Quelles données peut-on stocker dans le cloud?

Le manque de conformité des environnements cloud est l’un des principaux arguments des détracteurs du modèle. L’opacité inhérente au cloud en ce qui concerne la localisation et les conditions d’entreposage des données sensibles ne facilite pas les choses. Pour autant, lorsque les conditions de conformité sont analysées et respectées dans le détail, l’emploi du cloud est tout à fait possible, et les entreprises peuvent profiter des multiples avantages de l’informatique en nuage, notamment en termes d’élasticité et de transfert des investissements en charges opérationnelles. C’est ce qui ressort d’un rapport d’EuroCloud Swiss sur le sujet.

Pas si différent de l’outsourcing

Sur de nombreux aspects, la problématique de la conformité du cloud est proche de celle qui prévaut pour l’outsourcing. A la différence notable que, dans la pratique, le contrôle exercé sur le prestataire d’outsourcing classique est en général plus rigoureux qu’avec un fournisseur cloud, notamment lorsque celui-ci se trouve à l’étranger.

Dans tous les cas, l’entreprise utilisatrice se doit de respecter tant les lois suisses que les régulations spécifiques à son secteur. Les auteurs du rapport rappellent qu’il est de la responsabilité de l’utilisateur de services cloud – et non du fournisseur - de respecter ces règles. Le prestataire cloud étant quant à lui principalement responsable de la sécurité des données, en termes de confidentialité, d’intégrité et de disponibilité. Concrètement, la conformité du stockage dans le cloud dépend surtout du type de données et de la branche d’activité de l’entreprise.

Protection des données personnelles

Les principales restrictions au stockage dans le cloud touchent à la protection des données personnelles – personnes physiques ou morales – et sont stipulées dans la Loi fédérale sur la protection des données (LPD). De fait, toute entreprise ayant des clients gère ce type de données, par exemple dans son CRM ou dans ses systèmes transactionnels. Certaines informations sont particulièrement sensibles, notamment lorsqu’elles concernent la religion, la santé, la race ou les opinions politiques.

Pour protéger les données personnelles, les entreprises peuvent notamment recourir à l’anonymisation, qui garantit la conformité à la LDP. Il en va de même du chiffrement des données, pour autant que le système employé soit suffisamment sophistiqué. L’emploi de pseudonymes, lorsqu’il n’est pas possible d’assurer un anonymat rigoureux, est en revanche problématique, sachant qu’il permet souvent de retrouver la personne à laquelle se rattachent les données.

Outre ces mesures, il est parfois nécessaire d’obtenir l’accord du client final dans les cas de données particulièrement sensibles. EuroCloud Swiss recommande par ailleurs de stipuler dans le contrat que le prestataire cloud est tenu d’informer l’entreprise en cas de violation de la protection des données. L’entreprise devrait de plus s’assurer qu’elle peut au besoin divulguer ledit contrat à son client final. 

Conditions spécifiques à certains secteurs

Outre le cas des données personnelles, les entreprises peuvent en général stocker et confier la gestion de leurs données à des tiers, pour autant que ce traitement corresponde à ce que l’entreprise ferait elle-même et qu’aucune disposition sectorielle ne s’y oppose. Ces restrictions viennent notamment des règles imposées aux administrations publiques. Certains cantons exigent par exemple de disposer de droits sur les systèmes informatiques employés, ou que le prestataire accepte leurs conditions générales de sécurité, ou encore qu’il soit possible d’accéder aux locaux du fournisseur – une mesure difficilement réalisable dans le cloud.

Autre cas particulier, celui des métiers soumis au secret professionnel, à l’instar des médecins et des avocats. Dans son rapport, EuroCloud explique que l’externalisation des données dans le cloud fait ici débat. La pratique tend à considérer le fournisseur cloud comme une partie de l’infrastructure organisationnelle du professionnel. Ce dernier doit par conséquent intégrer le service cloud dans son dispositif de secret professionnel, être en mesure de le contrôler et s’assurer que les informations protégées sont séparées aux niveaux technique et organisationnel – des contraintes peu compatibles avec l’esprit du cloud.

En ce qui concerne les banques, EuroCloud Swiss différencie les données des clients des données anonymes exploitées par exemple dans des environnements test. Pour les premières, l’utilisation du cloud n’est possible que sous certaines conditions. Outre la LPD, les banques doivent respecter les règles de la FINMA, en particulier la circulaire 2008/07 touchant à l’externalisation d’activités dans le secteur bancaire. Celle-ci impose notamment des règles concernant le choix du délégataire, la surveillance, la sécurité, l’information des clients et le contrat. Le transfert des données à l’étranger est encore plus restrictif et requière entre autres que le client en soit informé au préalable et puisse mettre un terme à la relation contractuelle dans un délai approprié.

Cloud à l’étranger?

Les restrictions sur le pays d’hébergement des données ne concernent pas que les banques. Les auteurs du rapport rappellent qu’en vertu de la LPD, les entreprises ne peuvent transférer des données personnelles à l’étranger que si leur protection est assurée. Ce qui implique par exemple que le pays en question dispose d’une législation en la matière analogue à celle de la Suisse. Dans les autres cas, l’entreprise doit s’assurer de cette protection d’une autre manière (contrat, consentement explicite des personnes concernées, safe harbor, etc.). Ces mesures sont également nécessaires lorsque l’infrastructure est en Suisse, mais que le prestataire à son siège social à l’étranger.

Enfin, EuroCloud Swiss  rappelle que les entreprises peuvent aussi être soumises aux réglementations des pays dans lesquels elles stockent leurs données, voire dans lesquels elles ont des filiales. Aux Etats-Unis, le Patriot Act né suite au 11 septembre autorise notamment le FBI à surveiller les fournisseurs cloud et à les contraindre de lui livrer des données.