Fermer

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Menu

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

[Tribune] Commande publique et données personnelles

Cloud computing et marchés publics … la suite

Publié le 05/01/2015 • Par Auteur associé • dans : France, Tribune

Il y a quelques semaines, nous abordions la question du "cloud computing" dans les marchés publics et des risques induits pour les personnes publiques, à la lumière notamment des affaires Google

Ma Gazette

Sélectionnez vos thèmes et créez votre newsletter personnalisée

Nicolas Nahmias

Nicolas Nahmias

avocat à la cour, AdDen avocats

Nous voudrions aujourd’hui mettre en lumière la récente norme ISO/IEC 27018 et son utilité dans le cadre de la commande publique.

Que dit la norme ISO/IEC 27018 ?

L’Organisation Internationale de Normalisation (ISO) et la Commission Electrotechnique Internationale (IEC) ont très récemment élaboré trois textes spécifiques au Cloud :

  • la norme ISO/IEC 17788 Technologies de l’information – Informatique en nuage – Vue d’ensemble et vocabulaire ;
  • la norme ISO/IEC 17789 Technologies de l’information – Informatique en nuage – Architecture de référence ;
  • la norme ISO/IEC 27018 Technologies de l’information – Techniques de sécurité – Code de bonnes pratiques pour la protection des informations personnelles identifiables dans l’informatique en nuage.

Cette dernière, publiée en juillet 2014, a pour but de protéger les données personnelles dans les services de Cloud computing et d’améliorer la confiance dans les prestataires qui adhéreront à ces bonnes pratiques.Elle a été élaborée sur la base de la Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données mais également au regard des recommandations des différentes autorités de protection des données. Plus précisément, le nouveau texte s’inscrit dans la perspective des objectifs et mesures de sécurité de la norme ISO/CEI 27002, ajoute des mesures supplémentaires pour les prestataires Cloud computing (politique de sécurité de l’information, organisation de la sécurité de l’information, gestion des actifs, sécurité liée aux ressources humaines, cryptographie, gestion des incidents …) puis présente en annexe des mesures de sécurité additionnelles, spécifiques à la protection des données personnelles dans le Cloud (consentement et choix, finalité et légitimité, …).

La norme consacre plusieurs principes importants :

  •   la transparence : le lieu de stockage des données qui transitent sur le Cloud doit être connu des utilisateurs, ainsi que le nom des éventuels sous-traitants appelés à intervenir ;
  •   la confidentialité : le prestataire de Cloud doit conclure des engagements de confidentialité avec les membres du personnel qui ont accès aux données personnelles ;
  • la conservation limitée des données : une politique de destruction des données personnelles à la fin du contrat doit être mise en œuvre par le prestataire ;
  •  la communication : le prestataire s’engage à informer son client ainsi que les autorités nationales en cas de faille de sécurité affectant les données ; en revanche, il ne doit pas divulguer d’informations aux autorités sauf lorsqu’il y est tenu par la réglementation applicable ;
  • la garantie d’un accès aux données : le prestataire doit permettre à ses clients de respecter les droits des personnes dont les données sont traitées dont leur droit d’accès, de rectification ou de suppression de leurs données ;
  •  l’impossibilité pour le prestataire d’utiliser les données personnelles de ses clients à des fins publicitaires et de marketing, sauf avec le consentement exprès et préalable de ces derniers.

La soumission à cette norme devrait donc largement améliorer la sécurité et la confidentialité des données personnelles et ainsi rassurer les utilisateurs de Cloud computing.

ISO/IEC 27018 et marchés publics : quelle articulation ?

Le secteur public représente un client important puisqu’il représente environ 20 % des dépenses informatiques en Europe. Comme le secteur privé, il a vocation à évoluer vers le cloud, solution qui permet de s’affranchir des contraintes liées à une infrastructure informatique complexe et donc de gagner en efficacité à un moindre coût. Pour autant, les questions posées par le cloud public sont nombreuses et complexes, les données dont il est question étant à la fois généralement confidentielles et d’intérêt général. Les principes, que l’on vient d’énumérer, posés par la norme ISO/IEC 27018 répondent clairement aux préoccupations légitimes des personnes publiques en leur fournissant tout à la fois les clarifications et les garanties nécessaires.

Comment utiliser la norme ?

L’article 6 du code des marchés publics impose que les prestations qui font l’objet d’un marché ou d’un accord-cadre soient définies, dans les documents de la consultation, par des spécifications techniques formulées, soit en termes de performances ou d’exigences fonctionnelles, soit par référence à des normes. L’acheteur public pourra donc, à terme, définir ses besoins et les spécifications techniques attendues, par référence à la norme ISO/IEC 27018. Il devra simplement admettre, comme le prévoit l’article 6.V, les candidats qui prouvent dans leur offre, par tout moyen approprié, que les solutions qu’ils proposent respectent de manière équivalente les spécifications techniques contenues dans la norme. Il peut également, dès à présent, demander aux candidats de satisfaire à des exigences fonctionnelles qui reprennent celles incluses dans la norme ISO/IEC 27018. Quant aux candidats, ils auront bien entendu tout intérêt à mettre en valeur dans leurs réponses le fait qu’ils respectent la norme ISO et à mettre l’accent sur l’ensemble des garanties qu’elle apporte à l’acheteur public. On peut surtout imaginer que la norme ISO/IEC 27018 soit reprise en norme européenne et en norme française et que le CCAG-TIC soit mis à jour pour intégrer les spécifications contenues dans la norme ISO, notamment dans son article 5 relatif à la confidentialité et les mesures de sécurité. Les acheteurs publics y gagneront sans aucun doute en sécurité et en efficacité.

Références

 

 

"Cloud computing" : informatique en nuage » : désigne le stockage de données (telles que des fichiers de texte, des images et des vidéos) et de logiciels, auxquels les utilisateurs accèdent par internet en utilisant l'appareil de leur choix

Marchés publics et protection des données personnelles : attention !

norme ISO/IEC 27018 

Réagir à cet article
Prochain Webinaire

Télétravail : comment protéger la santé des agents

de La Rédaction avec le soutien de MUTAME

--
jours
--
heures
--
minutes
marche online

Aujourd'hui sur les clubs experts gazette

Nos services

Prépa concours

CAP

Évènements

Gazette

Formations

Gazette

Commentaires

Cloud computing et marchés publics … la suite

Votre e-mail ne sera pas publié

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement