Y a-t-il réellement une place pour la confidentialité dans l’utilisation du « nuage » ? Certaines solutions sont elles à privilégier ? Quelles sont les règles de bases à observer ?
Maintenant que nos données sont accessibles quasiment partout et tout le temps, la question de la visibilité de ces informations n’est pas à prendre à la légère. Pour commencer, chaque utilisateur doit s’interroger : qui est propriétaire de ces données ? La plupart des pays n’a pas encore inscrit dans sa loi de règle particulière concernant les données des utilisateurs dans le Cloud.
L’Union Européenne et la CNIL étudient le sujet
Pourtant, en septembre 2011 l’Union européenne annonçait l’avancée d’une directive sur le sujet avec une préoccupation majeure : l’utilisation de serveurs situés en dehors de l’Union européenne dans un premier temps. Concrètement l’Europe souhaite protéger les données des utilisateurs, même si celles-ci sont hébergées en dehors du Vieux Continent. Une directive qui devrait s’appliquer dans les mois à venir.
En France, la CNIL a lancé une consultation publique afin de soulever les nombreuses questions concernant la protection des données personnelles. « La CNIL souhaite envisager toutes les solutions tant d'un point de vue juridique que technique afin que soit garanti un haut niveau de protection aux données personnelles tout en tenant compte des enjeux économiques liés au Cloud computing », annonce-t-elle dans un communiqué.
Éplucher les conditions d’utilisation
L’utilisateur qui souhaite faire appel au Cloud pour ses données, de quel type que ce soit (documents professionnels, photos, vidéos, musique, etc.) se doit de se renseigner auparavant sur les termes d’utilisations de son fournisseur. Ainsi, après avoir rencontré des problèmes de sécurité, le service Dropbox modifiait ses conditions d’utilisations en juillet dernier. Conséquence immédiate : Dropbox est désormais propriétaire des données hébergées.
« En nous soumettant vos travaux, vous nous accordez l'accès (...) dans le monde entier, non exclusif, libre de royalties, les droits de licence, d'utiliser, copier, distribuer, préparer des travaux dérivés (...) d'exécuter ou afficher publiquement ces travaux dans la mesure raisonnable et nécessaire pour le service », expliquent les nouvelles CGU entrées en vigueur dès le 15 juillet.
Autre interrogation à soulever au moment d’exploiter le Cloud pour ses données : si je souhaite arrêter d’utiliser le service, que deviennent mes informations ? Le compte sera-t-il suspendu ou totalement supprimé ? Et si par malheur l’entreprise n’était plus dans la possibilité d’accéder à son compte, que deviennent ses informations ? Sont-elles supprimées passé un certain temps ?
Des solutions de récupération de données à distance existent pour les entreprises exploitant une solution de Cloud en mode SaaS. Il existe une fonction de récupération des données lors du vol d’un ordinateur. Concrètement, lorsqu’un fichier est sélectionné pour être récupéré, le dossier se télécharge sur une plateforme sécurisée et devient alors accessible par les personnes autorisées. La fonctionnalité peut également être employée comme solution d’urgence avant d’effacer le disque dur pour une sécurité maximale.
Quelle garantie pour l’entreprise ?
Il est fortement conseillé de demander un chiffrement des données sur les supports de stockage dans le cadre de l’utilisation du Cloud. Concrètement il s’agit de crypter ces données, c'est-à-dire de rendre impossible la lecture d’un document à toute personne ne possédant pas la clé de chiffrement. Dans la même logique, il est recommandé de chiffrer les supports de sauvegarde et le transport même des données (tout ceci avec des codes de chiffrement différents bien entendu).
Chaque responsable informatique souhaitant passer au Cloud doit également interroger le fournisseur sur la garantie apportée à la confidentialité de ses données : cela doit être un critère de choix au moment d’envisager plusieurs clients du Cloud. Enfin, une entreprise qui se lance dans le Cloud doit se poser la question de l’emplacement juridique du fournisseur et non sur l’emplacement physique de ses centres opérationnels : en effet, la confidentialité est propre à un pays et pas le Cloud.