La question que toute entreprise, peu importe sa taille, doit se poser à un moment donné est la suivante: faut-il être ou ne pas être dans le cloud. Les nombreuses possibilités et avantages du cloud facilitent certes de plus en plus la prise de décision, même pour les PME. De plus, ces solutions sont désormais bien plus concrètes et vivables qu’autrefois.

Toutefois, aussi intuitif que soit devenu le nuage, il n’en reste pas moins que la sécurité ne peut pas être déléguée à l’extérieur de l’entreprise – même si certains aimeraient vous le faire croire. Il arrive que les fournisseurs de cloud installent des éléments qui concernent la sécurité. Cela se passe dans le stockage, les bases de données et l’infrastructure globale.

Par ailleurs, un nouveau contexte réglementaire européen est inter­venu, le Règlement général sur la protection des données (RGPD) impose dans le paysage des exigences supplémentaires.

Les fournisseurs de cloud installent leurs infrastructures et les services qu’ils proposent via Internet (cloud public) ou intranet (cloud privé): sous la forme de serveurs, de stockage, de logiciels ou de capacités informatiques supplémentaires. En tant qu’entreprise, vous n’utilisez ces services payants que lorsque vous en avez besoin.

C’est l’avantage. Le cloud computing est rentable parce qu’il est flexible et efficace: il réduit les coûts d’investissement, d’éviter des bases de données coûteuses, d’économiser également des ressources humaines.

Dans un monde où le gain de temps permet est un gage de réactivité et de compétitivité, cette solution permet aux PME de se concentrer sur leurs compétences de base.

(Re)lire attentivement le RGPD!

Chacun devrait se demander quelles sont les données méritant d’être protégées, les inoffensives, celles qui sont soumises à des réglementations légales spéciales incompatibles avec le cloud. Les exigences de sécurité devraient ensuite être formulées et discutées avec le fournisseur.

Une attention particulière devrait être accordée aux procédures d’authentification. N’oubliez pas que vos collaborateurs disposent désormais de smartphones, de tablettes et d’ordinateurs portables.

À quoi faire attention lorsqu’on choisit un fournisseur de services? «Il faut assurer que le fournisseur dispose d’un site Web https, de normes de conformité et d’une certification de l’industrie, comme par exemple la norme ISO 27001, explique Reto C. Zbinden, expert en protection des données. Il est important de savoir où vos données sont stockées, ce que dit le contrat, quel tribunal s’applique et quelles précautions de sécurité le fournisseur doit prendre. De plus, si votre entreprise est concernée par le règlement de base de l’UE sur la protection des données (RGPD, mentionné plus haut, n. d. l. r), mieux vaut le relire et choisir un fournisseur équipé pour s’y conformer.»

La sécurité du cloud est un problème récurrent et le restera. Un mot encore au sujet du trafic de données et des pays étrangers. Dans le cadre de la RGPD, des données à caractère personnel peuvent être transférées au sein de l’UE. Cette libre circulation des données s’applique également à la Suisse, qui est considérée comme un pays tiers offrant un niveau de protection adéquat.

JAM/réd

www.https://www.edoeb.admin.ch/edoeb/fr/home/documentation/bases-legales/Datenschutz%20-%20International/DSGVO.html