Le cloud computing : avantages et risques juridiques pour l’entreprise

Publié le : 26/12/2012 26 décembre déc. 12 2012

Suivant la définition donnée au journal officiel du 6 juin 2010, il s’agit d’un mode de traitement des données d’un client, dont l’exploitation s’effectue par internet, sous la forme de services fournis par un prestataire.

Définition du cloud computingIl s’agit d’une forme de gérance informatique dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance du client.

Trois catégories de cloud peuvent exister
• Software as a service (Saas) : accès à distance à des applications.
• Infrastructure as a service (Iaas) : accès à distance à des serveurs ou des capacités de stockage ou de traitement supplémentaire, sur internet
• Platform as a service (Paas) : plateforme permettant de créer des applications; de bénéficier de différents environnements

Les avantages du cloud computing sont donc de présenter une diminution des investissements en interne (architecture technique et matérielle notamment) et de bénéficier de capacités de calcul, stockage et d’applications pouvant rapidement être mobilisées, avec la possibilité de souscrire des services à géométrie variable pour une durée donnée suivant une facturation associée à la consommation.

S’il ne s’agit pas d’une révolution, l’externalisation ou la virtualisation étant déjà un procédé existant en matière informatique, allant de l’infogérance à la fourniture de solutions logicielles en mode ASP, cette nouvelle forme de gérance informatique dite «en nuage» ne manque pas d’interroger juridiquement ce d’autant que la localisation des données apparaît en effet incertaine puisque selon la définition donnée « l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients ».

Ainsi la confidentialité des données et le transfert de ces dernières (dans et hors de l’Union Européenne) devient cruciale lors de la contractualisation de même que la fixation de la loi applicable aux contrats.

Si à l’heure actuelle, la majorité des offres relèvent d’avantage du contrat d’adhésion que de la possibilité de négocier pleinement un tel service, encore faut-il que la relation à conclure puisse garantir au client le respect de certains principes.

A cet effet, la CNIL, suivant ses recommandations du 25 juin 2012, insiste sur le préalable d’une analyse de risque dans le choix pertinent de tout prestataire de Cloud computing suivant notamment deux axes :
• identifier clairement les données et traitements qui seront dans le Cloud
• définir ses exigences de sécurité technique et juridique

Suivant ces deux lignes directrices, le client devra porter une attention toute particulière sur les éléments qui suivent :

S’agissant de la confidentialité et sécurité des traitements, rappelons que suivant l’article 34 de la loi informatique et liberté n°78-17, le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et des risques présentés par le traitement pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées endommagées ou que des tiers non autorisés y aient accès. En application de l’article 35, le sous-traitant, qui doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité, n’agit cependant que sur instruction du responsable du traitement.

Or, ce modèle de gérance informatique, notamment en matière de Cloud public ou semi-public fait apparaître que le client ne maîtrise plus réellement ses données, surtout lorsque l’offre repose davantage sur un principe d’adhésion sans négociation.

Dans de tels schémas, le prestataire de services, initialement qualifié de sous-traitant peut voir sa qualification remise en cause.

En effet, l’incapacité pour le responsable des traitements de contrôler l’effectivité des mesures de sécurité mises en œuvre amène dès lors à qualifier le sous-traitant également de responsable de traitement tenu dès lors donc d’une responsabilité conjointe au titre de l’ensemble des obligations de confidentialité et de sécurité .

Ce point est d’ailleurs repris par le projet de règlement européen sur la protection des données à caractère personnel où sont article 24 crée expressément une notion de responsable conjoint du traitement. Le projet de l’article 26-4 précisant s’agissant des sous traitants que « s’ils traitent des données à caractère personnel d’une manière autre que celle définie dans les instructions du responsable du traitement, le sous traitant est considéré comme responsable du traitement à l’égard de ce traitement ».

A ces obligations de confidentialité et du degré de sécurité proposé, le contrat devant pouvoir justifier des moyens de s’assurer de leurs respect (clause d’audit), le rédacteur du contrat ne manquera pas de s’interroger également sur la loi applicable au contrat compte tenu d’un possible hébergement de ces données dans le monde entier. Il imposera en tout état de cause une clause de localisation géographique des données hébergées aux fins que celles-ci soient a minima hébergées au sein de l’Union Européenne ou à défaut, si tel n’était pas le cas, dans des pays où il serait constaté un niveau de protection adéquat et la présentation de garanties appropriées.

Ceci pourra notamment impliquer la mise en œuvre de clauses types contractuelles telles qu’édictées par la commission ou les binding corporate rules.

En tout état de cause, et si les données devaient être hébergées en dehors de l’Union Européenne, il conviendra de s’interroger, au regard du type de données hébergées sur l’opportunité ou non que les données puissent être hébergées dans certains territoires compte tenu de règles locales pouvant permettre un accès à ces dernières (par exemple, procédures de disclosure, Patriot Act…)

Au titre des prestations fournies, la clause relative au niveaux de services devra faire l’objet d’une attention toute particulière au titre notamment du préavis applicable pour une augmentation des ressources, des mécanismes de variation à la hausse et à la baisse des ressources sollicitées, de l’obligation ou non de subir des montées de version des applications souscrites en mode SaaS.

En outre et si encadrer la vie du contrat restera essentiel, l’interruption des services ou leur achèvement et donc la possible sortie du nuage devront faire l’objet d’une attention toute particulière afin de ne pas rester prisonnier d’un monde éthéré et non maîtrisable.

Il conviendra donc de s’assurer de l’appréhension de tels risques via des clauses de résilience tant en matière de plan de continuité d’activité que lors des opérations de réversibilité.

En effet il s’agit bien là de deux points cruciaux du Cloud Computing :
- s’assurer des niveaux de service et de l’absence de dégradation compte tenu d’une gérance informatique totalement externalisée et non maîtrisable par le client sauf Cloud Computing privé interne maitrisé par le client.
- s’assurer de par la souplesse du service offert lors de sa souscription quant à l’envoi des données dans le nuage de pouvoir procéder à une nouvelle migration lorsque tout client décidera de changer de prestataire hébergeant ses données dans le cadre d’un processus de réversibilité.

Enfin, et si un schéma économique et un cadre juridique seront initialement définis dans le cadre de la souscription d’un service en mode Cloud Computing ab initio, il conviendra en revanche de s’interroger sur la migration de systèmes d’information existants vers le nuage compte tenu des règles de licence pouvant être applicables aux opérations de virtualisation, d’hébergement chez un tiers et d’extension des droits.

Nul doute que cloud computing va transformer la gestion des parcs informatiques des entreprises et offrir plus de souplesse aux utilisateurs.

La prochaine étape amorcée est de permettre désormais aux salariés de travailler sur leurs propres ordinateurs ou smartphones en accédant aux applications sur le Cloud. Le BYOC ou BYOD (Bring your own computeur ou Bring your own Device) ne sera pas sans conséquence sur les règles de sécurité (comment tracer ces utilisations) mais aussi sur la rédaction des chartes d’utilisation existantes des entreprises qui devront désormais également formaliser des règles applicables aux outils personnels des employés.




Cet article a été rédigé par Me Mathieu MARTIN. Il n'engage que son auteur.
 

Historique

<< < 1 > >>
Navigateur non pris en charge

Le navigateur Internet Explorer que vous utilisez actuellement ne permet pas d'afficher ce site web correctement.

Nous vous conseillons de télécharger et d'utiliser un navigateur plus récent et sûr tel que Google Chrome, Microsoft Edge, Mozilla Firefox, ou Safari (pour Mac) par exemple.
OK