Le Cloud certifié ISO sur la protection des données

Les solutions de Cloud deviennent de plus en plus une possibilité ouverte aux SI des entreprises. En 2015, l’étape vers des certifications devient essentiel pour rassurer et se démarquer pour Google et Microsoft.

En milieu d’année 2015, Google décroche la certification ISO/IEC 27018:2014 pour ses services en ligne Google Apps for Work et Google Apps for Education.

Cette certification garantit l’implémentation d’un ensemble de bonnes pratiques concernant la protection des données personnelles (PII pour Personally Identifiable Information) dans un environnement de type Cloud public. Google précise ce que cela implique pour les utilisateurs des Google Apps for Work: les données ne sont pas utilisées pour de la publicité; elles restent à tout moment propriété de l’utilisateur; des outils permettent d’exporter et de supprimer les données; la firme protège les informations contre des demandes d’accès tierces; le lieu de stockage des données est clairement affiché.

Certifier, pour mieux rassurer

Bien entendu, les utilisateurs de la version grand public des Google Apps ne bénéficient pas des mêmes avantages. Le flou règne au sujet de l’endroit où sont stockées leurs données et les informations sont utilisées pour proposer de la publicité ciblée. En termes de sécurité de ses offres Cloud, Google rappelle que ses moutures professionnelles des Google Apps ont résisté aux audits de sécurité SOC2 et SOC3 et ont décroché la certification ISO 27001 (renouvelée en avril 2015).

En 2015, Microsoft annonce en début d’année d’être le premier fournisseur majeur de solutions cloud à adopter la norme ISO/IEC 27018 relative à la protection des données personnelles.

Le British Standards Institute a effectué un audit indépendant sur l’offre IaaS Microsoft Azure, ainsi que sur les solutions SaaS Office 365 et Dynamics CRM Online, qui sont tous trois déclarés conformes aux règles de protection des informations personnelles. Bureau Veritas s’est chargé d’auditer la solution Windows Intune.

Les règles de la norme ISO 27018 permettent de s’assurer que les données personnelles stockées par les clients de la firme sur ses solutions cloud ne subiront aucun autre traitement que ceux demandés par le client lui-même. L’utilisation par Microsoft des données de ses clients pour de la publicité est ainsi strictement prohibée. La localisation des données, leur accès ou leur transfert sont également contrôlés.

Le cas épineux du renseignement

Si des données privées doivent être communiquées à des services gouvernementaux, le client sera automatiquement prévu. C’est toutefois ici le pot de terre contre le pot de fer. Rappelons en effet qu’aux États-Unis, les sociétés forcées à collaborer aux efforts de renseignement de leur gouvernement n’ont pas le droit d’en faire mention. Ce qui va ici à l’encontre de l’obligation d’information du client.

No comments yet... Be the first to leave a reply!

Laisser moi votre sentiment....

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s