GlobalSign Blog

RGPD : Guide à l’attention des fournisseurs de services cloud

RGPD : Guide à l’attention des fournisseurs de services cloud

Le règlement général européen sur la protection des données (RGPD) pourrait modifier définitivement la manière dont les données sont stockées dans le cloud. Pas plus tard que l’an dernier, le Comité européen de la protection des données (CEPD) a approuvé (en mai 2021) le code de conduite européen dédié aux fournisseurs de services d’infrastructure cloud. Ce code de conduite a ensuite été approuvé par l’autorité belge de protection des données et la Commission nationale informatique et libertés (CNIL) en France. S’adressant aux fournisseurs de services cloud (FSC) de tous types – IaaS, PaaS et SaaS – le code de conduite dresse la liste des exigences de conformité qui « permettent aux FSC de démontrer leur capacité à se conformer au RGPD ».

Cela représente [une avancée] importante étant donné le nombre considérable d’entreprises qui ont déjà migré tout ou partie de leurs données vers une plateforme hébergée dans le cloud. Pour les entreprises dont l’infrastructure évolue rapidement, le cloud computing leur permet d’optimiser plus vite leurs ressources informatiques, et ce à des coûts abordables.

Contrairement à la gestion des données sur site, dont le coût augmente au fur et à mesure que le périmètre s’élargit, le cloud computing est accessible à des coûts maîtrisés — une solution adaptée à bon nombre d’entreprises. Aux États-Unis, l’hébergement cloud a pris son essor avec des services comme Cloudflare, et fonctionne sans adresse physique dédiée, mais un réseau distribué réunissant plusieurs centaines d’ordinateurs.

Pour Nathan Finch, développeur web chez Best Web Hosting Australie, l’hébergement web dans le cloud constitue la solution idéale pour garantir la rapidité d’un site web.

« L’hébergement cloud offre notamment l’avantage de permettre d’augmenter très rapidement la vitesse [de son site], en adressant une brève demande à son hébergeur », explique M. Finch. « Si pour votre entreprise, le temps de disponibilité et la rapidité de dimensionnement sont des points importants, je vous invite à étudier sérieusement un hébergement dans le cloud. Avec ce type d’hébergement, vous avez accès à plusieurs serveurs. Vous utilisez ainsi différents centres de données et pouvez préserver la confidentialité et la sécurité de vos informations. »

Le cloud séduit de plus en plus. Les fournisseurs doivent par conséquent bien comprendre l’impact des obligations du RGPD sur leur activité — notamment à l’heure où de plus en plus d’entreprises envisagent de transformer leurs systèmes et processus.

Dans la mesure où ils sont responsables du stockage et du traitement des données de citoyens dans l’UE, les fournisseurs cloud doivent s’assurer qu’ils respectent le RGPD. Voici donc quelques points essentiels à connaître.

Définir clairement les procédures de réponse à incident et de reprise d’activité

Le RGPD cherche à responsabiliser davantage les fournisseurs cloud en cas de violations des données personnelles qu’ils détiennent. Aussi, pour être en conformité avec le RGPD, ces fournisseurs de services cloud doivent formaliser un plan de réponse et de coordination clairement défini.

Il leur incombe également d’inclure à leurs contrats de service des clauses qui définissent leurs obligations et leurs protocoles de notification en cas de violations. L’efficacité de ces mesures repose également sur la définition claire de processus de reprise, de continuité d’activité, et de réponse sur incidents avant qu’une violation de données se produise. Lorsqu’ils sont correctement définis, ces processus forment un cadre qui permet de réagir rapidement et efficacement à tout incident.

En imposant [aux organisations] de supprimer, sur demande, toutes les informations d’identification personnelle concernant une personne dans une base de données, le RGPD introduit malheureusement certaines complications. Le traitement de ces demandes et l’effacement sécurisé des données demandées doivent s’effectuer dans l’environnement cloud, mais aussi sur site, là où les données sont stockées.

Les fournisseurs de services cloud doivent créer des processus et des routines automatisés qui identifient les données expirées et suppriment les jeux [de données] qui sortent du champ d’application. Leurs partenaires et associés doivent identifier les données qui relèvent du champ d’application et connaître les durées de conservation des données pour rester en conformité avec les lois de leur juridiction. En plus d’entraîner une surcharge de travail et d’augmenter le risque d’erreur humaine, ces obligations peuvent conduire une entreprise à enfreindre le RGPD.

Réglementer la conservation des données sur plusieurs sites

D’une manière générale, le RGPD régit les durées de conservation des données personnelles par les fournisseurs de services cloud dans leurs environnements. Pour ces fournisseurs, la conservation des données est d’autant plus délicate qu’ils stockent souvent leurs données dans plusieurs juridictions et sur plusieurs sites. Il leur faut donc un moyen de conserver leurs données de manière fiable et sans enfreindre le RGPD. Il est généralement recommandé d’impliquer à ce processus les personnes IT clés ainsi qu’un délégué à la protection des données (DPO). De plus, les contrats de service des FSC doivent inclurent des procédures claires pour qu’une fois les données sauvegardées, celles-ci puissent être conservées en toute sécurité dans le cloud de plusieurs juridictions.

Conclusion

Compte tenu de la volonté de l’UE d’harmoniser le paysage réglementaire européen, les obligations liées au RGPD sont une réalité à laquelle tous les fournisseurs de services cloud doivent se plier. Pour aborder la réglementation sur la protection des données personnelles, les fournisseurs de services cloud doivent définir des processus clairs de reprise sur incident, dans le cas où l’administration leur demanderait de présenter des documents d’application de la réglementation. Ensuite, ils doivent s’assurer de respecter les consignes sur la conservation des données, surtout s’ils gèrent des jeux de données dans plusieurs juridictions.

Curieux d’en savoir plus sur le RGPD ? Consultez nos autres blogs et articles sur le sujet :

How the Growing Number of EU Regulations Are Impacting Businesses Worldwide
GDPR Day in 2020 – Still No Silver Bullet
GDPR – 3 Years In (CPO Magazine)

Note : Cet article de blog a été écrit par un contributeur invité dans le but d’offrir une plus grande variété de contenus à nos lecteurs. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.

Share this Post