Skip to main content

Les logiciels en nuage sont-ils conformes au GDPR ? Un guide pour les spécialistes du marketing

Les plateformes de cloud sont devenues un outil de plus en plus important pour les entreprises modernes, et il est facile de comprendre pourquoi - 85 % des données des entreprises américaines étaient stockées dans le cloud en 2020 et le volume du marché du cloud public devrait atteindre 679 milliards de dollars d'ici 2025 (Statista, CRN).

Mais, alors que les entreprises sont de plus en plus nombreuses à migrer vers le cloud, la question de la sécurité des données de stockage dans le cloud a pris de l'importance - notamment à la lumière des exigences strictes du GDPR entrées en vigueur en 2018.

Certaines entreprises craignent de s'exposer à des amendes pour non-conformité au GDPR en utilisant un fournisseur de cloud pour stocker des données pour elles.

Et, bien que cela soit compréhensible étant donné qu'un tiers est impliqué, il n'y a aucune raison pour que les données stockées et gérées soient nécessairement moins sécurisées.

Qu'est-ce que le cloud ?

En termes simples, le nuage est un réseau de serveurs conçu pour stocker d'énormes quantités de données.

Les entreprises peuvent utiliser ce matériel pour stocker leurs propres données, auxquelles elles ont accès via l'internet.

Les exemples les plus connus sont Dropbox, Google Cloud et Amazon Web Services.

De manière générale, les logiciels en nuage peuvent être classés en trois catégories :

  1. Public - un service de cloud basé sur Internet et fourni à plusieurs organisations, soit gratuitement, soit avec un abonnement à l'utilisation.
  2. Privé - un service de nuage interne dédié à une seule entreprise.
  3. Hybride - un mélange de nuage public et privé.

Ils sont aussi souvent décomposés d'une autre manière :

  • Infrastructure-as-a-Service (IaaS) - une entreprise paie pour accéder aux ressources de calcul et de stockage d'un fournisseur de cloud computing.
  • Software-as-a-Service (SaaS) : une entreprise paie pour accéder à un logiciel à la demande sur Internet.
  • Platform-as-a-Service (PaaS) : service doté d'un environnement de développement et de déploiement que les entreprises peuvent utiliser pour créer des applications dans un navigateur.

Avantages du cloud pour les entreprises

Le stockage en nuage peut présenter d'énormes avantages pour les entreprises à un prix contenu : il réduit les coûts de sécurité et de gestion des données, améliore la communication et catalyse un meilleur travail d'équipe.

Les entreprises bénéficient également d'une sécurité renforcée, d'une réduction des temps d'arrêt dus aux problèmes d'infrastructure informatique et d'une excellente évolutivité au fil de leur croissance.

Dans l'ensemble, les logiciels en nuage offrent aux entreprises la flexibilité supplémentaire qui peut leur donner un avantage concurrentiel crucial :

  • 84 % font état d'améliorations opérationnelles dans les premiers mois suivant l'introduction (Multisoft).
  • Les petites et moyennes entreprises trouvent qu'il est 40 % plus rentable d'utiliser des plates-formes en nuage tierces que de maintenir une solution interne (Multisoft).
  • 94 % des entreprises font état d'améliorations substantielles de la sécurité en ligne après la migration des données vers le cloud (Salesforce).

Comment les logiciels en nuage ont-ils été touchés par le GDPR ?

De manière cruciale, 91 % des entreprises estiment que les plateformes de stockage dans le cloud ont été d'une grande aide dans leur travail de conformité aux exigences gouvernementales, comme le GDPR (Salesforce).

Elles ont depuis longtemps été conçues avec la sécurité au premier plan, en employant un cryptage avancé lors de la transmission des données - ce qui signifie qu'aucun utilisateur non autorisé n'est en mesure d'accéder à des informations privées.

Cela dit, le GDPR a changé de façon permanente la façon dont les données personnelles peuvent être stockées et traitées dans le cloud et le CEPD - le chien de garde de la vie privée de l'UE - enquête pour savoir si les services cloud AWS d'Amazon et Azure de Microsoft protègent efficacement les données des citoyens.

Les exigences du GDPR pour les fournisseurs de services en nuage sont les suivantes :

  • Développer des principes pour le traitement des données personnelles.
  • S'assurer que le processus de traitement des données respecte les 8 droits des personnes concernées par le GDPR.
  • Établir des exigences de protection de la vie privée dès la conception pour toute personne impliquée dans le traitement des données et les activités de contrôle.
  • Mettre en place des contrôles sur la propriété des données et le droit à la portabilité des données.
  • Introduire des mesures de sécurité qui garantissent la confidentialité des données.
  • Établir des principes pour le traitement des données à des parties internationales
  • Développer des politiques et des procédures pour gérer les violations de données
  • Développer des politiques concernant l'établissement d'accords contractuels, de périodes de conservation des données et d'autres exigences applicables.

Quelle est la responsabilité d'une entreprise pour les données détenues dans le nuage ?

Les questions de sécurité des tiers sont une préoccupation majeure du GDPR, et celles-ci incluent lorsqu'une plateforme cloud tierce stocke des données pour le compte d'une entreprise cliente.

Le GDPR fait la distinction entre les " contrôleurs de données " et les " processeurs de données " lorsqu'il s'agit de la responsabilité de la sécurité des informations personnelles.

Dans ce contexte, l'entreprise est le contrôleur de données, tandis que le fournisseur de logiciels en nuage est le processeur de données - ce qui signifie que l'entreprise est donc responsable de la sécurité des données personnelles, qu'elles soient stockées sur ses propres serveurs ou non.

 

Ce à quoi il faut penser lors du choix d'une plateforme de cloud computing

Avant de migrer vers le cloud, il est conseillé aux entreprises de s'assurer que leur flux de données personnelles est correctement cartographié et de procéder à une évaluation de l'impact sur la vie privée.

Les considérations suivantes seront au cœur de cette démarche :

  • Lasouveraineté des données La réglementation GDPR stipule que les données doivent être stockées dans l'Union européenne. Heureusement, il existe de nombreux fournisseurs de services cloud qui vous laissent choisir le lieu de stockage des données, et vous pouvez donc en sélectionner un qui utilise des centres de données en Europe.
  • Sécurité des données Vérifiez la sécurité mise en place par la plateforme de stockage en nuage et choisissez-en une qui offre un cryptage de bout en bout. En définitive, vous devez être convaincu que le fournisseur a mis en place des procédures de sécurité adéquates.
  • Respect des personnes concernées Choisissez un fournisseur de services d'informatique dématérialisée qui respecte les huit droits à la vie privée des personnes concernées dans l'Union européenne.
  • Protection des données dès la conception et par défaut Assurez-vous que la société de services en nuage a intégré la sécurité dans sa conception et ses procédures, par exemple en utilisant un cryptage à connaissance zéro qui limite l'accès aux informations sensibles. Il s'agit d'un élément essentiel, étant donné que toute violation de données sera en fin de compte la responsabilité de votre entreprise.

La conformité au GDPR nécessite un travail continu

Une fois qu'une entreprise a migré des données vers le cloud, il est judicieux de procéder à des audits réguliers pour s'assurer que les procédures et processus opérationnels restent conformes au GDPR.

Il est également conseillé de vérifier régulièrement que la plateforme de cloud continue de se conformer à toute garantie de sécurité donnée.

Ce travail est normalement effectué par des organismes de surveillance ou des sites d'examen tiers indépendants, qu'il convient de vérifier avant de prendre une décision quant à l'option à choisir.