Actualités juridiques et digitales

Le CLOUD fiché par la CNIL !

Rédigé par Haas Avocats | Feb 21, 2024 2:05:30 PM

Par Haas Avocats

La CNIL publie deux fiches pour éclairer les acteurs ayant recours au CLOUD et notamment au chiffrement et l’utilisation d’outils de sécurité et de performance.

En effet, dans le cadre du RGPD1, le recours à ce type de stockage doit être fortement encadré que ce soit techniquement, organisationnellement ou juridiquement.

Fiche 1 : Chiffrement des données

La CNIL aborde dans cette fiche les différentes approches possibles en matière de chiffrement dans le CLOUD.

Le chiffrement est présenté comme une mesure cruciale de sécurité par la CNIL :

  • contre les tiers malveillants ; 
  • pour protéger les données des fournisseurs eux-mêmes. 

Trois états de la donnée sont mis en avant (au repos, en transit et en traitement) qui soulignent la nécessité de gérer différemment chaque état en termes de chiffrement et de gestion des clés, en prenant en compte la localisation des données (sur site, sur le réseau, dans le cloud, etc.). 

La CNIL précise aussi que « certaines techniques de chiffrement peuvent être complexes à mettre en place » et que « le chiffrement de bout-en-bout n’est pas applicable dans toutes les situations, mais constitue la solution la plus protectrice de la vie privée ».

Fiche 2 : Sécurisation du CLOUD

Les menaces contre ces plateformes web sont de plus en plus présentes notamment avec des attaques DDoS fréquentes en raison de leur simplicité et efficacité. De la même manière, des attaques ciblées, telles que les injections SQL et les XSS, exploitent les vulnérabilités des sites et compromettent la confidentialité des données personnelles. Dans ce contexte, il convient de sécuriser le CLOUD.

Ainsi, dans sa fiche la CNIL liste :

  • des gammes d’outils « combinant des services pour améliorer la performance des sites et applications web et des outils pour les sécuriser et garantir leur disponibilité »2.
  • les données traitées en fonction des outils considérés ;
  • les problématiques liées aux transferts et accès par les autorités de pays tiers dans le contexte du recours à des fournisseurs d'informatique en nuage (cloud)3 ;
  • les risques en matière de chiffrement TLS.

Ces fiches très techniques et complètes permettront certainement de renforcer les analyses d’impact incluant un dispositif CLOUD et d’assister encore plus les acteurs dans leur mise en conformité CLOUD.

***

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.

 

_

1Article 32 du RGPD

2 Anti-DDOS, WAF, CDN, Load Balancer, etc

3 Les transferts liés aux outils de sécurité, tels que CDN, WAF, et Anti-DDoS, peuvent engendrer des transferts de données hors de l'UE, posant des questions sur la protection des données personnelles