CNIL, SaaS et Cloud : que faire pour être en règle ?

A lire sur:  http://mag.welovesaas.com/index.php/2012/cnil-saas-et-cloud-que-faire-pour-etre-en-regle/

2 juillet 2012 Par Guilhem Bertholet 

CNIL : données personnelles et SaaS...

Avec la multiplication des services SaaS et cloud utilisés dans les entreprises, la législation autour des données personnelles est quelque peu « remuée » ces derniers temps. C’est pourquoi la CNIL, Commission Nationale Informatique et Libertés, avait lancé, courant 2011, une consultation sur le cloud computing, qui l’a amenée à estimer comme urgente la clarification du cadre juridique appliquée au SaaS, au PaaS et au IaaS .
Dans son communiqué de presse, la CNIL explique que « les questions de sécurité, de qualification du prestataire, de loi applicable et de transfert des données » sont particulièrement délicates, et ce d’autant plus que les offres « multi-tenancy » ne laissent que très peu la place à une négociation sur ces problématiques.
Et de noter que le « cloud » crée de nouveaux risques pour les entreprises y recourant, tant par le manque de transparence du côté des offreurs de logiciels, que sur la pérennité des données.
La CNIL va maintenant travailler à proposer des bonnes pratiques destinées à :

• identifier les données et traitements « dans le cloud »
• aider les entreprises à définir leurs exigences, vis-à-vis des prestataires, de sécurité technique et juridique
• mener les audits et analyses de risques sur les mesures de sécurité essentielles pour l’entreprise
• améliorer et éclairer les choix des prestataires
• clarifier et revoir les politiques de sécurité interne

Dans tous les cas, il reste un énorme chantier à mener pour aider les entreprises utilisant le SaaS et le Cloud à se mettre en adéquation avec la législation quant à la sauvegarde et le traitement des données accumulées, et dispersées dans des lieux différents, soumis à législations différentes. Avec bien évidemment en tête les effets du Patriot Act …