A la suite d'une consultation publique lancée fin 2011 sur le cloud computing, la CNIL publie une synthèse des réponses et, surtout, un document applicable.
Ce document décline 7 recommandations majeures allant de l'identification des données et des traitements qui passeront dans le cloud à l'analyse de risques, au choix d'un prestataire ou à la qualification des risques et des impacts qu'entraine un choix aussi stratégique pour le Système d'Information (SI) de l'entreprise.
Par ailleurs, une annexe à ce document fournit des modèles de clauses contractuelles qui aideront avantageusement la rédaction d'un contrat de prestation de services en bonne et due forme. Saluons donc cette initiative pertinente de la CNIL qui marque peut-être là un tournant dans sa façon de communiquer mais surtout d'être "dans le vent" vis à vis d'une tendance avérée et irréversible. D'autant plus qu'existent certains décideurs d'entreprise qui considèrent, sûrement par manque d'information, l'autorité des "données personnelles et nominatives" davantage comme une sorte de gadget, fort peu utile, mais "heureusement" dotée de pouvoirs de nuisance limités.
L'évolution des enjeux concernant la protection des données et la sécurité de l'information ne laisse pas présager un relâchement ou un certain laxisme du législateur. C'est même plutôt l'inverse qui se dessine et, à cet égard, l'aspect législatif et juridique possède une dimension trop souvent sous-estimée. A ce titre, la mission et les prérogatives de la CNIL pourraient être amenées à évoluer. A bon entendeur...
Pour aller plus loin, on se référera à cette analyse des 7 recommandations ainsi qu'au guide de l'ANSSI "Externalisation et sécurité des systèmes d’information : maitriser les risques".
Source :
http://www.cnil.fr/la-cnil/actualite/article/article/cloud-computing-les-conseils-de-la-cnil-pour-les-entreprises-qui-utilisent-ces-nouveaux-services/
Ce document décline 7 recommandations majeures allant de l'identification des données et des traitements qui passeront dans le cloud à l'analyse de risques, au choix d'un prestataire ou à la qualification des risques et des impacts qu'entraine un choix aussi stratégique pour le Système d'Information (SI) de l'entreprise.
Par ailleurs, une annexe à ce document fournit des modèles de clauses contractuelles qui aideront avantageusement la rédaction d'un contrat de prestation de services en bonne et due forme. Saluons donc cette initiative pertinente de la CNIL qui marque peut-être là un tournant dans sa façon de communiquer mais surtout d'être "dans le vent" vis à vis d'une tendance avérée et irréversible. D'autant plus qu'existent certains décideurs d'entreprise qui considèrent, sûrement par manque d'information, l'autorité des "données personnelles et nominatives" davantage comme une sorte de gadget, fort peu utile, mais "heureusement" dotée de pouvoirs de nuisance limités.
L'évolution des enjeux concernant la protection des données et la sécurité de l'information ne laisse pas présager un relâchement ou un certain laxisme du législateur. C'est même plutôt l'inverse qui se dessine et, à cet égard, l'aspect législatif et juridique possède une dimension trop souvent sous-estimée. A ce titre, la mission et les prérogatives de la CNIL pourraient être amenées à évoluer. A bon entendeur...
Pour aller plus loin, on se référera à cette analyse des 7 recommandations ainsi qu'au guide de l'ANSSI "Externalisation et sécurité des systèmes d’information : maitriser les risques".
Source :
http://www.cnil.fr/la-cnil/actualite/article/article/cloud-computing-les-conseils-de-la-cnil-pour-les-entreprises-qui-utilisent-ces-nouveaux-services/
Aucun commentaire:
Enregistrer un commentaire