La publication, hier, d’un « Guide Cloud computing et protection des données » par trois associations professionnelles (CIGREF, IFACI et AFAI), témoigne de la naissance d’une prise de conscience des différents acteurs des sphères publiques et privées sur ces domaines sensibles.
Le cloud, stockage de données en ligne, apparait de plus en plus comme la solution préférée des organismes et des entreprises pour répondre à l’augmentation considérable de leurs données.
Le CIGREF (Club informatique des grandes entreprises), l’IFACI (Institut français de l’audit et du contrôle interne) et l’AFAI (Association française de l’audit et du contrôle informatique), mettent en lumière les risques liés au cloud que les décideurs ne mesurent pas toujours. Leur ambition est de les inciter à choisir le cloud avec l’assurance que leurs données seront correctement protégées, et de les sensibiliser sur le fait que l’externalisation du stockage de données, s’il simplifie considérablement certains processus professionnels, augmente les risques de manque de contrôle (créé par la « lourdeur » des démarches anti-cloud). Le guide s’articule autour de messages clairs :
• Le Cloud présente de nombreux avantages d’agilité, de souplesse et de réduction des coûts, mais l’offre actuelle de Cloud est susceptible d’exposer les entreprises à des risques sur leurs données.
• Il est important de s’engager dans le Cloud avec ses différentes parties prenantes : les métiers, la DSI, les Achats, l’Audit interne, le juridique, le Risk Management, le Contrôle Interne…
• Il est important de se poser les bonnes questions pour faire les bons choix : quel Cloud pour quel usage ?
• Il faut mettre en place un environnement de contrôle adapté pour assurer la protection des données dans le respect du cadre contractuel défini avec le fournisseur.
Cette actualité brûlante me permet d’aborder la question sous-jacente à ces précautions d’usages : la protection des données ne concerne pas uniquement les problématiques liées au « technique » ou à l’organisationnel (gestion du cloud dans l’entreprise), mais aussi à leur stockage et possibles utilisations par les fournisseurs de service.
Marie-Christine Garcia, auditrice SI membre de l’IFACI, admet que si en France, il est assez instinctif de se préoccuper de ces données personnelles grâce à la sensibilisation de la CNIL, il est beaucoup moins naturel de se préoccuper des données de l’entreprise : recherche et développement, marketing, etc.
À l’heure du développement du numérique dans l’éducation nationale, la question se pose avec autant de force : doit-on confier à une société privée les données qui circuleraient d’échanges d’information, du stockage des données relatives aux élèves et aux enseignants… Peut-on accepter qu’Apple ou Dropbox, Box.net deviennent les hébergeurs de données stockées par les tablettes distribuées dans l’Éducation Nationale, si ces serveurs ne sont pas hébergés en France ?
Jean T.
Plus d'informations :
De la protection des données personnelles : http://www.jeunesse-numerique.net/donnees-personnelles-protection/
Le manifeste du Mouvement de la Jeunesse Numérique : http://www.jeunesse-numerique.net/manifeste-du-mouvement-de-la-jeunesse-numerique-3-0/