Par Louis de Gaulle, avocat associé, et Sabine Zylberbogen, avocat. de Gaulle Fleurance & Associés
La norme ISO 27018 sur la sécurité dans le Cloud, une bonne nouvelle pour les banques
Cette nouvelle norme internationale est la première qui porte sur la sécurité des données personnelles dans le Cloud. C’est une bonne nouvelle pour les entreprises qui étaient, jusqu’à présent, réticentes à l’utilisation du Cloud pour certains de leurs services, notamment en raison des incertitudes liées à la sécurité des données et par ricochet aux obligations réglementaires applicables.
Le Cloud permet l’externalisation de services informatiques, l’optimisation des centres importants de données par une utilisation partagée des infrastructures IT entre de multiples utilisateurs selon leurs besoins réels. Ainsi, le Cloud permet notamment de réduire les investissements coûteux dans le matériel informatique et de repenser l’organisation des flux de données des entreprises.
Le Cloud permet l’externalisation de services informatiques, l’optimisation des centres importants de données par une utilisation partagée des infrastructures IT entre de multiples utilisateurs selon leurs besoins réels. Ainsi, le Cloud permet notamment de réduire les investissements coûteux dans le matériel informatique et de repenser l’organisation des flux de données des entreprises.
Les risques couramment soulevés
Néanmoins, comme le Cloud est basé sur la mise en commun des infrastructures pour le traitement des données, dont les données personnelles (et en particulier les données financières), et dès lors que les serveurs peuvent être localisés n’importe où dans le monde, avec de multiples sous-contractants, les problèmes de sécurité et de confidentialité ont été jusqu’à présent des obstacles majeurs à son adoption par certains secteurs. La plupart des banques ont adopté une approche sélective. Certaines ont limité le recours au Cloud pour des services ne traitant pas de données sensibles comme pour le CRM, la gestion des relations commerciales ou des services ne requérant aucune identification personnelle comme les outils en ligne de simulation de prêt. Les flux concernant les autres données sont traités sur des serveurs propres, internes à l’entreprise.1 Sans surprise et de façon légitime, les questions principales et récurrentes étaient : (i) comment suivre et contrôler la localisation des données stockées ? (ii) quels sont les sous-contractants, quels sont leurs rôles et de façon plus importante, quelles sont leurs responsabilités ? (iii) comment contrôler la sécurité en cas de transfert à l’international des informations personnelles ? (iv) comment contrôler les mesures de sécurité mises en place afin d’éviter l’interconnexion de données avec d’autres utilisateurs du même réseau de Cloud ? (iv) comment éviter et contrôler l’utilisation possible des données pour d’autres finalités, comme par exemple le marketing ou la publicité, sans le consentement préalable du client ? et enfin, (vi) comment le Cloud peut-il être conforme aux obligations générales issues de la réglementation européenne en matière de données personnelles ? Jusqu’à présent, en dehors de nombreuses recommandations nationales, européennes ou internationales, il n’y avait pas de référence reconnue globalement pour la sécurité des données personnelles stockées dans le Cloud. Dans ce contexte, l’adoption de la norme ISO/IEC 27018 complète l’ensemble des normes applicables au Cloud et ajoute des lignes directrices importantes pour le traitement des données personnelles stockées dans des services Cloud, IaaS, SaaS ou PaaS.
Les éléments clés de la norme ISO 27018
La norme intègre de multiples contributions (industriels, fabricants, utilisateurs, gouvernements, autorités nationales, etc.) dont les états membres de la Communauté européenne. Elle aboutit au meilleur compromis possible reconnu internationalement. Aussi, bien que les autorités européennes et nationales pour la protection des données personnelles n’aient pas officiellement approuvé cette norme, elle transpose de nombreux concepts de la Directive européenne sur les données personnelles CE/95/46 et intègre de nombreux éléments des clauses types européennes pour le transfert de ces données en dehors de l’UE. Ainsi, elle apporte d’une part, une certaine forme d’uniformité au sein de l’écosystème Cloud, d’autre part, plus de sécurité aux données personnelles et ainsi, un moyen efficace pour répondre aux obligations légales applicables en la matière. En effet, les certifications ISO 27001 et 27018, renouvelées périodiquement, deviennent un moyen simple pour un fournisseur de services Cloud de démontrer que le traitement des données personnelles par son service respecte des procédures assurant un niveau suffisant, adéquat et proportionné de sécurité maintenu dans le temps et permettent notamment :
Contrôle. Les fournisseurs de Cloud ont l’interdiction expresse d’utiliser les données stockées pour leurs propres finalités.
Transparence. Les fournisseurs de Cloud doivent informer leurs clients du lieu de stockage des données et s’engager clairement sur les moyens mis en œuvre pour la sécurité de leur traitement.
Responsabilité. Toute violation des mesures de sécurité des données pourrait aboutir à un rapport clair sur les incidents et leur résolution et à une notification aux clients et autorités de contrôle.
Conformité. La certification des fournisseurs de Cloud doit être rigoureuse, récurrente et réalisée par un établissement de certification indépendant et accrédité.
Quelles sont les prochaines étapes ?
Il convient de noter que la norme n’inclut pas de mesures sectorielles spécifiques (par ex. dans le secteur de la santé), ni n’intègre d’autres réglementations nationales que celles de l’Europe (comme le « Patriot Act » américain). Mais elle permettra certainement, au secteur financier notamment, d’envisager plus sereinement le recours au Cloud pour de nouvelles organisations IT, de gestion des données ou encore de services innovants et personnalisés. Bien entendu, nous observerons dans les mois à venir le niveau d’adoption de ce standard pour répondre aux réticences du secteur financier, mais nous pouvons raisonnablement anticiper un accueil positif. Il sera intéressant de suivre la réaction des banques et si elles utiliseront ce standard comme une nécessité lors des négociations de services Cloud avec un fournisseur, ou si les fournisseurs de Cloud adopteront ce standard spontanément comme un outil de concurrence pour convaincre leurs prospects. Les risques couramment soulevés
Néanmoins, comme le Cloud est basé sur la mise en commun des infrastructures pour le traitement des données, dont les données personnelles (et en particulier les données financières), et dès lors que les serveurs peuvent être localisés n’importe où dans le monde, avec de multiples sous-contractants, les problèmes de sécurité et de confidentialité ont été jusqu’à présent des obstacles majeurs à son adoption par certains secteurs. La plupart des banques ont adopté une approche sélective. Certaines ont limité le recours au Cloud pour des services ne traitant pas de données sensibles comme pour le CRM, la gestion des relations commerciales ou des services ne requérant aucune identification personnelle comme les outils en ligne de simulation de prêt. Les flux concernant les autres données sont traités sur des serveurs propres, internes à l’entreprise.(1) Sans surprise et de façon légitime, les questions principales et récurrentes étaient : (i) comment suivre et contrôler la localisation des données stockées ? (ii) quels sont les sous-contractants, quels sont leurs rôles et de façon plus importante, quelles sont leurs responsabilités ? (iii) comment contrôler la sécurité en cas de transfert à l’international des informations personnelles ? (iv) comment contrôler les mesures de sécurité mises en place afin d’éviter l’interconnexion de données avec d’autres utilisateurs du même réseau de Cloud ? (iv) comment éviter et contrôler l’utilisation possible des données pour d’autres finalités, comme par exemple le marketing ou la publicité, sans le consentement préalable du client ? et enfin, (vi) comment le Cloud peut-il être conforme aux obligations générales issues de la réglementation européenne en matière de données personnelles ? Jusqu’à présent, en dehors de nombreuses recommandations nationales, européennes ou internationales, il n’y avait pas de référence reconnue globalement pour la sécurité des données personnelles stockées dans le Cloud. Dans ce contexte, l’adoption de la norme ISO/IEC 27018 complète l’ensemble des normes applicables au Cloud et ajoute des lignes directrices importantes pour le traitement des données personnelles stockées dans des services Cloud, IaaS, SaaS ou PaaS.
Les éléments clés de la norme ISO 27018
La norme intègre de multiples contributions (industriels, fabricants, utilisateurs, gouvernements, autorités nationales, etc.) dont les états membres de la Communauté européenne. Elle aboutit au meilleur compromis possible reconnu internationalement. Aussi, bien que les autorités européennes et nationales pour la protection des données personnelles n’aient pas officiellement approuvé cette norme, elle transpose de nombreux concepts de la Directive européenne sur les données personnelles CE/95/46 et intègre de nombreux éléments des clauses types européennes pour le transfert de ces données en dehors de l’UE. Ainsi, elle apporte d’une part, une certaine forme d’uniformité au sein de l’écosystème Cloud, d’autre part, plus de sécurité aux données personnelles et ainsi, un moyen efficace pour répondre aux obligations légales applicables en la matière. En effet, les certifications ISO 27001 et 27018, renouvelées périodiquement, deviennent un moyen simple pour un fournisseur de services Cloud de démontrer que le traitement des données personnelles par son service respecte des procédures assurant un niveau suffisant, adéquat et proportionné de sécurité maintenu dans le temps et permettent notamment :
Contrôle. Les fournisseurs de Cloud ont l’interdiction expresse d’utiliser les données stockées pour leurs propres finalités.
Transparence. Les fournisseurs de Cloud doivent informer leurs clients du lieu de stockage des données et s’engager clairement sur les moyens mis en œuvre pour la sécurité de leur traitement.
Responsabilité. Toute violation des mesures de sécurité des données pourrait aboutir à un rapport clair sur les incidents et leur résolution et à une notification aux clients et autorités de contrôle.
Conformité. La certification des fournisseurs de Cloud doit être rigoureuse, récurrente et réalisée par un établissement de certification indépendant et accrédité.
Quelles sont les prochaines étapes ?
Il convient de noter que la norme n’inclut pas de mesures sectorielles spécifiques (par ex. dans le secteur de la santé), ni n’intègre d’autres réglementations nationales que celles de l’Europe (comme le « Patriot Act » américain). Mais elle permettra certainement, au secteur financier notamment, d’envisager plus sereinement le recours au Cloud pour de nouvelles organisations IT, de gestion des données ou encore de services innovants et personnalisés. Bien entendu, nous observerons dans les mois à venir le niveau d’adoption de ce standard pour répondre aux réticences du secteur financier, mais nous pouvons raisonnablement anticiper un accueil positif. Il sera intéressant de suivre la réaction des banques et si elles utiliseront ce standard comme une nécessité lors des négociations de services Cloud avec un fournisseur, ou si les fournisseurs de Cloud adopteront ce standard spontanément comme un outil de concurrence pour convaincre leurs prospects. ternationale est la première qui porte sur la sécurité des données personnelles dans le Cloud. C’est une bonne nouvelle pour les entreprises qui étaient, jusqu’à présent, réticentes à l’utilisation du Cloud pour certains de leurs services, notamment en raison des incertitudes liées à la sécurité des données et par ricochet aux obligations réglementaires applicables.
1 Revue Banque n°768, Cloud computing, quand
les banques s’approprient l’informatique.