Le phénomène de digitalisation des systèmes d’information est apparu comme une évolution nécessaire voire obligatoire. Il est à la fois vecteur de compétitivité et de modernité, mais il convient de considérer qu’il s’agit également d’un vecteur de risque. L’utilisation du Cloud est l’illustration parfaite de ce phénomène, ayant pris une place considérable dans l’organisation des entreprises.
Ces deux dernières années, deux fois plus de données ont été stockées dans le Cloud que dans les data center des entreprises. Mais surtout, 90% des données actuelles ont été stockées durant ces deux dernières années. Cela montre l’évolution considérable de son utilisation, mais pose de nombreuses interrogations quant à la sécurité des données qui y sont stockées. Le phénomène dépeint une véritable perte de contrôle de ces informations par les systèmes informatiques.
A titre d’illustration, de nombreux individus ont vu la sécurité de leurs données impactée par des atteintes sur le Cloud. Par exemple, 57 millions de données-clients de Uber ont été récupérées sur le Cloud, de même que 2,5 millions de données des clients Yves Rocher se sont retrouvées en vente sur le Dark Web. Il peut s’agir de données sensibles, mais en tout état de cause, les personnes concernées par ses données n’envisageaient pas que celles-ci soient accessibles par des personnes tierces.
Les atteintes aux données personnelles sont devenues à ce point courantes que les données personnelles de toute personne sont vouées à être piratées ou utilisées.
Quid de la mise en conformité du Cloud avec le RGPD ?
En théorie, si les données intégrées dans le Cloud étaient dument contrôlées, aucune faille de sécurité ne devrait voir le jour. Cependant, ceci est loin d’être le cas, si l’on se réfère au nombre d’atteintes décriées ces dernières années. La CNIL opère alors de nombreux contrôles afin de vérifier si les entreprises sont en conformité avec les conditions du RGPD.
Pourtant, à la lecture du RGPD, aucune disposition ne porte sur le Cloud. Cet aspect est regrettable au vu de l’importance et de l’évolution du Cloud.
Quid de la sous-traitance, entendue au sens du RGPD ?
Au sens du RGPD et de la CNIL, et concernant le traitement des données, un « sous-traitant est la personne physique ou morale qui traitera ces données à la demande et pour le compte du responsable du traitement. » Cela peut concerner à la fois l’hébergement des données, comme leur classement, soit toute entreprise qui aurait accès aux données à un instant donné.
Or, et depuis l’entrée en vigueur du RGPD, la balance des responsabilités s’est quelque peu équilibrée. En effet, si antérieurement à ses dispositions et conformément à la loi de l’informatique et des libertés de 1978, la responsabilité de l’entreprise contrôlant les opérations était d’environ 90% face à 10% pour le sous-traitant, le responsable serait aujourd’hui responsable à 51% contre 49% pour le sous-traitant. Il convient donc pour le sous-traitant de se conformer aux dispositions du RGPD autant que l’entreprise responsable.
Le RGPD impose donc une mise en conformité quasi-impossible, tant elle apparaît complexe et tant elle concerne un grand nombre d’acteurs, liés les uns aux autres.
En pratique, comment s’y conformer ?
La question n’est pas de savoir comment s’y conformer tant l’exercice est difficile, mais comment se rapprocher au maximum d’une mise en conformité. Il s’agirait d’appliquer strictement le RGPD, qui pose des minimas de mise en conformité.
Finalement, peut-être ne faudrait-il pas tout inclure sur le Cloud, bien qu’il permette une organisation plus aisée au sein des entreprises, afin de sécuriser au maximum les données.
La difficulté majeure pour être en conformité avec le RGPD est de pouvoir négocier avec les géants de l’Internet, ayant directement accès aux données de ses utilisateurs.
Si la négociation contractuelle apparaît au cœur de cette mise en conformité, il s’agit d’un exercice peu aisé. En effet, si elle s’avère envisageable avec des entreprises de petite taille, elle apparaît impossible face aux grandes entreprises spécialisées dans le domaine de l’Internet. La clause la plus difficile à négocier demeure celle du droit applicable à l’occasion d’un litige, qui présente un enjeu évidemment considérable quant à l’attention portée à la protection des données. Pour conclure, nous nous apercevons à travers ces développements que la mise en conformité du Cloud avec le RGPD est une rude épreuve et qu’elle s’avère presque impossible. Pourtant, les problèmes de sécurité concernant les données personnelles apparaissent comme un véritable frein aux activités commerciales. Ainsi, de manière évidente, les utilisateurs du Web sont de plus en plus conscients des atteintes portées à leurs données et sont en quête de services de Cloud, protecteurs de celles-ci.
IPzen est une solution de gestion de dossiers, sur le Cloud, centralisée, intuitive et sécurisée vous permettant de regrouper vos dossiers en un seul endroit et de gagner du temps. Cet outil de gestion vous accompagne dans la protection de vos données grâce à sa plateforme simple et intuitive !
Vous souhaitez en savoir plus ? Demandez votre démonstration par email à l’adresse : contact@ipzen.local