Le cloud computing dans le viseur de la CNIL

La Commission Nationale Informatique et Liberté (CNIL) s'inquiète depuis longtemps des effets du développement du cloud computing. Elle vient de diffuser un document de synthèse sur ses recommandations aux entreprises en la matière. Celles-ci ont été édictées après une consultation publique commencée fin 2011.

La première recommandation relève d'un bon sens pourtant souvent négligé : il convient que les entreprises déterminent formellement les risques pris en choisissant tel ou tel prestataire pour lui confier tel ou tel type de données et de traitements. La CNIL se préoccupe bien sûr surtout des transferts de données personnelles sur des serveurs situés à l'étranger ou dans des entreprises étrangères, relevant par exemple de la loi américaine. Comme l'indique l'avocat Etienne papin, le Patriot Act pose de véritables soucis qu'il ne faut ni négliger ni exagérer.
Cependant, cet export sauvage de données n'est pas le seul risque. La perte de la capacité de gouvernance ou l'isolement insuffisant des données de différents clients d'un même service sont également préoccupants.

Malgré tout, la CNIL se réjouit que la sécurité des services de cloud computing est généralement supérieure à ce qu'une PME est capable d'assurer.

Aux cinq recommandations de base, la CNIL joint dans son document des « éléments essentiels devant figurer dans un contrat de prestation de services de cloud computing ».