Le CIGREF (Club Informatique de Grandes Entreprises Françaises), l’IFACI (Institut Français de l’Audit et du Contrôle Internes) et l’AFAI (Association Française de l’Audit et du Conseil Informatiques) ont publié un guide sur le Cloud Computing et la protection des données à caractère personnel (1).
La démarche des trois associations professionnelles vise à faciliter le dialogue entre les directions métiers et la DSI en expliquant la réalité des offres Cloud et leurs limites en matière de protection des données.
Parmi les recommandations contractuelles relatives à la protection des données, notamment l’intégrité et la confidentialité, les trois associations professionnelles rappellent que dans le cadre d’un service Cloud qui héberge des données à caractère personnel, géré par des opérateurs offshore (hors Union européenne), il est nécessaire de s’assurer que l’on est en conformité avec les règlements relatifs aux transferts internationaux de données (déclaration de transferts internationaux, Binding corporate rules ou clauses contractuelles européennes).
Parallèlement, le CIGREF a publié un rapport issue de son groupe de travail sur le Cloud computing dans le SI de l’entreprise (2). Dans ce rapport, il redéfinit les fondamentaux du Cloud computing en fonction de la compréhension et de sa mise en œuvre par les entreprises (et non à partir des offres du marché).
Deux précieux outils pour la maîtrise complète de la solution cloud.
Isabelle Pottier
Lexing, Droit informatique
(1) Guide pratique CIGREF, IFACI et AFAI, « Cloud computing et protection des données », Mars 2013, disponible sur les sites respectifs des 3 associations.
(2) Rapport CIGREF, « Fondamentaux du Cloud computing : le point de vue des grandes entreprises », Mars 2013, téléchargeable sur le site de l’association.