Aide-mémoire sur les risques et les mesures spécifiques à la technologie de Cloud computing

 

Dans le cadre du traitement des données, les organes publics se servent toujours plus de prestations de tiers. Cela conduit à l’utilisation toujours plus fréquente de la technologie de Cloud computing.

Les autorités ne sont pas seulement responsables lorsqu’elles traitent elles-mêmes des données. Elles restent aussi responsables, lorsqu’elles confient le traitement des données à des tiers (sous-traitance du traitement de données). Savoir si la sous-traitance du traitement de données est licite, se détermine en fonction des bases légales applicables (droit de la protection des données et législation spéciale), en fonction d’une analyse des risques et des mesures de protection à prendre. Afin de pouvoir procéder à l’évaluation d’une telle licéité, de nombreuses autorités de protection des données mettent à disposition des aide-mémoire qu’elles ont rédigés.

Si une sous-traitance du traitement de données est licite et si on envisage l’utilisation de la technologie de Cloud computing, il convient encore d’évaluer des risques spécifiques de cette technologie et de prendre les mesures nécessaires permettant de minimiser ces risques.

privatim publie un aide-mémoire destiné à traiter de tels cas. L’utilisation de services de Cloud computing doit toujours être évaluée dans le cas concret. Il convient de procéder à une évaluation complète des risques, compte tenu de la manière de traiter les données, mais aussi en se préoccupant du droit applicable, du for, du lieu du traitement des données (lieu de situation des servers) et de la protection des secrets (cryptage et gestion des clés).

L’aide-mémoire doit aider appréhender les risques spécifiques de l’utilisation de la technologie de Cloud computing, afin de pouvoir décider – dans le cadre d’une évaluation globale – si un tel traitement des données par une autorité paraît admissible ou si, compte tenu des risques qui ne peuvent pas être éliminés ou réduits, on doit renoncer à cette technologie. La décision doit être documentée de manière transparente, afin que l’organe responsable connaisse les risques et qu’il puisse assumer, de manière consciente, les risques résiduels.

Aide-mémoire «Risques et les mesures spécifiques à la technologie de Cloud computing»

Articles similaires

Une appli problématique Chantiers illégaux en Valais: le lancement d’une application de signalisation inédite en Suisse romande est entâchée par des critiques. Elle pourrait être illégale. 7.3.17, Le Nouvelliste
Aide-mémoire Cloud Compu... Le fait de déposer des données dans un « cloud » revient à confier le traitement de donnée à un tiers (outsourcing); cela implique des risques accrus pour les
Loi sur les publications ... Loi sur les publications officielles (LPubl) privatim salue que la publication de données personnelles sur des plateformes accessibles en ligne ne doit être admise que si cela
Services d‘identificati... Loi sur les services d‘identification électronique (objet no 18.049) Prise de position de privatim du 4 octobre 2018 Compte tenu des effets étendus de l’e-ID, privatim prend position
Loi fédérale sur la sé... privatim salue la création d’une base légale au sens formel pour la sécurité des informations. Néanmois, il y a quelques points à critiquer et a remettre en
Journée de la protection... À l’occasion d’une présentation aux médias, les autorités de protection des données de la Confédération et des cantons ont abordé les défis communs qui les attendent en
Cloud Computing en milieu... Microsoft adapte ses conditions contractuelles pour les produits destinés aux écoles privatim a réussi une percée dans la mise en oeuvre des éxigences liées à la protection
Sécurité numérique : d... Un rapport d’experts soumis au Conseil fédéral pointe du doigt les lacunes et formule des recommandations en matière de protection des données, à l’heure où des mesures
L’application «bon... Le préposé fédéral à la protection des données se plaignait que l’assureur Helsana et son programme de bonus enfreignaient la loi. Le Tribunal administratif fédéral lui a
Publication des mesures d... privatim rejette la publication des mesures de protection des adultes dans le registre des poursuites. Document en allemand