Vie privée: Microsoft Azure est le premier Cloud certifié ISO /IEC 27018

La confiance est toujours l’un des obstacles à une adoption plus large du Cloud dans l’entreprise : la sécurité est-elle garantie ? La confidentialité des données personnelles est-elle respectée ? Le fournisseur de service est il viable économiquement ?

Concernant la sécurité, l’immense majorité des entreprises constateront vite qu’elles ne peuvent rivaliser sur ce point avec les fournisseurs majeurs de services Cloud (CSP) comme Amazon Web Services, Google et Microsoft.

Concernant la confidentialité, tout reste souvent à prouver.

En juillet 2014, ISO, l’Organisation internationale de normalisation a publié la norme ISO/IEC 27018, la première norme internationale pour la protection des informations personnelles identifiables (PII) dans le nuage.

La British Standards Institution (BSI), l’équivalent anglais de l’AFNOR, vient de certifier que Microsoft Azure est conforme à la norme. C’est le premier fournisseur majeur de services Cloud (CSP) à recevoir la certification, qui garantit aux entreprises que les données personnelles seront protégées selon les cinq axes suivant :

  1. Pas de publicité. Les données personnelles ne sont pas utilisées à des fins publicitaires ou marketing, à moins que l’entreprise ait expressément donné son accord :
  2. Contrôle. Les clients contrôlent explicitement la façon dont sont traitées les données personnelles ;
  3. Transparence. Le client est informé des politiques qui gouvernent le retour, le transfert ou la suppression des données personnelles stockées dans les centres de traitement de données, de l’endroit où elles sont stockées, et si des sous-traitants sont utilisés. Le client sera aussi informé si un accès non autorisé à des données personnelles se produisait ;
  4. Accès étatique. Toutes les demandes d’accès aux données personnelles par les forces de l’ordre seront documentées et le client en sera informé, sauf si des lois l’interdisent ;
  5. Sécurité. La norme garantit que les traitements des informations personnelles identifiables, comme la transmission par réseaux publics, le stockage sur des médias, les processus de récupération et de restauration de données, sont soumis à restriction. De plus, toutes les personnes qui traitent ces données personnelles sont liées par une obligation de confidentialité.

La protection des données personnelles est d’autant plus importante pour les entreprises que la plupart sont elles-mêmes soumises à de nombreuses obligations réglementaires concernant la confidentialité des données personnelles de leurs clients.

Cette certification, qui doit être validée chaque année par un audit indépendant, prouve l’engagement du fournisseur de services sur la protection des données personnelles. Dans le cas de Microsoft, les services Cloud Microsoft Azure, Office 365, Dynamics CRM Online et Microsoft Intune sont tous certifiés conformes à la norme.