Toutes les DSI sont en ordre de marche. En mai prochain, le règlement européen général sur la protection des données personnelles (RGPD) entre en vigueur. Mais quelles sont les conséquences à prévoir sur les contrats cloud ?
12 %. C’est la proportion des DSI ayant pris conscience des conséquences du RGPD dans leurs services cloud, selon une enquête du spécialiste Commvault. Un chiffre plus qu’alarmant à seulement quelques semaines de l’entrée en vigueur de la nouvelle législation européenne. C’est que le RGPD contient plusieurs mesures phares qui doivent être dès à présent anticipées dans les contrats cloud.
Une priorité : le « privacy by design »
De la même manière que les industriels doivent assurer la traçabilité de leurs produits, les DSI doivent désormais mettre en place des processus pour garantir le respect du RGPD dans tout traitement de données personnelles. C’est le concept du « privacy by design ». Pour le dire autrement, tout processus de l’entreprise exploitant ou touchant à des données d’utilisateurs devra, dès sa conception, être accompagné d’une vérification de la conformité. Une nouvelle donne qui a forcément des conséquences sur les contrats cloud puisque les entreprises sont désormais contraintes de prouver la conformité et la localisation de chaque information personnelle.
Le client final est roi
De même, le moindre incident de sécurité enregistré dans les infrastructures cloud doit être notifié aux clients finaux concernés. En somme, le fournisseur cloud doit avertir l’entreprise des failles repérées et des cyberattaques subies. Charge ensuite à cette entreprise de prévenir dans les 72 heures à la fois la Commission nationale informatique et libertés (CNIL) et chacun des clients dont les données auraient pu être affectées.
C’est dit : la priorité est donnée à la transparence. Dès lors, les contrats cloud doivent clairement stipuler les conditions d’hébergement des données à caractère personnel. Les entreprises clientes doivent quant à elles se garantir un droit d’audit auprès de leur fournisseur cloud pour vérifier que cette conformité est bien respectée.
Selon l’expert en sécurité Hervé Schauer cité dans Le Nouvel Economiste, pas de doute: « Le RGPD impose aux responsables des traitements et à leurs sous-traitants d’intégrer un grand nombre de clauses liées à la protection des données personnelles dans leurs contrats. Cela nécessite donc une renégociation de ceux-ci. »
Shadow IT : la menace fantôme
Reste un épine de taille dans le pied des DSI : le shadow IT. Si les directions informatiques peuvent s’assurer de la conformité de leur hébergeur cloud, il n’en est pas de même pour les solutions utilisées sans leur aval par les métiers. Un nouveau défi pour les années à venir.