Aide-mémoire sur les risques et les mesures spécifiques à la technologie de Cloud computing

 

Dans le cadre du traitement des données, les organes publics se servent toujours plus de prestations de tiers. Cela conduit à l’utilisation toujours plus fréquente de la technologie de Cloud computing.

Les autorités ne sont pas seulement responsables lorsqu’elles traitent elles-mêmes des données. Elles restent aussi responsables, lorsqu’elles confient le traitement des données à des tiers (sous-traitance du traitement de données). Savoir si la sous-traitance du traitement de données est licite, se détermine en fonction des bases légales applicables (droit de la protection des données et législation spéciale), en fonction d’une analyse des risques et des mesures de protection à prendre. Afin de pouvoir procéder à l’évaluation d’une telle licéité, de nombreuses autorités de protection des données mettent à disposition des aide-mémoire qu’elles ont rédigés.

Si une sous-traitance du traitement de données est licite et si on envisage l’utilisation de la technologie de Cloud computing, il convient encore d’évaluer des risques spécifiques de cette technologie et de prendre les mesures nécessaires permettant de minimiser ces risques.

privatim publie un aide-mémoire destiné à traiter de tels cas. L’utilisation de services de Cloud computing doit toujours être évaluée dans le cas concret. Il convient de procéder à une évaluation complète des risques, compte tenu de la manière de traiter les données, mais aussi en se préoccupant du droit applicable, du for, du lieu du traitement des données (lieu de situation des servers) et de la protection des secrets (cryptage et gestion des clés).

L’aide-mémoire doit aider appréhender les risques spécifiques de l’utilisation de la technologie de Cloud computing, afin de pouvoir décider – dans le cadre d’une évaluation globale – si un tel traitement des données par une autorité paraît admissible ou si, compte tenu des risques qui ne peuvent pas être éliminés ou réduits, on doit renoncer à cette technologie. La décision doit être documentée de manière transparente, afin que l’organe responsable connaisse les risques et qu’il puisse assumer, de manière consciente, les risques résiduels.

Aide-mémoire «Risques et les mesures spécifiques à la technologie de Cloud computing»

Articles similaires

Loi fédérale sur la sé... privatim salue la création d’une base légale au sens formel pour la sécurité des informations. Néanmois, il y a quelques points à critiquer et a remettre en
La numérisation a besoin... Lors de cette première journée suisse du digital, les opportunités de la numérisation sont soulignées à juste titre. privatim, la Conférence des préposé(e)s suisses à la protection
Protection des données: ... Les PME suisses jugent la protection des données importantes. Mais dans la pratique, très peu sont en mesure de gérer les exigences qui découlent des lois et
Pincé et condamné grâc... Un automobiliste a écopé d’une peine pécuniaire pour avoir trop collé un véhicule et pour avoir traversé une double ligne blanche. Le Tribunal fédéral s’est basé sur
Getting your data out of ... If you’re not a journalist or a privacy advocate, convincing big tech to release your data is almost impossible. But hope is coming with the EU’s General
L’Etat numérique a bes... Les préposé(e)s cantonaux à la protection des données réclament une augmentation massive des ressources Poussé par le développement technologique, la numérisation de l’administration publique s’accélère. Les droits
Deux nouveaux projets de ... Avec l’avant-projet de la loi fédérale sur les précurseurs de substances explosives (loi sur les précurseurs, LPREX) et l’avant-projet de loi fédérale sur les mesures policières de
L’utilisation du numér... Dans plus de 14’000 bases de données gouvernementales le numéro d’AVS (AVSN13) est utilisé comme identificateur personnel supplémentaire. Une expertise de l’ETH de Zurich montre que les
Cloud Computing en milieu... Microsoft adapte ses conditions contractuelles pour les produits destinés aux écoles privatim a réussi une percée dans la mise en oeuvre des éxigences liées à la protection
The microphone is always ... A warrant from police in Arkansas seeking audio records of a man’s Amazon Echo has sparked an overdue conversation about the privacy implications of “always-on” recording devices. This story should serve