Avant de traiter des données personnelles, il est essentiel que les acteurs identifient leurs rôles. La CNIL fournit des orientations pour aider ceux du secteur de l’informatique en nuage (cloud) à identifier leurs responsabilités avec des exemples concrets.
La qualification des acteurs au sens du RGPD (responsable du traitement, responsable conjoint ou sous-traitant) a un impact important sur la répartition des responsabilités de chacun, notamment en termes de contractualisation, de sécurité des données et d’exercice des droits par les personnes concernées.
Dans l’écosystème de l’informatique en nuage (cloud), qualifier les parties peut être complexe :
Pour aider les acteurs à mieux comprendre leur rôle et leurs obligations, la CNIL propose des grandes orientations – sur la base des critères dégagés par le Comité européen de la protection des données (CEPD) – couvrant trois finalités :
Cette grille de lecture peut toutefois être adaptée pour bien refléter la réalité de la relation entre le fournisseur et le client. En cas de doute, il est important de documenter la réflexion qui a été menée pour aboutir à cette qualification et d’être en mesure de la justifier.
Il s’agit des traitements de données personnelles nécessaires à la mise à disposition du service d’informatique en nuage, par le prestataire, pour le compte de son client.
En principe, le client est responsable des traitements qu’il met en œuvre sur le service d’informatique en nuage. En effet, il détermine :
Le fournisseur intervient alors généralement comme sous-traitant puisqu’il va généralement traiter les données (stockage, etc.) sur les instructions de son client dans le cadre de la fourniture de son service.
À noter : le fait que le fournisseur décide de la plupart des moyens essentiels du traitement ne suffit pas à le qualifier de responsable du traitement.
Exemple : La gestion d’un logiciel de relation client (Customer Relationship Management - CRM)
Une entreprise utilise un logiciel CRM basé sur l’informatique en nuage pour centraliser et gérer ses interactions avec ses clients (prospection, relance, envoi de courriels). Le fournisseur de CRM stocke les données sur ses serveurs et en assure la maintenance.
Le client (entreprise utilisatrice) est responsable du traitement, car il détermine pourquoi et comment les données de ses propres clients sont utilisées (suivi commercial). Le fournisseur de CRM est sous-traitant, car il exécute uniquement les instructions nécessaires au fonctionnement du CRM, selon les instructions du client.
Dans certaines situations, le fournisseur pourra être regardé comme co-responsable du traitement et non simple sous-traitant : c’est notamment le cas lorsque certaines opérations de traitement servent à la fois les finalités du client et celles du fournisseur, même si les traitements mis en œuvre par la suite peuvent relever de la responsabilité propre de chaque partie.
Exemple : Traceurs et responsabilité conjointe entre client et fournisseur
Un fournisseur d’une plateforme dépose des traceurs qui collectent de données de navigation à la fois pour mesurer l’audience du site web du client et pour améliorer son propre service.
Dans ce cas, l’opération (l’utilisation de traceurs) peut relever d’une responsabilité conjointe dès lors que le client et le fournisseur contribuent ensemble à la définition des finalités et des moyens mis en œuvre pour parvenir à ces finalités. En revanche, chacun reste responsable des traitements qu’il réalise ensuite à partir de ces données pour ses propres finalités.
L’amélioration du service proposé est une finalité (ou objectif) fréquente pour les fournisseurs d’informatique en nuage. Un prestataire peut traiter les données de ses clients pour identifier les difficultés techniques qu’ils rencontrent et optimiser le fonctionnement de son service.
La qualification des acteurs dépend d’une analyse au cas par cas. Trois cas de figure peuvent être distingués.
Dans cet écosystème, il est en général possible de distinguer deux types de mesures :
Exemple – La sécurisation d’une infrastructure face aux attaques réseau
Un fournisseur IaaS déploie des systèmes de détection d’anomalies sur ses réseaux internes afin de limiter la propagation d’une attaque à l’ensemble de son infrastructure, en s’appuyant notamment sur le mécanisme d’isolation logique des environnements clients.
Exemple : Le contrôle des accès et chiffrement des données dans un SaaS
Une entreprise utilisant un logiciel de type SaaS de gestion des ressources humaines limite l’accès aux données traitées selon les profils habilités et chiffre les données avec une gestion interne des clés assurant son contrôle exclusif.
La sécurité « du » nuage et la sécurité « dans » sont étroitement liées. Elles sont toutes deux nécessaires pour assurer la sécurité des traitements de données personnelles :
Une faille dans la sécurité « du » nuage peut compromettre la sécurité « dans » le nuage, malgré les mesures prises par les clients.
Exemple : Une vulnérabilité serveur rend inefficace la sécurité des données clients
Un fournisseur d’une solution SaaS n’a pas corrigé une vulnérabilité critique sur ses serveurs et permet à un attaquant d’accéder aux bases de données hébergées, rendant inopérants les dispositifs de sécurité mis en place par une entreprise utilisatrice (authentification double-facteur, un contrôle d’accès robuste).
À l’inverse, un défaut de sécurité « dans » le nuage côté client peut fragiliser l’ensemble du système en augmentant la surface d’attaque.
Exemple : Une mauvaise configuration par un client fragilise une plateforme
Une grande entreprise héberge un portail de formation sur une infrastructure PaaS mutualisée où chaque salarié peut suivre son parcours de compétences. Par erreur, elle laisse une interface d’administration accessible depuis Internet, sans restriction d’adresse IP.
Un attaquant qui compromet ce compte peut lancer des attaques par déni de service distribué (Distributed Denial of Service attack ou DDoS en anglais) ou déployer des programmes malveillants, affectant la sécurité globale de la plateforme ou la disponibilité des ressources partagées avec les autres clients du PaaS.
Dans la plupart des cas, le client est responsable du traitement réalisé dans le nuage. Les mesures de sécurité peuvent être intégrées au traitement principal. Elles peuvent alternativement constituer un traitement distinct, avec pour finalité d’assurer la protection du système d’information ou des applications qu’il héberge dans le nuage. Dans ce cadre, le fournisseur intervient comme sous-traitant et assiste le client pour mettre en œuvre les mesures de sécurité appropriées.
Exemple : Le client est responsable du traitement et des mesures de sécurité mises en œuvre
Une entreprise de commerce en ligne héberge sa base clients sur une plateforme SaaS.
Le fournisseur met à disposition des outils et de fonctionnalités de sécurité (chiffrement des données au repos et en transit, gestion des identités et des accès, journalisation des événements, dispositifs de sauvegarde, etc.).
L’entreprise active certaines de ces fonctionnalités et en définit les paramètres : elle active le chiffrement des données au repos et en transit, elle configure les accès et les profils d’habilitation, organise la journalisation et les sauvegardes. Ces mesures impliquent des traitements de données personnelles des utilisateurs finaux (identifiants, journaux, adresses IP, traces d’accès, etc.) pour assurer la sécurité « dans » le nuage.
Dans ce cas, l’entreprise est responsable de ces traitements car elle en détermine les finalités et les moyens. Le fournisseur agit comme sous-traitant en mettant en œuvre ces mesures pour le compte et selon les instructions de l’entreprise.
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。