logo
Adresse de l'article https://www.lagazettedescommunes.com/308617/cloud-computing-et-marches-publics-la-suite/

[TRIBUNE] COMMANDE PUBLIQUE ET DONNÉES PERSONNELLES
Cloud computing et marchés publics … la suite
Auteur associé | France | Tribune | Publié le 05/01/2015

Il y a quelques semaines, nous abordions la question du "cloud computing" dans les marchés publics et des risques induits pour les personnes publiques, à la lumière notamment des affaires Google

Nous voudrions aujourd’hui mettre en lumière la récente norme ISO/IEC 27018 et son utilité dans le cadre de la commande publique.

Que dit la norme ISO/IEC 27018 ?

L’Organisation Internationale de Normalisation (ISO) et la Commission Electrotechnique Internationale (IEC) ont très récemment élaboré trois textes spécifiques au Cloud :

Cette dernière, publiée en juillet 2014, a pour but de protéger les données personnelles dans les services de Cloud computing et d’améliorer la confiance dans les prestataires qui adhéreront à ces bonnes pratiques.Elle a été élaborée sur la base de la Directive 95/46/CE [4] relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données mais également au regard des recommandations des différentes autorités de protection des données. Plus précisément, le nouveau texte s’inscrit dans la perspective des objectifs et mesures de sécurité de la norme ISO/CEI 27002, ajoute des mesures supplémentaires pour les prestataires Cloud computing (politique de sécurité de l’information, organisation de la sécurité de l’information, gestion des actifs, sécurité liée aux ressources humaines, cryptographie, gestion des incidents …) puis présente en annexe des mesures de sécurité additionnelles, spécifiques à la protection des données personnelles dans le Cloud (consentement et choix, finalité et légitimité, …).

La norme consacre plusieurs principes importants :

La soumission à cette norme devrait donc largement améliorer la sécurité et la confidentialité des données personnelles et ainsi rassurer les utilisateurs de Cloud computing.

ISO/IEC 27018 et marchés publics : quelle articulation ?

Le secteur public représente un client important puisqu’il représente environ 20 % des dépenses informatiques en Europe. Comme le secteur privé, il a vocation à évoluer vers le cloud, solution qui permet de s’affranchir des contraintes liées à une infrastructure informatique complexe et donc de gagner en efficacité à un moindre coût. Pour autant, les questions posées par le cloud public sont nombreuses et complexes, les données dont il est question étant à la fois généralement confidentielles et d’intérêt général. Les principes, que l’on vient d’énumérer, posés par la norme ISO/IEC 27018 répondent clairement aux préoccupations légitimes des personnes publiques en leur fournissant tout à la fois les clarifications et les garanties nécessaires.

Comment utiliser la norme ?

L’article 6 du code des marchés publics [5]impose que les prestations qui font l’objet d’un marché ou d’un accord-cadre soient définies, dans les documents de la consultation, par des spécifications techniques formulées, soit en termes de performances ou d’exigences fonctionnelles, soit par référence à des normes. L’acheteur public pourra donc, à terme, définir ses besoins et les spécifications techniques attendues, par référence à la norme ISO/IEC 27018. Il devra simplement admettre, comme le prévoit l’article 6.V, les candidats qui prouvent dans leur offre, par tout moyen approprié, que les solutions qu’ils proposent respectent de manière équivalente les spécifications techniques contenues dans la norme. Il peut également, dès à présent, demander aux candidats de satisfaire à des exigences fonctionnelles qui reprennent celles incluses dans la norme ISO/IEC 27018. Quant aux candidats, ils auront bien entendu tout intérêt à mettre en valeur dans leurs réponses le fait qu’ils respectent la norme ISO et à mettre l’accent sur l’ensemble des garanties qu’elle apporte à l’acheteur public. On peut surtout imaginer que la norme ISO/IEC 27018 soit reprise en norme européenne et en norme française et que le CCAG-TIC soit mis à jour pour intégrer les spécifications contenues dans la norme ISO, notamment dans son article 5 relatif à la confidentialité et les mesures de sécurité. Les acheteurs publics y gagneront sans aucun doute en sécurité et en efficacité.

REFERENCES

 

 

"Cloud computing" : informatique en nuage » : désigne le stockage de données (telles que des fichiers de texte, des images et des vidéos) et de logiciels, auxquels les utilisateurs accèdent par internet en utilisant l'appareil de leur choix

Marchés publics et protection des données personnelles : attention !

norme ISO/IEC 27018