Utiliser le cloud et y stocker des données fait partie du quotidien de nombreuses entreprises, y compris la vôtre. Ce faisant, vous perdez toutefois en partie le contrôle sur vos données et vous vous en remettez au bon vouloir de vos fournisseurs ICT.
Grâce aux conseils suivants, vous pourrez vous assurer que l’environnement cloud de votre entreprise est bien conforme au RGPD.
Qui?
Dressez la liste des fournisseurs de cloud à qui votre entreprise fait appel. Il s’agit non seulement des fournisseurs de cloud globaux sur lesquels l’environnement réseau de l’entreprise s’appuie, tels que Microsoft Azur ou AWS, mais également de toutes les apps (en apparence souvent inoffensives) qui stockent des données dans le cloud, telles que Dropbox, Google Drive, WeTransfer et autres.
Examinez également quels fournisseurs ICT interviennent dans le transfert de données entre votre entreprise et le fournisseur de cloud. Souvent, les entreprises n’ont aucun lien direct avec le fournisseur de cloud, mais ont un ou plusieurs fournisseurs ICT qui gèrent une plate-forme ou un portail qui constitue un maillon intermédiaire entre l’entreprise et le fournisseur de cloud. Ces fournisseurs ICT ont également accès aux données de votre entreprise et agissent en qualité de sous-traitants, même s’ils ne conservent pas personnellement les données.
Quoi?
Évaluez quelles données personnelles vous conservez dans le cloud. Utillisez-vous le cloud uniquement pour une application déterminée ou pour toutes vos données?
Où?
Déterminez sur quels serveurs votre partenaire ICT stocke effectivement vos données. Ces serveurs se trouvent-ils dans l’UE ou ailleurs? Le partenaire ICT a-t-il le droit de transférer vos données comme bon lui semble d’un serveur à un autre?
Veillez à passer des accords contractuels clairs avec vos partenaires ICT. À cet égard, il est indiqué de limiter voire d’interdire tout traitement de vos données en dehors de l’Union européenne. Et si un traitement en dehors de l’UE est quand même nécessaire? Renseignez-vous bien sur les conditions auxquelles un tel traitement est possible et sur les garanties que vous devez prévoir en l’occurrence.
Comment?
Concluez un contrat de sous-traitance solide avec les fournisseurs de cloud et autres partenaires ICT.Les deux parties sont en effet légalement tenues de conclure un tel contrat de sous-traitance avec vous.
Security…check?
Aussi étonnant que cela puisse paraître, les données et les sauvegardes sont très souvent stockées dans un seul et même environnement (cloud), et les données cryptées avec leur clé de décryptage. En cas de violation de données chez le fournisseur de cloud, de litige avec le fournisseur ou votre partenaire ICT ou de problèmes de connexion, vous perdez automatiquement (même si ce n’est que temporairement) l’accès à toutes vos données. L’avenir réside dès lors dans les systèmes hybrides (comme la combinaison du stockage de données dans le cloud et du co-hébergement dans un centre de données, de sorte que les sauvegardes et clés de décryptage peuvent être conservées dans un environnement différent).
J’accepte…?
La plupart des apps et outils de partage ne peuvent, dans de nombreux cas, être utilisés qu’après acceptation des conditions générales d’utilisation standard. À cette occasion, vous marquez souvent votre accord avec un accès à vos données bien plus étendu que ce qui est nécessaire pour l’utilisation de l’app. Pire encore, dans certains cas, vous concédez au fournisseur de l’app le droit d’utiliser les données à des fins personnelles. Il arrive aussi régulièrement que les paramètres standards d’une app soient définis de manière très large et que vous deviez les modifier vous-même pour obtenir un niveau de protection plus élevé de vos données. Réexaminez attentivement les conditions standards et les paramètres de toutes les apps utilisées et arrêtez d’utiliser l’app si elle n’offre pas de possibilités de protection adéquate de vos données. Soyez-y également attentif à l’avenir avant d’installer et d’utiliser une nouvelle app.
Test 1, 2, 3!
Enfin, il vous est recommandé de tester régulièrement si les fournisseurs ICT et fournisseurs de cloud respectent correctement vos instructions concernant les données traitées. Les données qui doivent être modifiées sont-elles réellement modifiées dans tous les fichiers pertinents? Les données qui doivent être supprimées à la demande de la personne concernée (songez par exemple à une mailing list), sont-elles effectivement supprimées? Autrement dit, assurez-vous que les obligations qui découlent du contrat de sous-traitance et de la législation sont réellement respectées dans la pratique.
