Transparence, encadrement des transferts de données à l’étranger, possibilité d’audits, et réversibilité sont des exigences incontournables.

La Commission nationale de l’informatique et des libertés (Cnil) a publié, le 1er juillet 2013, quelques recommandations pratiques. Elles sont destinées aux entreprises françaises qui souhaiteraient utiliser des prestataires offrant un service de stockage de données en ligne.

Garantir la confidentialité. Ces sociétés devront, notamment, s’assurer que leur fournisseur s’engage contractuellement à assurer la sécurité et la confidentialité des données hébergées dans son cloud. Mais aussi veiller à ce qu’il en garantisse un traitement transparent (par exemple, en mentionnant le recours à des sous­traitants) et qu’il indique précisément quels sont les lieux de stockage des informations ainsi que les transferts susceptibles d’être effectués. Le client d’un tel service est d’ailleurs tenu de procéder à ces vérifications lorsque ses données à caractère personnel risquent d’être hébergées en dehors de l’Union européenne (UE), conformément à l’article 68 de la loi informatique et libertés du 6 janvier 1978 modifiée.

Surveiller les transferts. Il existe un code de bonne conduite qui peut être imposé aux prestataires. Ce sont les Binding Corporate Rules (BCR ou règles internes d’entreprise) relatives à la protection des données lorsqu’elles sont transférées depuis l’UE vers des pays tiers. L’entreprise cliente aura, entre autres, la possibilité de limiter les transferts de données de façon à ce que ceux­ci n’interviennent qu’en direction de pays assurant un niveau de protection suffisant. Enfin, le prestataire sera tenu de s’engager à informer son client de toute requête provenant d’une autorité administrative ou judiciaire, mais aussi de collaborer, le cas échéant, avec les autorités précitées.

Il est également conseillé au client de se ménager, via une clause du contrat, la possibilité de diligenter des audits chez le prestataire. Sans oublier de s’assurer qu’une réversibilité des données est prévue de façon à prévenir le cas où l’entreprise souhaiterait changer de prestataire. Il s’agit bien sûr ici d’une liste non exhaustive des points à vérifier dans les contrats donnant lieu à une externalisation des données d’une société auprès de prestataires de cloud computing.