Le cloud computing : avantages et risques juridiques pour l’entreprise
Publié le :
26/12/2012
26
décembre
déc.
12
2012
Suivant la définition donnée au journal officiel du 6 juin 2010, il s’agit d’un mode de traitement des données d’un client, dont l’exploitation s’effectue par internet, sous la forme de services fournis par un prestataire.
Définition du cloud computingIl s’agit d’une forme de gérance informatique dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance du client.
Trois catégories de cloud peuvent exister
• Software as a service (Saas) : accès à distance à des applications.
• Infrastructure as a service (Iaas) : accès à distance à des serveurs ou des capacités de stockage ou de traitement supplémentaire, sur internet
• Platform as a service (Paas) : plateforme permettant de créer des applications; de bénéficier de différents environnements
Les avantages du cloud computing sont donc de présenter une diminution des investissements en interne (architecture technique et matérielle notamment) et de bénéficier de capacités de calcul, stockage et d’applications pouvant rapidement être mobilisées, avec la possibilité de souscrire des services à géométrie variable pour une durée donnée suivant une facturation associée à la consommation.
S’il ne s’agit pas d’une révolution, l’externalisation ou la virtualisation étant déjà un procédé existant en matière informatique, allant de l’infogérance à la fourniture de solutions logicielles en mode ASP, cette nouvelle forme de gérance informatique dite «en nuage» ne manque pas d’interroger juridiquement ce d’autant que la localisation des données apparaît en effet incertaine puisque selon la définition donnée « l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients ».
Ainsi la confidentialité des données et le transfert de ces dernières (dans et hors de l’Union Européenne) devient cruciale lors de la contractualisation de même que la fixation de la loi applicable aux contrats.
Si à l’heure actuelle, la majorité des offres relèvent d’avantage du contrat d’adhésion que de la possibilité de négocier pleinement un tel service, encore faut-il que la relation à conclure puisse garantir au client le respect de certains principes.
A cet effet, la CNIL, suivant ses recommandations du 25 juin 2012, insiste sur le préalable d’une analyse de risque dans le choix pertinent de tout prestataire de Cloud computing suivant notamment deux axes :
• identifier clairement les données et traitements qui seront dans le Cloud
• définir ses exigences de sécurité technique et juridique
Suivant ces deux lignes directrices, le client devra porter une attention toute particulière sur les éléments qui suivent :
S’agissant de la confidentialité et sécurité des traitements, rappelons que suivant l’article 34 de la loi informatique et liberté n°78-17, le responsable du traitement est tenu de prendre toute précaution utile au regard de la nature des données et des risques présentés par le traitement pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées endommagées ou que des tiers non autorisés y aient accès. En application de l’article 35, le sous-traitant, qui doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité, n’agit cependant que sur instruction du responsable du traitement.
Or, ce modèle de gérance informatique, notamment en matière de Cloud public ou semi-public fait apparaître que le client ne maîtrise plus réellement ses données, surtout lorsque l’offre repose davantage sur un principe d’adhésion sans négociation.
Dans de tels schémas, le prestataire de services, initialement qualifié de sous-traitant peut voir sa qualification remise en cause.
En effet, l’incapacité pour le responsable des traitements de contrôler l’effectivité des mesures de sécurité mises en œuvre amène dès lors à qualifier le sous-traitant également de responsable de traitement tenu dès lors donc d’une responsabilité conjointe au titre de l’ensemble des obligations de confidentialité et de sécurité .
Ce point est d’ailleurs repris par le projet de règlement européen sur la protection des données à caractère personnel où sont article 24 crée expressément une notion de responsable conjoint du traitement. Le projet de l’article 26-4 précisant s’agissant des sous traitants que « s’ils traitent des données à caractère personnel d’une manière autre que celle définie dans les instructions du responsable du traitement, le sous traitant est considéré comme responsable du traitement à l’égard de ce traitement ».
A ces obligations de confidentialité et du degré de sécurité proposé, le contrat devant pouvoir justifier des moyens de s’assurer de leurs respect (clause d’audit), le rédacteur du contrat ne manquera pas de s’interroger également sur la loi applicable au contrat compte tenu d’un possible hébergement de ces données dans le monde entier. Il imposera en tout état de cause une clause de localisation géographique des données hébergées aux fins que celles-ci soient a minima hébergées au sein de l’Union Européenne ou à défaut, si tel n’était pas le cas, dans des pays où il serait constaté un niveau de protection adéquat et la présentation de garanties appropriées.
Ceci pourra notamment impliquer la mise en œuvre de clauses types contractuelles telles qu’édictées par la commission ou les binding corporate rules.
En tout état de cause, et si les données devaient être hébergées en dehors de l’Union Européenne, il conviendra de s’interroger, au regard du type de données hébergées sur l’opportunité ou non que les données puissent être hébergées dans certains territoires compte tenu de règles locales pouvant permettre un accès à ces dernières (par exemple, procédures de disclosure, Patriot Act…)
Au titre des prestations fournies, la clause relative au niveaux de services devra faire l’objet d’une attention toute particulière au titre notamment du préavis applicable pour une augmentation des ressources, des mécanismes de variation à la hausse et à la baisse des ressources sollicitées, de l’obligation ou non de subir des montées de version des applications souscrites en mode SaaS.
En outre et si encadrer la vie du contrat restera essentiel, l’interruption des services ou leur achèvement et donc la possible sortie du nuage devront faire l’objet d’une attention toute particulière afin de ne pas rester prisonnier d’un monde éthéré et non maîtrisable.
Il conviendra donc de s’assurer de l’appréhension de tels risques via des clauses de résilience tant en matière de plan de continuité d’activité que lors des opérations de réversibilité.
En effet il s’agit bien là de deux points cruciaux du Cloud Computing :
- s’assurer des niveaux de service et de l’absence de dégradation compte tenu d’une gérance informatique totalement externalisée et non maîtrisable par le client sauf Cloud Computing privé interne maitrisé par le client.
- s’assurer de par la souplesse du service offert lors de sa souscription quant à l’envoi des données dans le nuage de pouvoir procéder à une nouvelle migration lorsque tout client décidera de changer de prestataire hébergeant ses données dans le cadre d’un processus de réversibilité.
Enfin, et si un schéma économique et un cadre juridique seront initialement définis dans le cadre de la souscription d’un service en mode Cloud Computing ab initio, il conviendra en revanche de s’interroger sur la migration de systèmes d’information existants vers le nuage compte tenu des règles de licence pouvant être applicables aux opérations de virtualisation, d’hébergement chez un tiers et d’extension des droits.
Nul doute que cloud computing va transformer la gestion des parcs informatiques des entreprises et offrir plus de souplesse aux utilisateurs.
La prochaine étape amorcée est de permettre désormais aux salariés de travailler sur leurs propres ordinateurs ou smartphones en accédant aux applications sur le Cloud. Le BYOC ou BYOD (Bring your own computeur ou Bring your own Device) ne sera pas sans conséquence sur les règles de sécurité (comment tracer ces utilisations) mais aussi sur la rédaction des chartes d’utilisation existantes des entreprises qui devront désormais également formaliser des règles applicables aux outils personnels des employés.
Cet article a été rédigé par Me Mathieu MARTIN. Il n'engage que son auteur.
Historique
-
Le contradictoire dans la procédure arbitrale mais la motivation non contradictoire de la sentence
Publié le : 22/01/2013 22 janvier janv. 01 2013Entreprises / Contentieux / Justice commercialeLes arbitres n'ont pas à soumettre aux parties la motivation de leur sentence...
-
La charge de la preuve dans le recours pour excès de pouvoir
Publié le : 22/01/2013 22 janvier janv. 01 2013Collectivités / Contentieux / Tribunal administratif/ Procédure administrativeLe Conseil d'Etat vient de préciser sa jurisprudence sur la charge de la preu...
-
L’absentéisme scolaire ne sera plus sanctionné par une suspension des allocations familiales :
Publié le : 22/01/2013 22 janvier janv. 01 2013Particuliers / Famille / EnfantsLe précédent Gouvernement avait mis en place la loi n°2010-1127 sanctionnant...
-
18ème tournoi de golf EUROJURIS, avis aux amateurs!
Publié le : 21/01/2013 21 janvier janv. 01 2013Actualités EUROJURISNon loin de la ville de Gent se tiendra le 18ème tournoi de Golf d'EUROJURIS...
-
Procédure contradictoire en cas d'un retrait de permis de construire
Publié le : 21/01/2013 21 janvier janv. 01 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeLorsque l'autorité administrative compétente décide de revenir sur un retrait...
-
Publicité déloyale : la CJUE condamne des professionnels organisateurs de loterie
Publié le : 21/01/2013 21 janvier janv. 01 2013Entreprises / Marketing et ventes / ConcurrencePar un arrêt en date du 18 octobre 2012, la Cour de Justice de l'Union Europé...
-
Amiante et préjudice d’anxiété :
Publié le : 17/01/2013 17 janvier janv. 01 2013Particuliers / Santé / Préjudice corporelLa situation anxiogène dans laquelle vivent les salariés exposés à l’amiante...
-
Cornet Vincent Segurel s'agrandit
Publié le : 16/01/2013 16 janvier janv. 01 2013Actualités EUROJURISAlors que le Cabinet CORNET VINCENT SEGUREL (site) avait investi la ville lil...
-
Arbitrage: quand contester l'impartialité des arbitres?
Publié le : 16/01/2013 16 janvier janv. 01 2013Entreprises / Contentieux / Justice commercialeLa partialité d'un arbitre doit être soulevée au plus tôt sous peine d'être i...
-
Le non-cumul des mandats: le point de vue de Claude Bartolone
Publié le : 15/01/2013 15 janvier janv. 01 2013Collectivités / Services publics / Fonction publique / Personnel administratifLe non-cumul des mandats locaux avec un mandat parlementaire faisait partie d...
-
Légalité du financement des équipements publics
Publié le : 15/01/2013 15 janvier janv. 01 2013Collectivités / Finances locales / Droit public économiqueL’action administrative en matière de projet foncier et de promotion immobili...
-
Circulaire sur la scolarisation des enfants de moins de 3 ans
Publié le : 15/01/2013 15 janvier janv. 01 2013Particuliers / Famille / EnfantsLa scolarité précoce est-elle une solution efficiente afin de lutter contre l...
-
Un changement d'état civil accepté sans intervention chirurgicale
Publié le : 14/01/2013 14 janvier janv. 01 2013Particuliers / Famille / Mariage / PACS / Concubinage / Vie civileLe Tribunal de Grande Instance d'Agen a rendu le 20 décembre dernier une déci...
-
Actualité du principe de participation du public en matière environnementale (PREMIERE PARTIE)
Publié le : 14/01/2013 14 janvier janv. 01 2013Collectivités / Environnement / EnvironnementLa non-conformité de l'article L. 120-1 du Code de l'environnement relatif au...
-
Changement de destination des constructions agricoles
Publié le : 14/01/2013 14 janvier janv. 01 2013Collectivités / Urbanisme / Ouvrages et travaux publics/ConstructionUn changement de destination des bâtiments agricoles est possible selon les d...
-
Twitter : le nouveau cheval de bataille de Najat Vallaud-Belkacem
Publié le : 14/01/2013 14 janvier janv. 01 2013Entreprises / Gestion de l'entreprise / Informatique et RéseauxA la fin de l'année 2012, des propos racistes, xénophobes et antisémites se s...
-
Manifestations contre le mariage pour tous à Paris
Publié le : 13/01/2013 13 janvier janv. 01 2013Particuliers / Famille / Mariage / PACS / Concubinage / Vie civileDimanche 13 décembre auront lieu des manifestations au cœur de la capitale à...
-
Emploi : les syndicats et le patronat parviennent à un accord
Publié le : 12/01/2013 12 janvier janv. 01 2013Entreprises / Ressources humaines / Contrat de travailAprès maints atermoiements, partenaires sociaux et patronat sont parvenus à u...
-
Subvention de l'ADEME et association ayant une activité cultuelle
Publié le : 11/01/2013 11 janvier janv. 01 2013Collectivités / Services publics / Service public / Délégation de service publicUn délégué de l'ADEME s'était opposé à l'octroi d'une subvention par une asso...
-
Le nouveau décret sur la gestion budgétaire et comptable publique
Publié le : 11/01/2013 11 janvier janv. 01 2013Collectivités / Finances locales / Droit public économiqueLe décret n°2012-1246 du 7 novembre 2012 sur la gestion budgétaire et comptab...
-
CSA : Olivier Schrameck nommé par le chef de l’Etat
Publié le : 11/01/2013 11 janvier janv. 01 2013Particuliers / Emploi / Contrat de travailLe 24 janvier prochain, Olivier Schrameck énarque et ancien directeur de cabi...
-
Pilule de troisième et quatrième génération et principe de précaution
Publié le : 10/01/2013 10 janvier janv. 01 2013Particuliers / Santé / Responsabilité médicaleAprès qu’une première plainte ait été déposée par une citoyenne française vic...
-
Jean-François Puget, membre d'Eurojuris, interviewé dans Les Echos
Publié le : 10/01/2013 10 janvier janv. 01 2013Actualités EUROJURISMaître Jean-François PUGET, associé du Cabinet CORNET VINCENT SEGUREL (site C...
-
Obligation de résultat quant à la qualité de l'eau potable
Publié le : 10/01/2013 10 janvier janv. 01 2013Collectivités / Services publics / UsagersLa Cour de Cassation a considéré que les communes étaient soumises à une obli...
-
La prise illégale d'intérêts : un risque non négligeable pour tout élu local
Publié le : 10/01/2013 10 janvier janv. 01 2013Collectivités / Services publics / Service public / Délégation de service publicPar une décision du 21 novembre 2012 n°334726, le Conseil d’État vient de rej...
-
Le Monde en parle, EUROJURIS l'accueille
Publié le : 10/01/2013 10 janvier janv. 01 2013Entreprises / Marketing et ventes / Publicité/ marketingLe Monde publie les résultats de l'enquête réalisée par Médiascopie illustran...
-
La SCP BEUCHER DEBETZ HAUFF et ASSOCIES devient LEXCAP
Publié le : 09/01/2013 09 janvier janv. 01 2013Actualités EUROJURISLa SCP Beucher Debetz Hauff et Associés, comptant pas moins de 45 avocats et...
-
La loi de finances 2013 et la censure du Conseil constitutionnel
Publié le : 09/01/2013 09 janvier janv. 01 2013Entreprises / Finances / FiscalitéLa loi de finances 2013 a été adoptée par l'Assemblée Nationale le 20 décembr...
-
La presse se fait l'écho du choix de la spécialisation par EUROJURIS
Publié le : 08/01/2013 08 janvier janv. 01 2013Actualités EUROJURISDans un article datant du 9 novembre, l'AGEFI détaille la nouvelle politique...
-
Prise en charge des frais de déplacements travail-domicile par l’employeur
Publié le : 08/01/2013 08 janvier janv. 01 2013Particuliers / Emploi / Contrat de travailUn salarié de Radio France avait saisi la juridiction prud'homale afin d'obte...
-
Un nouveau Président du Comité de Pilotage Internet
Publié le : 07/01/2013 07 janvier janv. 01 2013Actualités EUROJURISBenjamin ENGLISH succède à Laurent BABIN aux fonctions de Président du Comité...
-
Note explicative et réunion du Conseil Municipal
Publié le : 07/01/2013 07 janvier janv. 01 2013Collectivités / Services publics / UsagersLe Conseil d’État vient casser un arrêt de la Cour Administrative d'Appel et...
-
Musique en ligne : Le lancement du portail «Armonia» par la SACEM
Publié le : 05/01/2013 05 janvier janv. 01 2013Entreprises / Marketing et ventes / Marques et brevetsAlors qu'un projet de directive se dessine à l'échelle européenne afin de pro...
-
Prise illégale d'intérêt, quel contrôle du juge?
Publié le : 03/01/2013 03 janvier janv. 01 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeUn élu intéressé par le projet d'une délibération ne doit pas seulement se re...
-
Accidents de ski et de snowboard : responsabilité et circonstances indéterminées
Publié le : 03/01/2013 03 janvier janv. 01 2013Particuliers / Santé / SportEn cette période de reprise d'activité des stations de ski, il est utile de r...
-
Rôle du SCOT en matière d'aménagement commercial
Publié le : 02/01/2013 02 janvier janv. 01 2013Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeL'implantation d'une grande surface d'une superficie excédant le seuil mentio...
-
La réparation du préjudice moral d'une société
Publié le : 02/01/2013 02 janvier janv. 01 2013Entreprises / Contentieux / Justice commercialeLa Chambre commerciale de la Cour de Cassation a rendu un arrêt relativement...
-
Contrat de travail et clause de conciliation préalable
Publié le : 02/01/2013 02 janvier janv. 01 2013Entreprises / Ressources humaines / Contrat de travailUn arrêt rendu par la Cour de cassation le 5 décembre 2012 est l’occasion d’a...
-
Résiliation de marché public: les pouvoirs du maître d'ouvrage délégué
Publié le : 02/01/2013 02 janvier janv. 01 2013Collectivités / Marchés publics / Contestation et contentieuxExcédant la simple gestion du contrat de marché public, la résiliation est un...
-
Travaux soumis à déclaration préalable
Publié le : 28/12/2012 28 décembre déc. 12 2012Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeDes travaux soumis à déclaration préalable sont-ils soumis à permis de constr...
-
Le droit d'avoir froid, un droit de troisième génération
Publié le : 28/12/2012 28 décembre déc. 12 2012Particuliers / Consommation / AgroalimentaireLe livre "The Right To Be Cold" de l'auteure et activiste Sheila Watt-Cloutie...
-
L'Avocat acteur de la croissance
Publié le : 28/12/2012 28 décembre déc. 12 2012Actualités EUROJURISLe prochain Congrès EUROJURIS FRANCE se tiendra le premier week-end de févrie...
-
L’Open data : un gage de démocratie dans les collectivités locales ?
Publié le : 26/12/2012 26 décembre déc. 12 2012Collectivités / Services publics / UsagersL’Open data vise la mise à disposition des innombrables données collectées et...
-
Quel délai pour engager la responsabilité de l'autorité administrative qui a délivré un permis de construire illégal?
Publié le : 26/12/2012 26 décembre déc. 12 2012Collectivités / Urbanisme / Permis de construire/ Documents d'urbanismeLorsqu'un immeuble a été démoli suite à une annulation de permis de construir...
-
Le cloud computing : avantages et risques juridiques pour l’entreprise
Publié le : 26/12/2012 26 décembre déc. 12 2012Entreprises / Gestion de l'entreprise / Informatique et RéseauxSuivant la définition donnée au journal officiel du 6 juin 2010, il s’agit d’...
-
Le Cabinet BISMUTH reçoit le Trophée d'Argent Firme multi-bureaux
Publié le : 26/12/2012 26 décembre déc. 12 2012Actualités EUROJURISLe Cabinet BISMUTH a en outre été récompensé du trophée "Equipe Montante" dan...
-
La prescription de l'action d'un professionnel pour les biens ou services fournis à un consommateur
Publié le : 26/12/2012 26 décembre déc. 12 2012Particuliers / Consommation / Contrats de vente / PrêtsL'article 4 de la loi du 16 juin 2008 portant réforme de la prescription en m...
-
Retrait d’un contenu par l’exploitant d’un site internet lors de la prise de connaissance de son caractère manifestement illicite
Publié le : 21/12/2012 21 décembre déc. 12 2012Entreprises / Marketing et ventes / Publicité/ marketingLe juge des référés français peut, sans se prononcer sur le statut de l’exp...