Aide-mémoire sur les risques et les mesures spécifiques à la technologie de Cloud computing

 

Dans le cadre du traitement des données, les organes publics se servent toujours plus de prestations de tiers. Cela conduit à l’utilisation toujours plus fréquente de la technologie de Cloud computing.

Les autorités ne sont pas seulement responsables lorsqu’elles traitent elles-mêmes des données. Elles restent aussi responsables, lorsqu’elles confient le traitement des données à des tiers (sous-traitance du traitement de données). Savoir si la sous-traitance du traitement de données est licite, se détermine en fonction des bases légales applicables (droit de la protection des données et législation spéciale), en fonction d’une analyse des risques et des mesures de protection à prendre. Afin de pouvoir procéder à l’évaluation d’une telle licéité, de nombreuses autorités de protection des données mettent à disposition des aide-mémoire qu’elles ont rédigés.

Si une sous-traitance du traitement de données est licite et si on envisage l’utilisation de la technologie de Cloud computing, il convient encore d’évaluer des risques spécifiques de cette technologie et de prendre les mesures nécessaires permettant de minimiser ces risques.

privatim publie un aide-mémoire destiné à traiter de tels cas. L’utilisation de services de Cloud computing doit toujours être évaluée dans le cas concret. Il convient de procéder à une évaluation complète des risques, compte tenu de la manière de traiter les données, mais aussi en se préoccupant du droit applicable, du for, du lieu du traitement des données (lieu de situation des servers) et de la protection des secrets (cryptage et gestion des clés).

L’aide-mémoire doit aider appréhender les risques spécifiques de l’utilisation de la technologie de Cloud computing, afin de pouvoir décider – dans le cadre d’une évaluation globale – si un tel traitement des données par une autorité paraît admissible ou si, compte tenu des risques qui ne peuvent pas être éliminés ou réduits, on doit renoncer à cette technologie. La décision doit être documentée de manière transparente, afin que l’organe responsable connaisse les risques et qu’il puisse assumer, de manière consciente, les risques résiduels.

Aide-mémoire «Risques et les mesures spécifiques à la technologie de Cloud computing»

Articles similaires

Telltale Heart The computer that keeps you alive can also, quite litteraly, put you in jail. The use of wearable and bio-technology — like a pacemaker — as evidence
Cloud Computing et organe... L’utilisation de prestations dans le cadre du «Cloud-Computing» correspond à un traitement de données sur mandat (aussi appelé «outsourcing»). Un tel outsourcing doit satisfaire aussi bien aux
Aide-mémoire sur les ris...   Dans le cadre du traitement des données, les organes publics se servent toujours plus de prestations de tiers. Cela conduit à l’utilisation toujours plus fréquente de
Tâches de police de la C... Privatim salue l’orientation générale du projet, qui simplifie les voies de droit en unifiant le droit de la police actuellement en vigueur; il reste toutefois des remarques
Why Should Americans Care... We are all in this together, argues Tim Edgar in this opinion piece: In the digital age, the only way to protect the privacy of Americans is to protect
Pincé et condamné grâc... Un automobiliste a écopé d’une peine pécuniaire pour avoir trop collé un véhicule et pour avoir traversé une double ligne blanche. Le Tribunal fédéral s’est basé sur
Privacy Shield : un rappo...       Successeur du Safe Harbor, le Privacy Shield encadre les échanges transatlantiques de données à caractère personnel à des fins commerciales depuis le 1er août
Nouvelle loi sur le dossi... La cybersanté représente un enjeu national et une coordination est nécessaire afin que n’émergent pas des projets isolés qui s’avéreraient incompatibles entre eux. Des normes et des
GUIDE sur l’application... Les cantons organisent eux aussi des élections et des votations fédérales. Les élections présidentielles américaines ont montré que le monde numérisé offre de nouvelles possibilités d’exercer une
Guide afférent à la bio... Guide pour l’évaluation des procédés biométriques sur le plan de la protection des données L’utilisation de procédés biométriques ne doit intervenir que dans le cadre des principes