La nouvelle norme internationale pour la protection des données personnelles va encourager l’usage des plateformes de Cloud public, estime le cabinet d’études Forrester Research. Elle devrait en libérer l’usage pour les entreprises et leurs équipes informatiques.
Publiée il y a un an
La norme est intitulée ISO/IEC 27018:2014. Elle a été publié1e il y a déjà un an par les organismes de normalisation. Elle impose plus de transparence et de responsabilités aux fournisseurs de services de Cloud. Forrester Researh pointe que le secteur souffrait de l’absence d’une référence fiable et internationalement reconnue en matière de protection des données personnelles dans le Cloud.
« Le nouveau schéma introduit par cette norme est dans la lignée directe des plus stricts standards de protection des données, » pense Forrester Research. L’institut y voit une opportunité pour l’informatique des entreprises. « Cette mesure aidera les DSI par une gestion plus efficace des risques de non-conformité » estime Forrester Research.
Directive européenne
Le cabinet poursuit : « les DSI doivent comprendre que cette norme a pour vocation de répondre non seulement aux besoins du moment, mais aussi aux standards à venir, tel que ceux inclus dans le projet de Directive européenne sur la protection des données à caractère personnel. »
Toujours selon Forrester Research, la nouvelle norme de protection des informations personnelles va aider les DSI à obtenir une meilleure visibilité sur la géo-localisation des fournisseurs de Cloud et de leurs sous-traitants, mieux contrôler les termes et les conditions de résiliation du service et être en conformité avec le « droit à l’oubli » et d’autres droits de protection de la vie privée.
Les services d’emailing
La norme vise les prestataires de services qui manipulent des données personnelles. Cela concerne de facto les services d’emaiingl en mode Cloud tels que ceux de Microsoft, Yahoo! ou de Google.
Par exemple, dans la norme, les prestataires de services Cloud s’engagent à ne pas traiter les données personnelles des clients à des fins publicitaires ou marketing, sauf avec le consentement de ceux-ci. De même, les prestataires de services Cloud doivent informer leurs utilisateurs sur le lieu de stockage des données ainsi que sur l’identité des sous-traitants appelés à traiter les données.
Enfin, le texte de la norme ne résout en rien la question du cadre juridique applicable d’un point de vue national lors de la demande d’une transmission d’informations par une autorité.