©
CIGREF - IFACI - AFAI - Mars 2013
18
Dans ce cas, il est important d’intégrer dès la lettre d’intention une clause
suspensive si les critères de protection des données requis ne sont pas atteints.
Au-delà des critères techniques mis en place par le fournisseur de service
Cloud
,
il
est primordial d’intégrer dans les clauses contractuelles des obligations fortes en
matière de disponibilité, d’intégrité, de confidentialité, d’audit et de conformité
exigées par l’entreprise, ses clients et les régulateurs.
Le cadre contractuel doit être validé par le département juridique, éventuellement
assisté d’experts juridiques en matière de protection des données, afin d’engager
la responsabilité du fournisseur, qui en cas de non-respect doit être soumis à des
pénalités financières.
Le fournisseur devra pouvoir démontrer qu’il a mis en œuvre les mesures de
sécurité adéquates par rapport au référentiel de contrôle du client.
Disponibilités des données ?
Pour se prémunir contre le risque de perte de données, il est préconisé de
répliquer celles-ci sur un autre site distant et d’exiger un engagement de résultat
de restauration des données dans des délais contractuels définis.
En cas de perte de données, le client doit être alerté et pouvoir enquêter.
Intégrité et confidentialité des données ?
Les clauses de responsabilité du contrat doivent être clairement définies, tout
particulièrement en matière de respect de la confidentialité des données (accès
non autorisés, voire frauduleux), et d’atteinte à leur intégrité. Dans certains cas,
comme par exemple, dans le domaine médical ou de la défense nationale, le client
pourra exiger que :
•
ces données restent localisées sur des serveurs exclusivement situés dans
l’UE,
•
le prestataire soit français et/ou agréé par l’Etat,
•
les moyens de contrôle de cette obligation lui soient fournis par son
prestataire.
Avec un stockage et un accès aux données personnelles à l’intérieur de l’UE, le
client s’exonérera ainsi d’un ensemble de formalités CNIL liées au transfert de
données en dehors de l’UE.
Dans le domaine médical, le prestataire doit se conformer à un cahier des charges
strict qui donne lieu à des audits réguliers et à un agrément par le Ministère de la
Santé, valide pendant 3 ans.
Dans le cadre d’un service
Cloud
qui héberge des données à caractère personnel,
géré par des opérateurs
offshore
(
hors UE), il est nécessaire de s’assurer que l’on
est en conformité avec les règlements relatifs aux transferts internationaux de
données. Ceci est notamment vrai même si les données restent physiquement en
Europe, mais que le personnel qui y accède se trouve en dehors de l’Europe.
