Une approche avancée de la responsabilité des fournisseurs de services cloud en matière de sécurité
Les dispositifs portables de surveillance de la fréquence cardiaque, aujourd'hui très utilisés par les joggeurs, ne sont qu'un exemple des nombreux dispositifs recueillant des informations personnelles sensibles. Associés à une connexion Wi-Fi ou des technologies de GPS, ils génèrent instantanément des enregistrements en ligne pour l'utilisateur, ainsi que pour les hôpitaux, les compagnies d'assurance et d'autres intermédiaires tout au long de la chaîne de valeur de l'information qui traite les données personnelles via le cloud. Le cloud soulève de nombreuses questions sur la responsabilité liée au traitement des données personnelles: comment sont-elles traitées? Comment trouver le responsable si les choses tournent mal? Le cloud étant relativement jeune, il n'existe pas de règles établies touchant à la responsabilité et la transparence. «C'est entièrement une question de confidentialité des données, qu'elles concernent un individu ou une organisation», déclare Julie Grady, chercheur à Hewlett Packard Enterprise au Royaume-Uni. «Les entreprises doivent être responsables de la sécurité de leurs données et des voies de recours, et assumer la responsabilité de la façon dont elles le font.» L'objectif d'A4CLOUD, un projet récemment achevé de recherche en cyber-sécurité, cofinancé par l'UE et coordonné par la société de Julie Grady, était d'encadrer les directives de responsabilité. Le principal objectif d'A4CLOUDs était d'encadrer une approche de la responsabilité en matière de fournitures de services cloud, en prévision du règlement général sur la protection des données de l'UE (GDPR), qui entrera en vigueur en 2019. Il a pour cela réalisé une enquête sur les meilleures pratiques actuellement mises en œuvre dans tous les États membres, et en élaborant des listes de contrôle détaillées des tâches que les fournisseurs de services cloud et leurs clients devraient entreprendre pour garantir la transparence et la responsabilité en matière de protection des données. «La plus grande difficulté a été d'essayer de réconcilier la technique et le droit, et de s'assurer qu'ils travaillent ensemble. La mise en œuvre de ces principes par le monde du cloud sera très difficile», a déclaré Mme Grady. «Tous les acteurs, qu'ils soient petits ou grands, seront soumis au GDPR. À un certain niveau, ce sera plus facile pour les grands car ils ont plus de moyens et sont de toute façon habitués à faire preuve de diligence raisonnable. Nos listes de contrôle sont plutôt destinées aux PME.» Lorsqu'on lui a demandé si la responsabilité varie de façon importante d'un État membre à l'autre, elle a donné une réponse nuancée. «Chaque État membre a donné une interprétation légèrement différente. Cependant, jusqu'à présent, il n'y a pas eu de lourdes amendes en rapport avec le traitement des données et le cloud: au niveau du client, personne n'a été puni. Mais cela changera après 2019, et il est donc important de disposer de directives sur les bonnes pratiques. La plupart des entreprises ne devraient pas s'en inquiéter jusqu'à ce que la menace réglementaire entre en scène. Dans ce sens, nous avions donc une longueur d'avance avec A4CLOUD», a déclaré Mme Grady.
Mots‑clés
A4CLOUD, cyber-sécurité, lignes directrices, responsabilité, cloud, protection des données