Comment garantir la conformité RGPD lors du stockage des données dans le cloud ?

Le stockage des données dans le cloud présente de nombreux avantages pour les entreprises, notamment en termes d’accessibilité, de flexibilité et de coût. En revanche, il comporte également certains risques sur la sécurité et la confidentialité des données personnelles. Sans une attention rigoureuse de la part du responsable du traitement, les entreprises s’exposent à des sanctions lourdes en cas de non-respect du Règlement Général sur la Protection des Données (RGPD), notamment en vertu des articles 5 (principes relatifs au traitement des données) et 32 (sécurité du traitement). Dans cet article, vous découvrirez comment protéger les données dans le cloud, éviter des erreurs coûteuses, et choisir le bon fournisseur, en abordant notamment :

• Les types de données concernées par le RGPD
• Les risques liés au stockage des données dans le cloud
• Les critères de sélection d’un fournisseur cloud conforme au RGPD
• Les bonnes pratiques pour assurer la sécurité des données
• Les étapes de mise en conformité au RGPD

Quelles données sont concernées par le RGPD ?

Tout d’abord, il est important de rappeler que le Règlement Général pour la Protection des Données (RGPD) s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.

Ce règlement européen concerne toutes les données à caractère personnel, c’est-à-dire toute information se rapportant à une personne physique identifiée ou identifiable :

• données d’identification : nom, prénom, adresse, numéro de téléphone, adresse e-mail, numéro de sécurité sociale, etc.
• données d’identification numérique : adresses IP, identifiants en ligne, cookies, etc.
• données sensibles : informations sur l’origine raciale ou ethnique, opinions politiques, croyances religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques, santé, ou orientation sexuelle.
• données de localisation : informations permettant de localiser une personne, comme des données GPS.
• données économiques et financières : informations relatives aux comptes bancaires, aux paiements, etc.
• données relatives aux comportements : historique de navigation, préférences d’achat, interactions sur les réseaux sociaux, etc.

Les entreprises doivent donc identifier précisément les données soumises au règlement et leurs lieux de stockage. Elles doivent prendre toutes les mesures nécessaires pour garantir la sécurité des données collectées et s’assurer que les tiers (fournisseurs, sous-traitants, etc.) respectent bien eux-mêmes les exigences de sécurité. La collecte, la suppression, la durée de conservation et le transfert des données de la personne concernée doivent être effectués dans le respect du droit à la vie privée des individus.

Risques liés au stockage des données dans le cloud

Le stockage cloud présente plusieurs risques potentiels. Voici quelques exemples :

• Violation de données : en cas de cyberattaque, les données personnelles peuvent être compromises, exposant l’entreprise à des conséquences juridiques.
• Perte de données : une panne ou un sinistre peut entraîner la perte de données sans sauvegarde préalable, compromettant la continuité des activités.
• Accès non autorisé : une mauvaise gestion des droits d’accès ou des mesures d’authentification peut exposer des informations sensibles à des employés malveillants ou des acteurs externes à l’entreprise. Un contrôle strict des accès est essentiel pour prévenir les fuites de données (article 32).
• Interruptions de service : qu’elles soient dues à des attaques, à des pannes techniques ou à des catastrophes naturelles, elles peuvent affecter la continuité des opérations et l’accès aux données.

En étant conscients de ces risques, les entreprises peuvent mettre en place des stratégies et des mesures de sécurité appropriées pour minimiser leur exposition.

5 étapes clés pour assurer la conformité RGPD dans le cloud

Les entreprises (ou organisations) qui confient des données personnelles à un fournisseur de solutions cloud demeurent responsables de leur traitement. Par conséquent, elles doivent s’assurer que cet hébergeur respecte scrupuleusement les exigences du RGPD et de la Loi Informatique et Libertés.

Pour assurer votre conformité réglementaire en matière de sécurité et de confidentialité des données stockées dans le cloud, nous vous invitons à suivre ces étapes :

1 – Choisir un fournisseur de service cloud conforme

Privilégiez un prestataire conforme aux normes de sécurité internationalement reconnues (ISO 27001, PCI DSS, SOC 2) et capable de démontrer son respect des codes de conduite RGPD, conformément à l’article 28, §5.

Il existe trois codes de conduite spécifiques pour les fournisseurs cloud (CSA, CISPE et EU Cloud), et le code CISPE a notamment reçu l’approbation officielle de la CNIL.

Examinez attentivement le Data Processing Agreement (DPA) proposé par le prestataire afin de définir clairement les responsabilités, les types de données traitées, les finalités du traitement et les mesures de sécurité mises en place.

Pour garantir la souveraineté de vos données, renseignez-vous sur l’emplacement géographique des datacenters utilisés.

Les données stockées hors de l’Espace économique européen (EEE) peuvent être soumises à des législations différentes, nécessitant la mise en place de mécanismes adéquats (comme les clauses contractuelles types) en cas de transfert hors UE.

Enfin, un bon fournisseur doit proposer un plan de réponse clair et efficace en cas de violation des données, afin de pouvoir réagir rapidement et limiter les dommages potentiels.

2 – Assurer le chiffrement et la sauvegarde des données

Le chiffrement des données en transit et au repos est essentiel pour que, en cas de violation ou de sinistre, les données restent protégées. Des sauvegardes régulières et un archivage sécurisé sont également indispensables, notamment dans le cadre d’un cloud souverain, afin de minimiser le risque de perte ou d’accès non autorisé. Sur ce point, votre fournisseur cloud doit prouver qu’il réalise des audits de sécurité réguliers.

3 – Mettre en place une gestion stricte des accès

L’accès aux données doit être limité aux seuls utilisateurs autorisés. Une gestion stricte des droits d’accès, combinée à une authentification multifactorielle, permet de réduire les risques d’accès non autorisé. Il est important de vérifier régulièrement les niveaux d’accès pour assurer la protection des données à chaque étape. De plus, il convient de mettre en place des procédures de révision des accès, notamment lors de changements de postes, de départs d’employés ou de projets temporaires. Enfin, il est crucial d’utiliser des outils de surveillance pour détecter les comportements suspects et réagir rapidement en cas de violation.

4 – Adopter une politique de conservation et de suppression des données

Établissez des durées de conservation claires pour chaque type de donnée, en fonction des finalités pour lesquelles elles ont été collectées. Ensuite, définissez des procédures de suppression et d’archivage en tenant compte des exigences réglementaires et des bonnes pratiques. Enfin, élaborez des procédures pour la suppression des données qui garantissent qu’elles ne peuvent pas être récupérées une fois supprimées.

5 – Documenter et auditer les processus de traitement des données

Le propriétaire des données a l’obligation de documenter chaque processus de traitement des données pour prouver sa conformité.  Un audit de conformité régulier permet de vérifier que les mesures de sécurité sont bien mises en œuvre à tous les niveaux. Chaque transfert de données doit être suivi et documenté afin de maintenir une transparence totale.

Bon à savoir : une astuce peu connue mais très utile dans la gestion des risques consiste à utiliser des solutions de cloud hybride pour segmenter les données sensibles. En conservant les données les plus critiques sur des serveurs privés tout en utilisant des services cloud publics pour les données moins sensibles, vous pouvez renforcer la sécurité et minimiser les risques de non-conformité. Cette approche permet également de mieux contrôler la localisation des données, un critère essentiel pour la conformité RGPD.

Google Drive est-il conforme au RGPD ?

Google Drive, en tant que composant de Google Workspace, peut être conforme au RGPD grâce à des standards de sécurité (chiffrement, contrôle d’accès). Les entreprises doivent configurer correctement leurs droits d’accès et leurs politiques internes pour garantir cette conformité.

La fonctionnalité « Data Region Policy », disponible uniquement pour les abonnements Enterprise Plus, Enterprise Standard et Education Plus, permet de définir la localisation des données au sein de l’UE. Cette option assure que les documents, e-mails et calendriers restent exclusivement sur le territoire européen.

Sans cette fonctionnalité, certaines données peuvent être transférées aux États-Unis. Le Data Privacy Framework (DPF) UE/US signé en juillet 2023 autorise actuellement ces transferts.

Si la CJUE invalide à l’avenir le DPF, comme ce fut le cas pour le Privacy Shield et le Safe Harbor, l’absence de la Data Region Policy pourrait entraîner une sanction.

Les entreprises s’exposeraient alors à une amende pouvant atteindre 20 M€ ou 4 % de leur chiffre d’affaires mondial.

Développez une stratégie cloud infaillible avec une formation indispensable

Pour approfondir vos connaissances et maximiser votre potentiel sur la sécurité et la conformité dans le cloud, Capgemini Institut propose la formation “Assurez la sécurité et la souveraineté de vos données dans le Cloud”. Elle vous permettra notamment de :

• Comprendre les risques dans le cloud et les enjeux de sécurité.
• Démystifier les labels de sécurité du cloud (SecNumCloud, AICPA SOC, EUCS, CSA STAR, …).
• Identifier les solutions spécifiques pour sécuriser les données dans le cloud.
• Vérifier l’application de la conformité RGPD d’un fournisseur.
• Connaître le cadre juridique des données à caractère personnel (RGPD, CCT, BCR…).
• Maîtriser les obligations règlementaires imposées par le RGPD à vos clients et fournisseurs.

En appliquant ces bonnes pratiques et en choisissant un fournisseur conforme, votre entreprise pourra assurer sa conformité RGPD tout en profitant des avantages du cloud. Une gestion proactive des données et de la sécurité est essentielle pour maintenir la confiance de vos clients et protéger l’infrastructure de votre entreprise.