Acheteurs publics, connaissez-vous la norme ISO/IEC 27018 ?
Publiée en juillet 2014, elle a pour but de protéger les données personnelles dans les services de Cloud computing et d'améliorer la confiance dans les prestataires qui adhéreront à ces bonnes pratiques.
Je m'abonneDans la jungle des normes, difficile pour l'acheteur public de s'y retrouver. Et pourtant, certaines comme la norme ISO/IEC 27018, sont en passe de devenir capital dans le cadre d'un marché de services de cloud computing.
Capital car elle exige de la part du prestataire un certain nombre d'engagements forts, qui vont de la transparence (lieu de stockage des données doit être connu des utilisateurs) à la confidentialité en passant par la conservation limitée des données (politique de destruction des données personnelles en fin de contrat), la communication (engagement en cas de faille de sécurité affectant les données), la garantie d'un accès aux données ou enfin l'impossibilité pour le prestataire d'utiliser les données personnelles de ses clients à des fins publicitaires ou de marketing.
Selon Nicolas Nahmias, avocat à la cour (AdDen avocats), "la soumission à cette norme devrait largement améliorer la sécurité et la confidentialité des données personnelles et ainsi rassurer les utilisateurs de Cloud computing".
Quid de la norme dans les marchés publics ?
Si le secteur public ne représente que 20% des dépenses informatiques en Europe, il a vocation à évoluer vers le cloud, à l'instar du secteur privé. "Cette solution permet de s'affranchir des contraintes liées à une infrastructure informatique complexe et donc de gagner en efficacité à un moindre coût", rappelle Nicolas Nahmias, ajoutant que "pour autant, les questions posées par le cloud public sont nombreuses et complexes, les données dont il est question étant à la fois généralement confidentielles et d'intérêt général."
Selon lui, "cette norme répond donc bien aux préoccupations légitimes des personnes publiques en leur fournissant à la fois les clarifications et garanties nécessaires."
Lire aussi : Vendor Management System vs e-procurement : le match des solutions d'achats de prestations intellectuelles
Quelle utilisation pour l'acheteur ?
L'acheteur public pourra, à terme, définir ses besoins et les spécifications techniques attendues par référence à la norme ISO/IEC 27018. "Il devra simplement admettre, comme le prévoit l'article 6.V, les candidats qui prouvent dans leur offre, par tout moyen approprié, que les solutions qu'ils proposent respectent de manière équivalente les spécifications techniques contenues dans la norme", explique l'avocat.
Il précise que l'acheteur "peut, dès à présent, demander aux candidats de satisfaire à des exigences fonctionnelles qui reprennent celles incluses dans la norme. Quant aux candidats, ils auront bien entendu tout intérêt à mettre en valeur dans leurs réponses le fait qu'ils respectent la norme ISO et à mettre l'accent sur l'ensemble des garanties qu'elle apporte à l'acheteur public."