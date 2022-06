Depuis la crise pandémique liée au Covid-19, le respect des lois sur la protection des données n’a probablement pas figuré au rang des priorités de nombre d’entreprises. Les entreprises ayant dû en hâte mettre en place des opérations à distance et basculer vers le télétravail, un recours intensif au cloud leur a servi dans une certaine mesure à déplacer leurs obligations réglementaires vers les prestataires de services en ligne.

Pour autant, l’excuse de dire que le prestataire porte toute la responsabilité n’est pas valable auprès des autorités. Au regard des réglementations en vigueur dans le traitement des données, les entreprises clientes portent la responsabilité de vérifier que leurs prestataires cloud répondent aux obligations nationales. Et attention : cela s’applique aussi aux hébergeurs de cloud situés au Royaume-Uni qui, même après le Brexit, sont toujours censés respecter les réglementations européennes.

En outre, les entreprises doivent se plier aussi à de nouvelles réglementations ainsi qu’aux mises à jour des précédentes, dont la nouvelle norme PCI-DSS 4.0 sortie en 2022. C’est-à-dire qu’il convient de vérifier que le fournisseur de services en cloud est à jour.

Le passage au cloud étant appelé à se développer – le groupe IDC évalue à 1 350 milliards de dollars les dépenses informatiques en jeu d’ici à 2025 – les entreprises doivent s’assurer de disposer des mesures de protection qui garantissent la sécurité et la confidentialité des données.

Les directeurs informatiques seraient donc bien avisés de profiter des prochains mois pour revoir leurs modèles de conformité cloud. Voici quelques points importants à prendre en compte.

Le RGPD et le Data Protection Act (loi sur la protection des données)

Les réglementations européennes sont devenues, sinon une norme de facto, un modèle pour les lois sur la protection des données des autres pays. Par exemple, bien que le Royaume-Uni soit sorti de l’Union européenne, le règlement général sur la protection des données (RGPD) de l’UE est intégré au droit britannique en vertu du Data Protection Act 2018 (loi sur la protection des données).

Le RGPD fixe les règles à suivre quant au traitement des données, y compris lorsque cette opération est assurée par des tiers. Comme le souligne Mathieu Gorge, PDG de Vigitrust, cabinet spécialisé dans la confidentialité, le recours au cloud sous-entend automatiquement que les données sont confiées à un tiers.

« En vertu du RGPD, le fournisseur cloud devient un processeur de données et vous agissez comme contrôleur de données. » Mathieu GorgePDG, Vigitrust

« En vertu du RGPD, le fournisseur cloud devient un processeur de données et vous agissez comme contrôleur de données », explique-t-il. « Vous devez vous assurer que le processeur de données garantit un niveau de sécurité correspondant à minima au vôtre. Vous devez en outre dresser l’inventaire de vos flux de données pour en garantir l’adéquation, et procéder à une analyse d’impact sur la confidentialité. »

Et les prestataires de cloud situés au Royaume-Uni, une région très utilisée pour héberger les applications du reste de l’Europe, n’auront aucun intérêt à déroger à la règle. Rappelons qu’avant le Brexit, c’est au Royaume-Uni que certaines des amendes les plus lourdes concernant la protection des données ont été infligées. Depuis lors, elles ont été largement dépassées par les sanctions des régulateurs irlandais et belges. Selon Mathieu Gorge de Vigitrust, l’Information Commissioner’s Office souhaite montrer qu’il a encore le pouvoir d’infliger de lourdes amendes, même après le Brexit.