Sécurité cloud : les recommandations de Numeum

Numeum, représentant des entreprises du numérique en France, salue l’initiative de la CNIL d’examiner la qualification des acteurs du cloud. 

Dans notre contribution, que vous pouvez télécharger en bas de page, nous recommandons au régulateur de s'intéresser aux points suivants :

1. Distinction claire des responsabilités : la sécurité "du cloud" incombe aux fournisseurs, responsables de sécuriser l’infrastructure globale. La sécurité "dans le cloud" relève quant à elle des clients, qui protègent leurs propres données et configurations.
2. Traitement des données personnelles pour la sécurité : les données personnelles, telles que les journaux d’accès et adresses IP, sont utilisées pour garantir la sécurité des infrastructures. Les clients peuvent configurer certains paramètres mais leur influence sur les moyens de traitement reste limitée.
3. Différenciation dans les contrats : les accords de traitement des données (DPA) définissent les rôles respectifs entre fournisseur, responsable de traitement pour la sécurité "du cloud", et client, responsable pour la sécurité "dans le cloud". Une prise de position officielle de la CNIL sur ces distinctions serait bénéfique pour clarifier les responsabilités.
4. Transparence envers les clients et personnes concernées : les informations sur les traitements de données sont généralement communiquées via les contrats et politiques publiées en ligne. Il est essentiel de poursuivre ces efforts pour renforcer la confiance dans le cloud.

Numeum défend une réglementation claire qui soutient l'innovation, garantit aux entreprises la liberté de choix technologique la plus complète et renforce la transparence au sein de l’écosystème cloud.