AstucenLPD
Utilisation de Cloud/Drive public dans le cadre de la nLPD
Lorsqu'il s'agit de stocker des informations sensibles conformément à la nouvelle loi suisse sur la protection des données (nLPD), il est impératif de prendre des mesures de sécurité strictes. Malheureusement, la plupart des services de cloud/drive tels que OneDrive, DropBox, GoogleDrive, etc peuvent présenter des limitations importantes en matière de conformité voir être totalement interdit.
Pourquoi OneDrive, GoogleDrive et autres services de cloud public posent problème
1. Localisation des serveurs
L'un des principaux problèmes avec les services de cloud public, tels que OneDrive, DropBox, GoogleDrive, etc est que les données sont souvent stockées sur des serveurs situés dans des pays qui ne sont pas autorisés par la nLPD. Cela peut entraîner des problèmes de conformité, car les données sensibles des citoyens suisses doivent être stockées en Suisse ou dans un pays offrant un niveau de protection équivalent.
2. Manque de contrôle
Les services de cloud public offrent une commodité incontestable, mais cela signifie également que vous avez moins de contrôle sur la façon dont vos données sont gérées et protégées. Les fournisseurs de services de cloud définissent souvent leurs propres politiques de sécurité et ne garantissent pas que celles-ci ne seront pas déplacées dans un pays non autorisé.
3. Risque de fuite de données
Le stockage de données sensibles dans un service de cloud public expose potentiellement ces données à des risques de fuite ou de violation de sécurité. Même avec des mesures de sécurité en place, aucune solution n'est infaillible, et une faille de sécurité pourrait compromettre la confidentialité des informations. L'utilisation de solution grand publique augmente drastiquement le risque de ce type de fuite car elle est particulièrement attaquée par les pirates informatiques afin d'obtenir des rançons ou autres actes malveillants.
4. Une gestion des accès qui laisse à désirer
Afin d'être le plus facile à utiliser possible, les grands acteurs tel que Google, Microsoft, etc mettent à disposition des liens de partages publics pour accéder aux drives et permettent ainsi de contourner une grande partie des sécurités mises en place. Cela va directement à l'encontre d'un environnement sécurisé pour les données sensibles.
Les alternatives conformes à la LPD
Pour stocker des informations sensibles conformément à la LPD suisse, il est préférable d'opter pour des solutions de stockage locales ou des services de cloud privé offrant une garantie de localisation des données en Suisse. Ces solutions offrent un contrôle accru sur la gestion des données et permettent de respecter les exigences strictes de la LPD.
En cas de besoin, nos experts peuvent volontiers vous conseiller
Liste des drives listés dans le monde et autorisations
Office 365 Suisse

Données personnelles | NON |
Données sensibles | NON |
Bien que les données soient stockées en Suisse, Microsoft ne garantit pas que celles-ci soient stockées uniquement en Suisse et pourraient tout ou en partie sortir des territoires autorisés. De plus, le niveau de sécurité général d'Office 365 ne satisfait pas au niveau de sécurité proportionnel nécessaire au stockage des données sensibles. |
Office 365

Données personnelles | NON |
Données sensibles | NON |
Les raisons sont sensiblement les mêmes que pour l'édition Suisse d'Office 365, mais avec un flou sur la localisation des données encore plus important. |
OneDrive

Données personnelles | NON |
Données sensibles | NON |
OneDrive est un produit Microsoft qui soulève les mêmes problèmes que pour les produits Office 365. |
Google Drive

Données personnelles | NON |
Données sensibles | NON |
L'utilisation de Google Drive (Suite Google) est formellement interdite de même que l'utilisation des services Google Mail puisqu'ils sont stockés aux USA sans avoir validé le niveau nécessaire à la conformité de la sécurité des données. De plus, le niveau de sécurité global ne satisfait pas au niveau de sécurité proportionnel nécessaire au stockage des données sensibles. |
DropBox

Données personnelles | NON |
Données sensibles | NON |
De même que Google drive, l'utilisation de DropBox est formellement interdite puisqu'ils sont stockés aux USA sans avoir validé le niveau nécessaire à la conformité de la sécurité des données. De plus, le niveau de sécurité global ne satisfait pas au niveau de sécurité proportionnel nécessaire au stockage des données sensibles. |
KDrive

Données personnelles | OUI |
Données sensibles | SOUS CONDITIONS |
KDrive met en avant un produit d'excellente qualité dont les données ne quitteront pas le sol helvétique ce qui lui permet de stocker des données personnelles sans problème. Cependant, les données sensibles ne peuvent pas être stockées sans rajout d'un moyen de chiffrement externe. |
CryptoCloud Forteresse
Données personnelles | OUI |
Données sensibles | OUI |
CryptoCloud de Forteresse a été créé par défaut pour garantir un niveau de sécurité élevé et des fonctionnalités de Drive tout aussi commode que les leaders du marché. C'est une alternative fiable et peu coûteuse à la mise en place d'un cloud grand public. |
Besoin d'aide sur la nLPD ?
Nos experts se tiennent à votre disposition pour répondre à vos questions et vous présenter des solutions concrètes pour vous mettre en adéquation avec la nLPD !
Article rédigé par

Thibaut Robert
Directeur de Forteresse CyberSecurity
Spécialiste sécurisation TPE/PME
Besoin d'aide sur la nLPD ?
Nos experts se tiennent à votre disposition pour répondre à vos questions et vous présenter des solutions concrètes pour vous mettre en adéquation avec la nLPD !
Découvrez d'autres astuces de nos experts sur la nLPD