Guide pratique - Cloud computing et protection des données
19
Pour ce faire, le client et son prestataire peuvent recourir à l’un des mécanismes
ci-dessous :
•
déclaration de transferts internationaux entre le contrôleur (propriétaire de
données) et le processeur (fournisseur de service),
•
Binding Corporate Rules
1
,
•
clauses contractuelles européennes (
Standard Clauses
2
).
Il est à noter que certains pays sont exemptés de tels dispositifs :
•
les États membres de l’UE : l’Allemagne, l’Autriche, la Belgique, la Bulgarie,
Chypre, le Danemark, l’Espagne, l’Estonie, la Finlande, la France, la Grèce,
la Hongrie, l’Irlande, l’Italie, la Lettonie, la Lituanie, le Luxembourg, Malte,
les Pays-Bas, la Pologne, le Portugal, la République tchèque, la Roumanie, le
Royaume-Uni, la Slovaquie, la Slovénie et la Suède,
•
les Etats membres de l’EEA : l’Islande, le Liechtenstein et la Norvège,
•
les autres pays exemptés : Andorre, Argentine, Australie, Canada, Guernesey,
Ile de Man, Iles Féroé, Israël, Monaco, Suisse.
Convention de niveau de services - SLA
(
Service Level Agreement)
Une convention de niveau de service de sécurité doit être contractuellement définie
avec le prestataire en fonction du niveau de protection requis pour la catégorie
de données concernée et traiter notamment les incidents, la confidentialité,
l’intégrité, la disponibilité, la traçabilité, les performances, les vulnérabilités.
La rédaction de cette convention de niveau de services peut s’inspirer du document
de l’ANSSI : « Maîtriser les risques d’infogérance » - Chapitre 4 : Le plan d’assurance
sécurité.
Le prestataire doit disposer d’outils de mesure, d’indicateurs du niveau de « service
sécurité » et rendre compte de ces mesures au client. Un système de malus ou de
pénalités pourrait être appliqué en cas de non-respect de la convention.
Dans le cas d’un service
Cloud
nécessitant un niveau de protection élevé, cette
convention est une condition
sine qua non
.
Clause d’audit
Le prestataire de services de
Cloud Computing
doit intégrer dans son offre, un
audit annuel par une société indépendante et/ou autoriser le client à organiser
lui-même des audits ; le prestataire doit s’engager à traiter les déficiences
observées. Attention, l’absence de clause d’audit dans le contrat peut rendre toute
mission commanditée par le client non recevable.
Un exemple de clause d’audit est disponible en annexe 3.
1
Voir Annexe 2 : Normes, Certifications
2
Voir Annexe 2 : Normes, Certifications
