Deux projets de normes ISO pour la transparence du cloud

Deux projets de normes ISO pour la transparence du cloudDeux projets de normes ISO doivent permettre de renforcer la transparence des offres du cloud computing.

La nouvelle réglementation introduit pour toute l’Union européenne de nouveaux standards qui renforcent la protection des données personnelles (1). Alors que la sécurité et la confidentialité des données est déjà un enjeu majeur pour le cloud computing, deux projets de normes ISO doivent permettre de relever le défi de la « compliance » ou conformité.

Norme ISO 29134 (2) sur les études d’impact et les données personnelles dans le cloud : le nouveau règlement européen contribue à l’adoption de projets de normes ISO

L’analyse d’impact est la grande innovation de l’article 35 règlement (3). Le responsable de traitement, ici le client du service cloud, doit effectuer une analyse de l’impact des opérations de traitement envisagées sur la protection des données personnelles lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Le projet de nouvelle norme vise à établir une méthodologie pour la mise en œuvre des « privacy impact assessment » ou PII. Cette norme devrait permettre de fixer la trame de ces études d’impact afin de réduire les divergences d’approche et en améliorer la qualité.

Norme ISO 29151 (4) pour mieux responsabiliser les acteurs du cloud computing : les projets de normes ISO dans le cloud couvrent l’intégralité du cycle de vie de la donnée

Ce projet de norme vient directement en complément de la norme 27018 (5) qui a constitué une avancée majeure portée par plusieurs grands acteurs du cloud pour la transparence sur la localisation des données personnelles et la manière dont elles sont traitées. L’apport du projet de nouvelle norme est, dans le cadre d’études d’impact, de couvrir l’ensemble du traitement réalisé dans le cloud. De la collecte jusqu’à la destruction des données, l’ensemble du cycle de vie des données est concerné. L’objectif est de mieux responsabiliser les acteurs intermédiaires, sous-traitants et autres prestataires de service pour améliorer la confiance dans le cloud.

Dans tous les cas, après leur adoption et publication, la mise en œuvre de ces deux projets de normes ISO ne saurait suffire pour pouvoir se déclarer conforme à la réglementation sur les données personnelles. Il s’agit simplement de normes rassemblant des bonnes pratiques permettant d’atteindre cet objectif de conformité. C’est déjà beaucoup mais cela ne dispense pas non plus de prévoir des engagements fermes par contrat, notamment au moyen d’annexes circonstanciées.

Eric Le Quellenec
Avocat, Directeur de département Informatique conseil
Lexing Pôle Informatique conseil

(1) Règlement (UE) 2016/679 du 27-4-2016.
(2) Projet de norme ISO 29134.
(3) Post du 13-6-2016.
(4) Projet de norme ISO 29151.
(5) Post du 26-1-2015.




Cloud, normes ISO et responsabilité juridique

Cloud, normes ISO et responsabilité juridiqueEric Le Quellenec, sollicité par Serge Escalé pour GPO Magazine, revient sur les normes ISO publiées le 15 octobre 2014, afférentes à l’utilisation du cloud en mode IaaS, dont il recommande l’application aux entreprises.

Après un peu plus de deux ans de travaux, les organismes de normalisation UIT-T et ISO ont approuvé trois nouvelles normes sur le cloud computing. Pour mémoire, ce sont les normes ISO/IEC 17789:2014, ISO/IEC 17788:2014 et  ISO/IEC 27018:2014 (disponibles gratuitement sur www.itu.int/).

La norme ISO 17788 définit les cinq types d’intervenant sur le marché du cloud computing (auditeurs, partenaires, clients, fournisseurs, intermédiaires), les trois types de services proposés (infrastructure as a service ou « IaaS », platform as a service ou « PaaS » et Software as a Service ou « SaaS »).

La norme ISO 17789 s’attache à définir l’architecture fonctionnelle de référence, c’est-à-dire la façon de construire une plateforme de services cloud computing, dans un souci d’interopérabilité. La norme ISO 27018 fixe les règles de sécurité à appliquer pour les fournisseurs de cloud public afin d’assurer la protection des données personnelles, garantir la transparence et se conformer à leurs obligations réglementaires.

Une norme relative au SLA (Service Level Agreement) devrait par ailleurs être publiée dans le courant de l’année.

En intégrant ces nouvelles normes dans les contrats, elles acquièrent force de loi. Selon Eric Le Quellenec, il n’y avait auparavant aucune marge pour négocier en cas de litige avec un client. Par contrat, il est ainsi possible de préciser la localisation du stockage physique des données, les conditions de rétablissement des services, les clauses de garantie.

Eric Le Quellenec, « Comment sécuriser vos informations dans le cloud », GPO Magazine, 7 mai 2015