Délibération n° 2020-044 de la CNIL : le CASD conforme aux préconisations

Les données confiées au CASD pourraient-elles être mises sur un cloud ?

On nous pose souvent la question ces dernières semaines à la suite d’une récente délibération de la CNIL. Notre réponse est non et cela est conforme à la politique de sécurité de l’information du CASD qui y a inscrit de ne pas sous-traiter à un tiers pour les mêmes raisons que la CNIL évoque :

  • Le risque technique de transfert de données sur un territoire extra-communautaire pour maintenance, sur incident ou sur sauvegarde.
  • Comme l’indique la CNIL, le chiffrement des bases sources ne suffit pas à garantir sa confidentialité car les clés de déchiffrement vont obligatoirement être à la portée du tiers lors des opérations de déchiffrement qui ont lieu sur le cloud.
  • L’obligation technique de mettre à disposition des utilisateurs des données non chiffrées pour qu’ils puissent les analyser, les rend accessibles en clair pour le tiers, sauf dans le cas d’utilisation de récentes technologies de chiffrement homomorphe qui restent limitée en termes de possibilité de traitement
  • Même avec la maîtrise forte du poste de travail (SD-Box), cela ne suffirait pas à garantir la confidentialité des données si elles sont sur un cloud.

Ce sont ces exigences qui permettent de pouvoir traiter avec un maximum de sécurité les données très sensibles de différents domaines : santé, données socio-économiques, données environnementales et données psychologiques particulièrement utiles à la communauté de la recherche.