Le cloud computing : avantages et risques juridiques pour l’entreprise
Publié le :
26/12/2012
26
décembre
déc.
12
2012
Suivant la définition donnée au journal officiel du 6 juin 2010, il s’agit d’un mode de traitement des données d’un client, dont l’exploitation s’effectue par internet, sous la forme de services fournis par un prestataire.
Définition du cloud computingIl s’agit d’une forme de gérance informatique dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance du client.
Trois catégories de cloud peuvent exister
• Software as a service (Saas) : accès à distance à des applications.
• Infrastructure as a service (Iaas) : accès à distance à des serveurs ou des capacités de stockage ou de traitement supplémentaire, sur internet
• Platform as a service (Paas) : plateforme permettant de créer des applications; de bénéficier de différents environnements
Les avantages du cloud computing sont donc de présenter une diminution des investissements en interne (architecture technique et matérielle notamment) et de bénéficier de capacités de calcul, stockage et d’applications pouvant rapidement être mobilisées, avec la possibilité de souscrire des services à géométrie variable pour une durée donnée suivant une facturation associée à la consommation.
S’il ne s’agit pas d’une révolution, l’externalisation ou la virtualisation étant déjà un procédé existant en matière informatique, allant de l’infogérance à la fourniture de solutions logicielles en mode ASP, cette nouvelle forme de gérance informatique dite «en nuage» ne manque pas d’interroger juridiquement ce d’autant que la localisation des données apparaît en effet incertaine puisque selon la définition donnée « l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients ».
Ainsi la confidentialité des données et le transfert de ces dernières (dans et hors de l’Union Européenne) devient cruciale lors de la contractualisation de même que la fixation de la loi applicable aux contrats.
Si à l’heure actuelle, la majorité des offres relèvent d’avantage du contrat d’adhésion que de la possibilité de négocier pleinement un tel service, encore faut-il que la relation à conclure puisse garantir au client le respect de certains principes.
A cet effet, la CNIL, suivant ses recommandations du 25 juin 2012, insiste sur le préalable d’une analyse de risque dans le choix pertinent de tout prestataire de Cloud computing suivant notamment deux axes :
• identifier clairement les données et traitements qui seront dans le Cloud
• définir ses exigences de sécurité technique et juridique
Suivant ces deux lignes directrices, le client devra porter une attention toute particulière sur les éléments qui suivent :
S’agissant de la confidentialité et sécurité des traitements, rappelons que suivant l’article 34 de la loi informatique et liberté n°78-17, le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et des risques présentés par le traitement pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées endommagées ou que des tiers non autorisés y aient accès. En application de l’article 35, le sous-traitant, qui doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité, n’agit cependant que sur instruction du responsable du traitement.
Or, ce modèle de gérance informatique, notamment en matière de Cloud public ou semi-public fait apparaître que le client ne maîtrise plus réellement ses données, surtout lorsque l’offre repose davantage sur un principe d’adhésion sans négociation.
Dans de tels schémas, le prestataire de services, initialement qualifié de sous-traitant peut voir sa qualification remise en cause.
En effet, l’incapacité pour le responsable des traitements de contrôler l’effectivité des mesures de sécurité mises en œuvre amène dès lors à qualifier le sous-traitant également de responsable de traitement tenu dès lors donc d’une responsabilité conjointe au titre de l’ensemble des obligations de confidentialité et de sécurité .
Ce point est d’ailleurs repris par le projet de règlement européen sur la protection des données à caractère personnel où sont article 24 crée expressément une notion de responsable conjoint du traitement. Le projet de l’article 26-4 précisant s’agissant des sous traitants que « s’ils traitent des données à caractère personnel d’une manière autre que celle définie dans les instructions du responsable du traitement, le sous traitant est considéré comme responsable du traitement à l’égard de ce traitement ».
A ces obligations de confidentialité et du degré de sécurité proposé, le contrat devant pouvoir justifier des moyens de s’assurer de leurs respect (clause d’audit), le rédacteur du contrat ne manquera pas de s’interroger également sur la loi applicable au contrat compte tenu d’un possible hébergement de ces données dans le monde entier. Il imposera en tout état de cause une clause de localisation géographique des données hébergées aux fins que celles-ci soient a minima hébergées au sein de l’Union Européenne ou à défaut, si tel n’était pas le cas, dans des pays où il serait constaté un niveau de protection adéquat et la présentation de garanties appropriées.
Ceci pourra notamment impliquer la mise en œuvre de clauses types contractuelles telles qu’édictées par la commission ou les binding corporate rules.
En tout état de cause, et si les données devaient être hébergées en dehors de l’Union Européenne, il conviendra de s’interroger, au regard du type de données hébergées sur l’opportunité ou non que les données puissent être hébergées dans certains territoires compte tenu de règles locales pouvant permettre un accès à ces dernières (par exemple, procédures de disclosure, Patriot Act…)
Au titre des prestations fournies, la clause relative au niveaux de services devra faire l’objet d’une attention toute particulière au titre notamment du préavis applicable pour une augmentation des ressources, des mécanismes de variation à la hausse et à la baisse des ressources sollicitées, de l’obligation ou non de subir des montées de version des applications souscrites en mode SaaS.
En outre et si encadrer la vie du contrat restera essentiel, l’interruption des services ou leur achèvement et donc la possible sortie du nuage devront faire l’objet d’une attention toute particulière afin de ne pas rester prisonnier d’un monde éthéré et non maîtrisable.
Il conviendra donc de s’assurer de l’appréhension de tels risques via des clauses de résilience tant en matière de plan de continuité d’activité que lors des opérations de réversibilité.
En effet il s’agit bien là de deux points cruciaux du Cloud Computing :
- s’assurer des niveaux de service et de l’absence de dégradation compte tenu d’une gérance informatique totalement externalisée et non maîtrisable par le client sauf Cloud Computing privé interne maitrisé par le client.
- s’assurer de par la souplesse du service offert lors de sa souscription quant à l’envoi des données dans le nuage de pouvoir procéder à une nouvelle migration lorsque tout client décidera de changer de prestataire hébergeant ses données dans le cadre d’un processus de réversibilité.
Enfin, et si un schéma économique et un cadre juridique seront initialement définis dans le cadre de la souscription d’un service en mode Cloud Computing ab initio, il conviendra en revanche de s’interroger sur la migration de systèmes d’information existants vers le nuage compte tenu des règles de licence pouvant être applicables aux opérations de virtualisation, d’hébergement chez un tiers et d’extension des droits.
Nul doute que cloud computing va transformer la gestion des parcs informatiques des entreprises et offrir plus de souplesse aux utilisateurs.
La prochaine étape amorcée est de permettre désormais aux salariés de travailler sur leurs propres ordinateurs ou smartphones en accédant aux applications sur le Cloud. Le BYOC ou BYOD (Bring your own computeur ou Bring your own Device) ne sera pas sans conséquence sur les règles de sécurité (comment tracer ces utilisations) mais aussi sur la rédaction des chartes d’utilisation existantes des entreprises qui devront désormais également formaliser des règles applicables aux outils personnels des employés.
Cet article a été rédigé par Me Mathieu MARTIN. Il n'engage que son auteur.
Historique
-
Podcast : c'est quoi le RGPD ?
Publié le : 16/04/2024 16 avril avr. 04 2024Particuliers / Consommation / Informatique et InternetEntreprises / Gestion de l'entreprise / Informatique et RéseauxUn podcast où l'on retrouve Yoan Tortevoix, qui en dehors de ses activités d'...
-
Contentieux déontologique des médecins : attention à l'accès des patients au wifi du cabinet d'un praticien
Publié le : 27/08/2021 27 août août 08 2021Entreprises / Gestion de l'entreprise / Informatique et RéseauxDans sa décision n ° 14475 du 23 mars 2021, la chambre disciplinaire nation...
-
Loi AVIA : Inconstitutionnalité des obligations de retrait des contenus illicites mises à la charge des acteurs de la communication au public en ligne
Publié le : 04/09/2020 04 septembre sept. 09 2020Particuliers / Consommation / Informatique et InternetEntreprises / Gestion de l'entreprise / Informatique et RéseauxTout en réaffirmant que la Constitution permet au législateur de réprimer l...
-
Entreprises : quelles mentions doivent obligatoirement figurer sur votre site internet ?
Publié le : 28/05/2019 28 mai mai 05 2019Entreprises / Marketing et ventes / Publicité/ marketingEntreprises / Gestion de l'entreprise / Informatique et RéseauxLes entreprises qui exploitent un site internet sont assujetties à diverses...
-
Recours à l'intelligence artificielle au sein de l'entreprise et CHSCT
Publié le : 07/05/2018 07 mai mai 05 2018Entreprises / Gestion de l'entreprise / Informatique et RéseauxL'utilisation de l'intelligence artificielle (IA) au sein d'une entreprise...
-
Protection des données personnelles : l'avis de la CNIL sur le projet de loi
Publié le : 14/12/2017 14 décembre déc. 12 2017Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa CNIL a rendu le 30 novembre 2017 son avis sur le projet de loi relatif à...
-
Données et fichiers informatiques : application de la notion de vol à la reproduction non autorisée de fichiers appartenant à autrui
Publié le : 06/11/2017 06 novembre nov. 11 2017Entreprises / Gestion de l'entreprise / Informatique et RéseauxDans un arrêt du 28 juin 2017, la Cour de cassation vient confirmer une nou...
-
Opérateurs de plateformes numériques : quelles obligations d'information ?
Publié le : 09/10/2017 09 octobre oct. 10 2017Entreprises / Gestion de l'entreprise / Informatique et RéseauxUn décret du 29 septembre précise les obligations d'information des opérate...
-
La signature électronique : quelles caractéristiques pour présumer de sa fiabilité?
Publié le : 02/10/2017 02 octobre oct. 10 2017Entreprises / Gestion de l'entreprise / Informatique et RéseauxUn décret du 28 septembre 2017 précise les caractéristiques techniques du p...
-
Adoption du nouveau bouclier de protection des données UE-États-Unis
Publié le : 13/07/2016 13 juillet juil. 07 2016Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa Commission européenne vient d'adopter la décision relative au bouclier de...
-
Un pack de conformité pour le secteur des assurances
Publié le : 18/11/2014 18 novembre nov. 11 2014Entreprises / Gestion de l'entreprise / Informatique et RéseauxLe 12 novembre 2014, la CNIL et l’ensemble des fédérations professionnelles c...
-
Rapport du CNNum sur la neutralité des plateformes
Publié le : 17/06/2014 17 juin juin 06 2014Entreprises / Gestion de l'entreprise / Informatique et RéseauxLe Conseil national du numérique (CNNum) a remis le 13 juin son rapport sur l...
-
L’avenir du dispositif biométrique de reconnaissance du contour de la main
Publié le : 28/05/2014 28 mai mai 05 2014Entreprises / Gestion de l'entreprise / Informatique et RéseauxAlors que l’utilisation des dispositifs biométriques est déjà sévèrement enca...
-
Le dispositif biométrique de reconnaissance du contour de la main : régime actuel
Publié le : 27/05/2014 27 mai mai 05 2014Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa technique biométrique de reconnaissance du contour de la main est commerci...
-
L'obligation de l'employeur d'assurer la sécurité des données
Publié le : 04/10/2013 04 octobre oct. 10 2013Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa protection des données à caractère personnel, notamment dans le cadre des...
-
Point d'étape sur les actions répressives à l'encontre de Google en Europe
Publié le : 24/07/2013 24 juillet juil. 07 2013Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa CNIL a récemment mis en demeure Google de se conformer à la loi Informatiq...
-
Twitter : le nouveau cheval de bataille de Najat Vallaud-Belkacem
Publié le : 14/01/2013 14 janvier janv. 01 2013Entreprises / Gestion de l'entreprise / Informatique et RéseauxA la fin de l'année 2012, des propos racistes, xénophobes et antisémites se s...
-
Le cloud computing : avantages et risques juridiques pour l’entreprise
Publié le : 26/12/2012 26 décembre déc. 12 2012Entreprises / Gestion de l'entreprise / Informatique et RéseauxSuivant la définition donnée au journal officiel du 6 juin 2010, il s’agit d’...
-
Transposition du nouveau cadre réglementaire européen des communications électroniques
Publié le : 13/04/2012 13 avril avr. 04 2012Entreprises / Gestion de l'entreprise / Informatique et RéseauxLe décret portant transposition du nouveau cadre réglementaire européen des c...
-
Entreprises: gestion des fichiers informatiques par le CIL
Publié le : 03/04/2012 03 avril avr. 04 2012Entreprises / Gestion de l'entreprise / Informatique et RéseauxDirigeant d'entreprise, vous utilisez, pour les besoins de votre activité, de...
-
Droits d'auteur: la CJUE bloque le filtrage généralisé chez les hébergeurs
Publié le : 22/02/2012 22 février févr. 02 2012Entreprises / Gestion de l'entreprise / Informatique et RéseauxDans un arrêt du 16 février 2012, la Cour de Justice de l'Union Européenne a...
-
Adoption de la loi sur le prix unique du livre numérique
Publié le : 23/05/2011 23 mai mai 05 2011Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa loi relative au prix du livre numérique vient d’être validée le 17 mai par...
-
Responsabilité en cas de d'hébergement de contenus illicites
Publié le : 28/04/2011 28 avril avr. 04 2011Entreprises / Gestion de l'entreprise / Informatique et RéseauxDans sa décision en date du 17 février 2011, la Cour de Cassation fixe nettem...
-
Installation du Conseil National du Numérique (CNN)
Publié le : 28/04/2011 28 avril avr. 04 2011Entreprises / Gestion de l'entreprise / Informatique et RéseauxLe Conseil National du Numérique (CNN), chargé d'assister le gouvernement sur...
-
Conservation des données sur internet
Publié le : 14/03/2011 14 mars mars 03 2011Entreprises / Gestion de l'entreprise / Informatique et RéseauxQuelques réflexions autour de la publication du décret n°2011-219 du 25 févri...
-
Hébergeurs: obligation de conserver les données personnelles des internautes
Publié le : 03/03/2011 03 mars mars 03 2011Entreprises / Gestion de l'entreprise / Informatique et RéseauxUn décret paru mardi 1er mars impose aux hébergeurs et fournisseurs de servic...
-
Mails d'avertissement et Hadopi: un décret publié face à la résistance de Free
Publié le : 13/10/2010 13 octobre oct. 10 2010Entreprises / Gestion de l'entreprise / Informatique et RéseauxLe ministère de la Culture a publié au Journal Officiel un décret obligeant t...
-
Hausse de la TVA pour les FAI (fournisseurs d'accès à internet) mais pas pour le cinéma
Publié le : 14/09/2010 14 septembre sept. 09 2010Entreprises / Gestion de l'entreprise / Informatique et RéseauxNicolas Sarkozy a reçu les professionnels du septième art à l’Elysée et a aff...
-
Réservations de noms de domaine et usage des mots clefs: les précautions à prendre
Publié le : 14/09/2009 14 septembre sept. 09 2009Entreprises / Gestion de l'entreprise / Informatique et RéseauxL’usage intensif d’internet oblige à se pencher sur son fonctionnement. Quelq...
-
L'indivisibilité des contrats de création et de location de sites Web
Publié le : 23/12/2008 23 décembre déc. 12 2008Entreprises / Gestion de l'entreprise / Informatique et RéseauxIl est de plus en plus fréquent que les entreprises spécialisées dans la créa...
-
Bouygues Telecom condamné à démonter une antenne relais
Publié le : 07/10/2008 07 octobre oct. 10 2008Entreprises / Gestion de l'entreprise / Informatique et RéseauxBouygues Telecom a été condamné par le tribunal de grande instance de Nanterr...
-
Les fournisseurs d'accès à internet ont-ils droit de surtaxer leur hotline?
Publié le : 02/04/2008 02 avril avr. 04 2008Entreprises / Gestion de l'entreprise / Informatique et RéseauxIl n'est pas normal de payer un appel à la hotline lorsqu'il s'agit de signal...
-
Les recommandations de l'ARCEP sur le déploiement du «très haut débit»
Publié le : 07/12/2007 07 décembre déc. 12 2007Entreprises / Gestion de l'entreprise / Informatique et RéseauxL’ARCEP estime qu'une loi est indispensable pour imposer la mutualisation des...
-
LA PROPRIETE INTELLECTUELLE ET L'INTERNET
Publié le : 09/07/2007 09 juillet juil. 07 2007Entreprises / Gestion de l'entreprise / Informatique et RéseauxQuels sont les droits et les devoirs des acteurs de l'Internet? Comment la pr...