Allo docteur, j'ai un problème ! La CNIL me fait un rappel à l'ordre pour non-respect de la RGPD sur une application en cloud, qu'est-ce que je peux faire ?
Bon déjà si vous n'avez pas lu la base de la RGPD, je vous invite à le faire, ça se passe ici.
La RGPD dans le cloud, ce n'est pas qu'un choix de prestataire et d'infrastructure. C'est aussi quelques autres règles génériques que nous n'avons pas encore abordées, mais rassurez-vous, on va voir tout ça !
Bien commencer et bien choisir son infrastructure en conformité avec la RGPD
Lorsque vous choisissez une infrastructure, qu'elle soit dans le cloud ou pas, il y a plusieurs points à respecter. Il y a 3 points majeurs à adresser :
- Faire une analyse d'impact relative à la protection des données
- Définir une sécurité par défaut
- Mettre en place une protection de données dès la conception.
Regardons plus en détails chacun de ces points.
L'analyse d'impact relative à la protection des données
Lorsque vous développez une application ou mettez en place une infrastructure logicielle, vous devez évaluer et analyser les risques que représentent vos traitements de données.
Cette analyse est même obligatoire si votre traitement engendre un risque élevé, par exemple pour les données présentant un risque direct pour l'utilisateur. Cela concerne par exemple les données médicales, financières ou commerciales. Elle est aussi obligatoire si le traitement que vous réalisez est dans la liste des types d'opérations pour lesquelles la CNIL estime obligatoire de réaliser une analyse d'impact.
Comment faire pour déterminer si vous devez faire cette analyse ? Très simplement en vérifiant si votre traitement répond à au moins 2 des critères suivants :
- Evaluation ou notation ;
- Décision automatisée avec effet juridique ou effet similaire significatif ;
- Surveillance systématique ;
- Données sensibles ou données à caractère hautement personnel ;
- Données personnelles traitées à grande échelle ;
- Croisement d’ensembles de données ;
- Données concernant des personnes vulnérables ;
- Usage innovant ou application de nouvelles solutions technologiques ou organisationnelles ;
- Exclusion du bénéfice d’un droit, d’un service ou contrat.
La CNIL vous met même à disposition des outils pour vous aider à analyser et gérer vos risques.
Une sécurité par défaut
Ce terme de sécurité par défaut est souvent entendu par accès au matériel, qu'il soit physique ou pas. La plupart du temps, on fait le choix du zéro trust (aucune confiance). Il s'articule autour de plusieurs points de sécurité :
- Ne pas avoir d'utilisateur ayant les droits absolus sur la machine. Chaque utilisateur a un périmètre bien défini qui lui est propre.
- Ne pas autoriser l'accès à une machine par défaut. Les utilisateurs doivent être ajoutés unitairement en fonction de leurs besoins.
- Ne pas faire confiance aux connections extérieures. Il faut donc rendre la machine accessible uniquement au sein du réseau dans lequel elle est utilisée et autoriser au cas par cas les accès à cette machine.
C'est là que les premières contraintes liées au cloud peuvent arriver. Lorsque vous choisirez votre hébergement, il faudra vous assurer des niveaux de sécurité. En SAAS, vous ne devriez pas rencontrer trop de problème, mais en fonction de votre fournisseur, cela pourrait être de votre responsabilité en PAAS ou en IAAS.
Mise en place d'une protection des données dès la conception
Lorsque vous développez votre logiciel, vous devez dès l'étape de la conception, identifier les données à caractère personnel et décider comment vous allez les sécuriser.
Le plus simple et le plus courant est le chiffrement, mais vous pouvez bien entendu aussi les anonymiser. Il est surtout important de vous demander si vous en avez réellement besoin !
Là aussi, le choix de votre hébergement peut avoir des conséquences, notamment sur leur manière de chiffrer les données ou sur le stockage de vos clés de chiffrement.
Choisir son fournisseur Cloud
Bon, c'est bien gentil les règles, mais comment on fait pour choisir correctement son fournisseur ? Quels sont les points clés qu'il faut vérifier ?
Et bien, le premier, le plus basique, c'est que votre fournisseur propose des garanties de conformité avec la RGPD. Il faut aussi déterminer la responsabilité du fournisseur. La CNIL vous met aussi à disposition les éléments devant figurer sur le contrat de prestation.
On y retrouve :
- L'existence d'un système de remontée de plaintes et/ou de failles de sécurité ;
- Les moyens de traitement ;
- Les destinataires des données ;
- L'obtention du consentement du client ;
- L'existence de procédures simples pour respecter les droits des personnes concernées (comme les droits d'accès, de modification ou de suppression) ;
- La durée de conservation limite des données ;
- Les moyens de destruction ou de restitution des données en cas de fin ou rupture du contrat ;
- Les moyens de procéder à des audits ;
- Les contraintes de réversibilité, portabilité et traçabilité des données ;
- Devoir de coopération avec les autorités ;
- Qui est le responsable de traitement et le sous-traitant ;
- La liste des pays hébergeant les centres de données ;
- Assurance de protection adéquate à l'étranger ;
- La possibilité de limiter le transfert vers un pays reconnu en conformité avec la RGPD.
Vous pouvez aussi vous assurez que le fournisseur a certaines certifications comme l'ISO 27001 ou FIPS 140-2.
Qu'est-ce qu'on peut mettre sur le cloud ?
Maintenant qu'on a déterminé comment bien choisir son fournisseur, il serait temps de se demander si on peut tout mettre sur le cloud, vous ne croyez pas ?
La réponse est tout simplement oui, mais en respectant le niveau de sécurité approprié.
Premièrement, vous ne devez conserver les données personnelles que pour la durée nécessaire à la réalisation des fins pour lesquelles elles ont été collectées.
Ensuite, pour toutes les données médicales, financières ou commerciales, vous vous devez d'avoir un niveau de sécurité supplémentaire, en plus de respecter les points déjà évoqués. Vous pouvez bien entendu demander conseil auprès d'un spécialiste de la question si besoin.
Et après ?
Lorsque vous avez fait tout ça et que votre logiciel est enfin déployé, il reste encore des choses à faire.
Vous avez plusieurs obligations, notamment en cas d'attaque ou de fuite de données.
La première, la plus logique, c'est d'identifier et de résoudre ce problème de sécurité. Votre contrat devrait vous aider à vous retourner contre votre fournisseur au besoin.
Ensuite, vous avez l'obligation de notifier la CNIL et les personnes pouvant être impactées par cette attaque. Un mail est généralement suffisant, sauf si la donnée ayant été visée peut porter un préjudice vital pour la personne. Le délai de prévenance est de 72 heures. Au-delà de ce délai, vous devrez justifier du motif de ce retard. Cette notification doit contenir les informations sur la nature de la violation, une description des conséquences probables de l'attaque, ainsi que les mesures prises ou envisagées pour éviter que l'incident ne se reproduise. Si vous souhaitez plus d'information ou des outils sur ce sujet, vous pouvez vous rendre sur l'excellente documentation de la CNIL.
Enfin, vous avez un devoir de formation auprès de votre personnel. Cet article ainsi que toutes les ressources fournies par la CNIL vous permettent de remplir ce devoir de formation.
Bien entendu, en cas de doute ou de question, le meilleur reflexe reste de contacter un avocat spécialisé en protection des données. Il devrait aussi pouvoir vous aider notamment dans la réalisation du contrat avec votre fournisseur.