Cette année marque un jalon important alors que Microsoft devient le premier fournisseur de services sur le Cloud à adopter une Norme internationale pionnière relative à la protection des données personnelles dans le Cloud. Il s’agit de la norme ISO/IEC 27018, qui a été élaborée afin d’établir une approche internationale uniforme concernant la protection de la confidentialité des informations à caractère personnel hébergées dans le Cloud.
De fait, le respect de la confidentialité dans le Cloud ne se résume pas aux aspects liés à la technologie et à l’ingénierie. La sécurité des informations et la protection des données peuvent certes être assurées à l’aide d’outils et de processus, mais la confidentialité est un enjeu sociétal dont les conséquences vont bien au-delà des questions liées au stockage et à la gestion des données par des services de Cloud. Elle oblige les pouvoirs publics, les entreprises, l’enseignement supérieur et les consommateurs à prendre en considération des aspects plus vastes comme les dangers et les risques et, en particulier, les conséquences des décisions prises dans leurs déploiements de services sur le Cloud. ISO/IEC 27018 permet de clarifier l’ensemble du processus pour l’ensemble des acteurs concernés.
Une référence mondiale pour les services de Cloud
Avant ISO/IEC 27018, il n’existait pas de référentiel fiable reconnu au niveau international pour la protection des informations personnelles identifiables (PII) stockées dans le Cloud. Il y avait toutefois ISO/IEC 27001:2013, une norme bien implantée qui prévoyait un système souple permettant d’identifier les risques de sécurité de l’information et de choisir les moyens de les traiter. En s’appuyant sur cette base, ISO/IEC 27018 propose aujourd’hui des lignes directrices spécifiques pour aider les Prestataires de services de Cloud (PSC) à apprécier les risques et mettre en œuvre des mesures d’avant-garde pour la protection des PII stockées dans le Cloud.
La conformité à ISO/IEC 27018 garantit l’adoption d’une démarche systématique en matière de protection des données et permet à un PSC de démontrer son « civisme » au sein de l’écosystème du Cloud. Dans un environnement où coexistent une multitude d’exigences nationales diverses en matière de confidentialité et de sécurité, la certification de conformité à cette norme peut être vue comme une exigence de base pour les services de Cloud.
Microsoft, et les autres PSC, doivent se conformer aux six principes clés énoncés dans ISO/IEC 27018 :
- Consentement: Les PSC s’interdisent d’utiliser à des fins de publicité et de marketing les informations personnelles qu’ils reçoivent, sauf consentement exprès du client. De plus, le client doit pouvoir utiliser le service sans être obligé d’accepter que ses informations soient ainsi utilisées
- Contrôle: Les clients ont un contrôle explicite sur l’utilisation de leurs informations personnelles
- Transparence: Les PSC doivent informer leurs clients du lieu de stockage de leurs données personnelles et prendre des engagements clairs sur la manière dont celles-ci sont traitées
- Responsabilité: ISO/IEC 27018 établit que toute faille de la sécurité de l’information devrait conduire les prestataires de services à procéder à une revue pour s’assurer qu’il n’y a pas eu de perte, divulgation ou altération éventuelle des informations personnelles
- Communication: Les PSC doivent notifier toute faille aux clients et documenter clairement l’incident et les mesures prises pour y remédier
- Audit annuel par un tiers indépendant: La conformité du PSC à la norme est établie au moyen d’un audit par tierce partie circonstancié, qui pourra ensuite servir au client d’élément de référence à l’appui de ses propres obligations réglementaires. Pour rester en conformité, le PSC doit se soumettre chaque année à un examen par tierce partie
Ces engagements sont d’autant plus importants dans le contexte juridique actuel où les entreprises sont par ailleurs soumises à un nombre croissant d’obligations spécifiques en matière de respect de la vie privée. Nous avons bon espoir qu’ISO/IEC 27018 servira de modèle aux autorités de réglementation et aux entreprises soucieuses de garantir la fiabilité de la protection des données à caractère personnel dans l’ensemble des pays et des secteurs verticaux de l’industrie.
Protection de la confidentialité
L’adoption d’ISO/IEC 27018 s’inscrit dans un engagement plus large de Microsoft visant à offrir des services de Cloud auxquels les entreprises peuvent se fier en toute confiance. Pourquoi est-ce important ? Il y a plusieurs raisons à cela : la conformité à ISO/IEC 27018 garantit aux entreprises que leurs informations à caractère personnel seront protégées de plusieurs manières différentes.
- Elles sauront toujours où seront stockées leurs informations et qui assurera leur traitement
- Elles auront la certitude que leurs informations ne seront pas utilisées à des fins de publicité et de marketing sans leur consentement exprès. Le choix leur appartiendra toujours
- Elles auront l’assurance que nous serons transparents quant à notre capacité à restituer, transférer ou éliminer en toute sécurité, toute information personnelle à leur demande
- Elles pourront compter sur nous pour gérer les demandes d’accès, de correction ou de suppression. Certaines réglementations relatives à la protection des données à caractère personnel (par exemple, au niveau de l’Union européenne) imposent des exigences spécifiques aux PSC, comme l’autorisation à tout particulier de pouvoir accéder aux données qui le concernent, de les rectifier, voire de les supprimer. Nous aidons les clients à respecter ces obligations
- Elles pourront compter sur notre aptitude à leur notifier tout incident de sécurité impliquant la divulgation non autorisée d’informations personnelles, afin qu’elles soient en mesure de se conformer à leurs propres obligations en matière de notification
- Elles auront l’assurance que nous ne nous soumettrons qu’aux exigences légales obligatoires en matière de divulgation des informations personnelles des clients
- Elles pourront se prévaloir de la vérification par un tiers indépendant du respect des principes précités. Pour pouvoir revendiquer la conformité à ISO/IEC 27018, nous devons nous soumettre à un processus de certification rigoureux à ISO/IEC 27001 réalisé par un organisme de certification indépendant accrédité
Telles sont les nombreuses raisons pour lesquelles les entreprises peuvent migrer en toute confiance sur Microsoft Cloud.
Répondre aux exigences des clients
ISO/IEC 27018 servira de modèle aux autorités de réglementation et aux entreprises
La confiance revêt une importance croissante pour les clients qui souhaitent tirer parti des possibilités du Cloud, notamment lorsqu’ils envisagent de laisser à un tiers le soin de traiter et gérer leurs informations les plus sensibles. Dans un tel cas de figure, un engagement contractuel ne peut à lui seul garantir cette confiance.
Les clients demandent de plus en plus à vérifier que les pratiques annoncées sont bien mises en œuvre. Microsoft est conscient de ces préoccupations et de l’intérêt de faire preuve de transparence, et c’est la raison pour laquelle nous avons été le premier grand PSC à adopter les principes de confidentialité rigoureux établis dans la norme ISO/IEC 27018 et à soumettre nos services de Cloud à un audit indépendant de ces mesures.
La conformité à ISO/IEC 27018 est un gage de notre fiabilité et indique clairement que Microsoft traitera les informations personnelles en toute sécurité et ne les utilisera qu’à des fins expressément approuvées par leur propriétaire. Nous avons pris l’engagement de protéger la confidentialité des informations de nos clients en ligne. Avec Microsoft Cloud, tout est sous contrôle