Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

D’un point de vue juridique, la CNIL constate Que le Cloud computing soulève un certain nombre de difficultés au regard du respect de la législation relative à la protection des données personnelles, en particulier dans le cas du Cloud public. Ces difficultés sont amplifiées dans le cas des offres standardisées avec des contrats d’adhésion ne laissant pas aux clients la possibilité de les négocier. De manière générale, il est constaté que les clients souffrent d’une insuffisance de transparence de la part des prestataires de Cloud quant aux conditions de réalisation des prestations, notamment sur la sécurité et sur la question de savoir si leurs données sont transférées à l’étranger, et plus précisément à destination de quels pays. Par conséquent, il est indispensable qu’une entreprise française qui envisage de recourir à un service de Cloud computing réalise une analyse de risques et soit très rigoureuse dans le choix de son prestataire. En particulier, l’entreprise devra prendre en considération les garanties offertes par un prestataire en matière de protection des données personnelles et s’assurer que ce dernier lui fournira toutes les garanties nécessaires au respect de ses obligations au regard de la loi Informatique et Libertés, notamment en termes d’information des personnes concernées, d’encadrement des transferts et de sécurité des données. Il est à noter qu’en cas
D’impossibilité de négocier un contrat, une comparaison des conditions contractuelles proposées par les différents prestataires est indispensable. Ceci permet d’effectuer un choix prenant en compte les considérations tant économiques que juridiques et techniques. Concernant la sécurité, la CNIL constate que les offres de Cloud reconnues peuvent présenter des niveaux de sécurité supérieurs à ceux que peuvent garantir les PME. Cependant, le Cloud génère de nouveaux risques, tant du côté du