- Les organes publics restent entièrement responsables des traitements de données dans le nuage et doivent confirmer par écrit qu’ils assument les risques résiduels.
- Avant toute utilisation du cloud, il convient de procéder à une analyse des risques différenciée et conforme aux règles de l’art et à une analyse d’impact sur la protection des données ; les autorités de contrôle vérifient le contrôle préalable.
privatim, la Conférence des Commissaires suisses à la protection des données, a créé un Publication d’une fiche d’information sur les “risques et mesures spécifiques au cloud computing. Cette fiche d’information s’adresse aux institutions publiques et aborde les risques particuliers et accrus en matière de protection des données en cas de recours à des services d’informatique en nuage et la responsabilité de l’institution publique lorsqu’elle fait appel à de tels services.
La conclusion est la suivante :
Les institutions publiques peuvent également recourir à des services de cloud computing de tiers pour le traitement de leurs données, si leur externalisation est autorisée par les règles générales relatives au traitement des données de commande (voir les guides en annexe 2).. Pour ce faire, une étude approfondie Analyse des risques tenir compte des risques spécifiques liés à l’utilisation de services en nuage. Cette analyse des risques doit mettre en évidence, de manière différenciée pour chaque traitement de données, les risques spécifiques au cloud ainsi que les mesures correspondantes permettant d’exclure les risques spécifiques au cloud ou de les réduire à un niveau supportable. L’évaluation doit montrer si, pour les traitements de données, le recours à des services d’informatique en nuage est autorisé de manière globale, partielle ou non.
Les institutions publiques qui font appel à des services de cloud computing pour l’exécution de leurs tâches continuent à supporter les coûts suivants entièrement responsable du traitement des données. L’institution publique (ou sa direction) doit être invitée à confirmer par écrit qu’elle a compris les risques et qu’elle assume le risque résiduel. La prise en charge de risques résiduels peut éventuellement avoir des répercussions sur la présentation des comptes, ce qui doit être vérifié par les contrôles financiers. Il est conseillé aux exécutifs de recenser régulièrement les risques (résiduels) assumés, car c’est à eux qu’incombe en fin de compte, vis-à-vis du Parlement et du peuple, la responsabilité de la protection des droits fondamentaux des citoyens et de la gestion financière de l’administration.
De son côté, l’organe public doit avoir une Analyse d’impact sur la protection des données effectuer des contrôles. L’analyse des risques et le plan de mesures doivent être soumis aux autorités de surveillance de la protection des données compétentes pour examen (contrôle préalable ou consultation préalable). Elles sont également à la disposition des organes publics pour les conseiller sur les questions juridiques, organisationnelles et techniques.
Dans une annexe à la fiche d’information, privatim donne des “exemples d’évaluations globales possibles des risques liés au cloud en ce qui concerne le droit applicable/le lieu de juridiction, l’emplacement de l’infrastructure cloud et la protection des secrets/la gestion des clés”, qui évaluent chacun les risques spécifiques au cloud (faible/élevé/très élevé), accompagnés d’une recommandation.
Edit 7.2.19 : La fiche d’information exige en premier lieu une évaluation des risques effectuée dans les règles de l’art et n’autorise ni n’interdit les externalisations de manière générale.