloud computing services) devraient également aboutir d’ici 2013.

Le Cloud Computing disposera bientôt de sa propre norme internationale. L’ISO (International Organization for Standardization) travaille actuellement sur ce projet qui devrait déboucher sur la publication d’une norme Cloud entre 2014 et 2016. En France, cette normalisation est gérée par l’Afnor. Portée avec force par la Chine et la Corée du Sud, candidates pour héberger les données et les applications de la planète, la normalisation ISO du Cloud Computing est étroitement mais diplomatiquement surveillée par les grands acteurs du logiciel et du matériel.

De notre côté, le cadre européen de la protection des données personnelles, mis en place par une directive de 1995 (directive n°95/46/CE) est considéré comme obsolète, du fait des évolutions technologiques et de l’émergence des nouveaux usages.

Le 25 janvier 2012, la Commission Européenne a rendu publique sa proposition globale fixant un nouveau cadre législatif à la protection des données au sein de l’Union Européenne. Le choix de la Commission Européenne en faveur d’un nouveau règlement pour fixer le nouveau cadre général résulte du constat que les disparités des lois nationales ayant transposé la directive de 1995 étaient sources de confusion et d’insécurité juridique tant pour les personnes physiques dont les données personnelles sont traitées que pour les organisations mettant en œuvre les traitements.

Ainsi, le nouveau projet de règlement vise à renforcer et réformer le cadre de la protection des données personnelles en Europe sur trois axes :

  • Protection renforcée des données personnelles des particuliers,
  • Réduction des obligations administratives des entreprises,
  • La libre circulation des données personnelles, en Europe.

En simplifiant les formalités administratives pour les entreprises, la Commission Européenne soumettra ces dernières à des obligations accrues en termes de transparence et de traçabilité des données.

La Commission Européenne propose donc un cadre adapté aux évolutions technologiques et à l’émergence des nouveaux usages, qui protège les personnes (droit fondamental) et les données (droit d’application).

Elle reste toutefois une politique se distinguant de celle des Etats-Unis où l’important n’est pas tant de protéger les données, mais en premier lieu de savoir à qui elles appartiennent, car à quoi sert de définir des lois sur la protection ou la libre circulation des données personnelles, si on n’a pas d’abord tranché sur ce que veut dire « personnel » ?

Politique de « Privacy by design »

Les mesures actuelles de protection de la vie privée sont des mesures « réactives », c’est-à-dire que l’on attend qu’une atteinte à la vie privée ait lieu pour agir. En conséquence, on intervient en aval au lieu d’intervenir en amont pour prévenir l’atteint. Le concept de « Privacy by design » consiste à concevoir des produits et des services en prenant en compte dès leur conception les aspects liés à la protection de la vie privée et des données à caractère personnel. Il implique également le respect de ces valeurs tout au long du cycle de vie du produit ou du service concerné.

Binding Corporate Rules for Processors

Les Binding Corporate Rules (BCR) constituent un code de conduite, définissant la politique d’une entreprise en matière de transferts de données. Les BCR permettent d’offrir une protection adéquate aux données transférées depuis l’Union européenne vers des pays tiers à l’Union européenne au sein d’une même entreprise ou d’un même groupe.

Mise à charge du responsable du traitement : l’étude d’impact obligatoire en amont du processus de collecte

L’analyse d’impact est un ensemble de documents à produire lorsque le traitement risque, de par la nature des données collectées ou de l’objectif du traitement, de porter atteinte aux droits et libertés de la personne concernée, le responsable de traitement doit effectuer une évaluation préalable de l’impact du traitement envisagé sur la protection des données personnelles. Cette obligation s’impose dès lors que les données traitées concernent la vie sexuelle, la santé, la race ou l’origine ethnique, etc., mais aussi lorsque le traitement vise à évaluer la performance professionnelle, la solvabilité, la situation économique, le comportement. Cette analyse d’impact devra contenir une description générale du traitement envisagé pour ces données, une évaluation des risques pour les droits et les libertés des personnes concernées, et les mesures qui seront mises en œuvre pour assurer la protection des données collectées. Enfin, les personnes concernées par ce traitement ou leur représentant devront être consultés pour afin avant le début de la collecte et l’évaluation préalable effectuée devra être accessible au public.

Droit à l’oubli et droit à la portabilité des données

Le « droit à l’oubli », permet aux utilisateurs de demander l’effacement des renseignements les concernant et un « droit à la portabilité des données », leur donne la possibilité de transférer leurs données personnelles d’une entreprise à une autre.

De la coresponsabilité du traitement entre le client et son fournisseur, et de transparence et de traçabilité des données personnelles

Le texte prévoit l’application d’une responsabilité conjointe aux co-responsables de traitements, si les obligations mutuelles des parties, vis-à-vis des dispositions du règlement, n’ont pas été préalablement définies contractuellement. Cela signifie qu’en l’absence de contrat détaillant précisément le rôle et les obligations, tant de votre entreprise que de ses partenaires co-responsables de traitements, une personne concernée pourrait, dans l’exercice de ses droits, se retourner vers n’importe lequel des co-responsables de traitement. Cette coresponsabilité est liée à la notion d’accountability. Elle consiste à imposer au responsable des traitements une obligation de transparence et de traçabilité des données personnelles.

Désignation obligatoire d’un Correspondant Informatique et Libertés et changement de rôle

Jusqu’à aujourd’hui, le Correspondant Informatique et Libertés (ou CIL) a un rôle consultatif. Celui-ci est chargé d’assurer, d’une manière indépendante, l’application interne des dispositions nationales et de tenir un registre des traitements garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées. Il agit en tant qu’expert de la protection des données dans sa mission de régulation et de conseil. Ainsi, il est non seulement chargé de veiller à ce que son employeur respecte ses engagements en matière de conservation des données personnelles, mais, au-delà, il peut le conseiller sur la meilleure façon de suivre la réglementation et les recommandations de la CNIL.

Rendu obligatoire pour les entreprises de plus de 250 personnes, son rôle devient responsable de la bonne exécution des traitements. Il aura en charge :

  • D’informer et de conseiller sur les obligations du responsable de traitement et du sous-traitant découlant du règlement,
  • De conserver une trace documentaire de cette activité et des réponses reçues,
  • De contrôler la mise en œuvre et l’application des règles internes en matière de protection des données,
  • De répartir les responsabilités, la formation du personnel, les audits,
  • De contrôler la mise en œuvre du règlement,
  • De veiller à ce que la documentation soit tenue à jour,
  • De contrôler la documentation, la notification, et la communication en cas de violation de données à caractère personnel,
  • De vérifier que l’analyse d’impact a bien été réalisée,
  • De vérifier qu’il a été répondu aux demandes de l’autorité de contrôle,
  • D’être le point de contact pour l’autorité de contrôle.

Ainsi la fonction du CIL prend une responsabilité civile et potentiellement pénale. Il est donc conseillé de faire évoluer ce rôle afin qu’il ne soit plus confié à un seul individu, mais à une personne morale, pouvant par exemple l’organisme de contrôle interne de l’entreprise ou un cabinet d’audit. Oui, oui, vous avez bien lu, le CIL sera coupable s’il ne dénonce pas son patron en cas de non-respect de la protection des données personnelles, ce qui risque de rendre sa position relativement inconfortable s’il est rattaché directement à la direction des systèmes d’information.

Quel sera le nombre de fournisseurs qui arriveront à survivre à cette standardisation sans rompre leur modèle économique ? En tout cas, cela aura sans doute pour effet de consolider le marché, les entreprises les plus solides absorbant les plus faibles économiquement qui n’auront pas les moyens de se lancer dans une nouvelle phase de transformation et de normalisation de leurs centres de données.

J’en profite pour remercier le cabinet Alain Bensoussan pour leurs petits déjeuners débats, et plus particulièrement de celui du 21 novembre 2012 sur le thème « Anticiper l’adoption du nouveau règlement européen sur la protection des données personnelles », qui m’a permis de réaliser cet article.

A lire :

Proposition de la Commission Européenne relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) : http://www.senat.fr/europe/textes_europeens/e7055.pdf

(Pour Cloud Magazine, Décembre 2012)

Les commentaires sont fermés.

%d blogueurs aiment cette page :