La Commission Nationale Informatique et Liberté (CNIL) a édité un document de recommandations, disponible sur son site (en lien ci-dessous), incluant notamment les éléments essentiels devant figurer dans un contrat de prestation de services de « Cloud Computing » ainsi que des modèles de clauses. L’enjeu est de sensibiliser les entreprises aux risques encourus par le recours aux services de Cloud Computing (Informatique en Nuage) principalement dans les domaines de la protection des données personnelles et de la sécurité des données de l’entreprise. La CNIL a ainsi établi une liste de sept grandes recommandations : - Identifier clairement les données et les traitements qui passeront dans le « Cloud » - Définir ses propres exigences de sécurité technique et juridique Par exemple celles concernant la localisation des données ou leur sécurité. - Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise. Par exemple les risques de perdre la main sur le traitement des informations, de dépendre de la technologie du fournisseur, de voir ses informations modifiées ou divulguées à des tiers non autorisés ou de constater que les destructions de données ne soient pas effectives ou bien encore de ne plus accéder aux données ou services suite à la disparition de son prestataire. - Identifier le type de Cloud pertinent pour le traitement envisagé Par exemple pour une petite entreprise, choisir le mode SAAS pour accéder à des logiciels en ligne. - Choisir un prestataire présentant des garanties suffisantes Tant sur le plan juridique en matière de partage des responsabilités que sur le plan de la protection des données traitées. - Revoir la politique de sécurité interne - Surveiller les évolutions dans le temps