Les politiques et pratiques mises en place au niveau des gouvernements et des entreprises pour gérer les données dans l’écosystème Cloud Computing dépendent fortement de la catégorie de données adressées. Les exigences concernant les données personnelles et les données organisationnelles ne seront pas les mêmes, que cela soit en termes de sécurité, de contrôle ou encore de transfert. Les parties prenantes ont donc tout intérêt à exprimer ces politiques et pratiques de manière structurée afin de pouvoir mieux les analyser et les comparer. C’est dans ce contexte que le sous-comité de normalisation ISO/IEC JTC 1/SC 38 Cloud Computing and Distributed Platforms a récemment publié la norme ISO/IEC 22624:2020, Information technology -- Cloud computing -- Taxonomy based data handling for cloud services.
Cette norme propose une approche structurée, basée sur une taxonomie de données commune, pour exprimer des politiques et/ou pratiques en matière de gestion des données dans l’écosystème Cloud Computing, permettant ainsi de mieux pouvoir les comparer et les analyser. Elle présente un ensemble d'exemples de domaines de traitement des données afin de guider les fournisseurs, les clients et les utilisateurs de services cloud qui souhaitent utiliser la norme ISO/IEC 19944 dans le cadre de l'application des politiques et de l'analyse des exigences de ces politiques à ces domaines.
La nouvelle norme s’adresse principalement aux personnes et aux organisations intéressées par les aspects de gestion de données dans le cloud en s’appuyant sur la taxonomie décrite dans la norme ISO/IEC 19944. Elle propose notamment :
- un cadre pour l'expression structurée des politiques et pratiques liées aux données dans l'environnement du Cloud Computing ;
- des lignes directrices sur l'application de la taxonomie pour le traitement des données sur la base de leur sous-catégorie et de leur classification (ex. : données client, données du fournisseur de service cloud) ;
- de couvrir l'expression des politiques et pratiques liées aux données, incluant, mais sans s'y limiter, la géolocalisation des données, le flux transfrontalier de données, l'accès aux données et la portabilité des données, l'utilisation des données, la gestion des données et la gouvernance des données ;
- une description de l’utilisation du cadre défini dans des codes de conduite concernant les données stockées et en transit, y compris le transfert transfrontalier de données, ainsi que l'accès à distance aux données ;
- de présenter des cas d'utilisation illustrant les défis liés au traitement des données que sont le contrôle, l'accès et la localisation des données selon les catégories de la norme ISO/IEC 19944.
Consultation d’une norme
La norme ISO/IEC 22624:2020 peut être consultée gratuitement sur l’une des stations de lecture installées au Luxembourg. Elle est également disponible à l’achat via l’ILNAS e-Shop.
Vous souhaitez participer au développement des normes techniques ?
Le Luxembourg participe activement à la normalisation technique du Cloud Computing via son comité d’étude national ISO/IEC JTC 1/SC 38 qui compte actuellement 12 délégués nationaux en normalisation. L’ILNAS offre la possibilité à toute personne intéressée de participer gratuitement à l’élaboration des normes en devenant délégué national en normalisation au sein d’un ou de plusieurs comités techniques.
Pour cela, il suffit de compléter un formulaire de demande d’inscription puis de le transmettre par e-mail à normalisation@ilnas.etat.lu.