Deux projets de normes ISO doivent permettre de renforcer la transparence des offres du cloud computing.
La nouvelle réglementation introduit pour toute l’Union européenne de nouveaux standards qui renforcent la protection des données personnelles (1). Alors que la sécurité et la confidentialité des données est déjà un enjeu majeur pour le cloud computing, deux projets de normes ISO doivent permettre de relever le défi de la « compliance » ou conformité.
Norme ISO 29134 (2) sur les études d’impact et les données personnelles dans le cloud : le nouveau règlement européen contribue à l’adoption de projets de normes ISO
L’analyse d’impact est la grande innovation de l’article 35 règlement (3). Le responsable de traitement, ici le client du service cloud, doit effectuer une analyse de l’impact des opérations de traitement envisagées sur la protection des données personnelles lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
Le projet de nouvelle norme vise à établir une méthodologie pour la mise en œuvre des « privacy impact assessment » ou PII. Cette norme devrait permettre de fixer la trame de ces études d’impact afin de réduire les divergences d’approche et en améliorer la qualité.
Norme ISO 29151 (4) pour mieux responsabiliser les acteurs du cloud computing : les projets de normes ISO dans le cloud couvrent l’intégralité du cycle de vie de la donnée
Ce projet de norme vient directement en complément de la norme 27018 (5) qui a constitué une avancée majeure portée par plusieurs grands acteurs du cloud pour la transparence sur la localisation des données personnelles et la manière dont elles sont traitées. L’apport du projet de nouvelle norme est, dans le cadre d’études d’impact, de couvrir l’ensemble du traitement réalisé dans le cloud. De la collecte jusqu’à la destruction des données, l’ensemble du cycle de vie des données est concerné. L’objectif est de mieux responsabiliser les acteurs intermédiaires, sous-traitants et autres prestataires de service pour améliorer la confiance dans le cloud.
Dans tous les cas, après leur adoption et publication, la mise en œuvre de ces deux projets de normes ISO ne saurait suffire pour pouvoir se déclarer conforme à la réglementation sur les données personnelles. Il s’agit simplement de normes rassemblant des bonnes pratiques permettant d’atteindre cet objectif de conformité. C’est déjà beaucoup mais cela ne dispense pas non plus de prévoir des engagements fermes par contrat, notamment au moyen d’annexes circonstanciées.
Eric Le Quellenec
Avocat, Directeur de département Informatique conseil
Lexing Pôle Informatique conseil
(1) Règlement (UE) 2016/679 du 27-4-2016.
(2) Projet de norme ISO 29134.
(3) Post du 13-6-2016.
(4) Projet de norme ISO 29151.
(5) Post du 26-1-2015.