Le manque de confiance des utilisateurs dans la sécurité des services de cloud computing a longtemps freiné son développement, notamment au sein d’entreprises et/ou d’activités stratégiques ou sensibles. Cette crainte était d’ailleurs en partie infondée puisque les professionnels du cloud computing sérieux investissent d’avantage dans leur sécurité informatique que la plupart des entreprises utilisatrices pour qui l’IT n’est bien souvent qu’une activité support. De plus, la sécurité des données tend à être utilisée comme un argument différenciant des prestataires comme l’illustre la mise en conformité récente par Microsoft de son service cloud aux exigences de la nouvelle norme ISO 27018.

Bien plus qu’une simple externalisation, le business model du cloud computing offre aux entreprises la possibilité d’utiliser à distance des applications (messagerie, RH, facility management, comptabilité…) et des infrastructures informatiques à la demande et sur des infrastructures entièrement gérées par un prestataire externe (serveurs, espaces de stockage, bases de données). S’agissant le plus souvent d’un service présenté au client comme étant « clé en main », le prestataire a tendance à vouloir opérer le service à sa manière et de manière parfois discrétionnaire tant que ce dernier bénéficie effectivement au client, qui peut à l’inverse ressentir une certaine dépendance.

De fait, l’externalisation d’applications ou d’infrastructures dans le cloud peut entraîner une perte de maîtrise du client sur ces propres données, d’où la nécessité pour ce dernier de prévoir dans le contrat des engagements précis à la charge du prestataire en matière d’accessibilité et de sécurité (SLA, confidentialité, non-divulgation à des tiers, localisation des données, respect de la législation informatique et libertés, répartition des rôles, réversibilité, etc.).
Néanmoins, l’absence de référentiel légal de sécurité tant au niveau français qu’au niveau européen rendra plus difficile la recherche d’un niveau de sécurité adéquat. Face à ces difficultés, plusieurs initiatives privées se sont donc développées pour définir des bonnes pratiques internationales destinées à devenir une référence en matière de sécurité dans les contrats de cloud computing.

Ainsi, l’Organisation Internationale de Normalisation (ISO) et la Commission Électronique Internationale (IEC) ont d’abord adopté en 2013 les normes ISO 27001 et ISO 27002 relatives à la protection des systèmes d’information, avant d’adopter le 29 juillet 2014 la norme ISO 27018 abordant les spécificités liées au cloud computing. Elle est le fruit d’une coopération entre l’Organisation international de normalisation (ISO), l’Union internationale des télécommunications (IUT) et la  Commission électrotechnique internationale (IEC), l’AFNOR ayant aussi mis en place une commission impliquant des acteurs majeurs comme IBM, Hitachi Data System, OVH ou encore Microsoft.

La norme ISO 27018 publiée le 29 juillet 2014 est donc la première norme visant spécifiquement la protection des données personnelles dans le cloud. Bien qu’elle soit dénuée de toute force contraignante, elle prévoit néanmoins un ensemble de bonnes pratiques et de règles devant être respectées par les prestataires ayant accepté de s’y conformer.
Elle constitue également un premier pas vers le contrôle des prestataires de services cloud conformément à la volonté des autorités européennes qui souhaitaient assurer une plus grande effectivité de la Directive 95/46/CE du 24 octobre 1995 dans les relations entre responsables de traitements et sous-traitants.

Ainsi, cette norme ISO 27018 impose aux prestataires de service cloud de respecter les engagements suivants :

- Ne pas traiter les données personnelles de leurs clients dans un but publicitaire et marketing, sauf autorisation exprès et préalable du client librement consentie (c’est-à-dire sans incidence sur la fourniture du service) ;
- Porter à la connaissance de leurs clients (i) le lieu de stockage des données, (ii) l’existence et l’identité d’éventuels sous-traitants intervenant dans le traitement des données, (iii) les mesures de sécurité existantes et (iv) la survenance de failles de sécurité ;
- Ne pas divulguer les données du client aux autorités nationales, sauf lorsqu’est en jeu le respect d’une obligation légale et moyennant l’information du client (dans les cas autorisés par la loi) ;
- Permettre la réversibilité des données à la fin du contrat par restitution au client ou destruction des données.

Il s’agit donc d’un instrument d’autorégulation privé complémentaire aux législations françaises et européennes relatives à la protection des données personnelles, de nature à anticiper la prochaine consécration du principe d’ « accountability », selon lequel chaque prestataire en charge du traitement de données personnelles pour le compte d’un client doit pouvoir démontrer l’existence d’un niveau de sécurité adéquat et plus largement sa conformité Informatique et Libertés. En attendant l’adoption définitive du projet de règlement européen relatif à la protection des données à caractère personnel (prévue fin 2015), la norme ISO 27018 est donc l’occasion pour les prestataires de services cloud de démarrer la mise en conformité technique et juridique de leurs services en vue d’une certification.

Sylvain Staub, Avocat Associé, et Jean-Baptiste Belin, Avocat, chez Staub & Associés