Les aspects juridiques du cloud computing

Juste avant de quitter la jolie ville de Toulouse, j’ai pu assister à une conférence très intéressante sur les problèmes juridiques que pouvaient poser le cloud computing, j’ai donc décidé d’écrire un article.

Nul doute que vous ayez au moins une fois entendu l’expression cloud computing. Si cette formule à la mode est dans de nombreuses bouches, la réalité qu’elle recouvre n’est pas nouvelle mais n’en demeure pas moins quelque chose de problématique.

Pour ceux qui ne connaissent pas, le cloud computing est ce qui permet d’accéder à des données à distance et en libre-service. Tout laisse penser que vous utilisez tous les jours ce système sans même vous en douter. Le cloud computing recouvre tout ce qui concerne les webmail, les disques distants comme Dropbox, la synchronisation d’agenda et de carnets d’adresse, Office 365, et même ce qui concerne les mises à jour lors de la distribution de gros volumes d’informations.

Il s’agit dans cet article d’explorer les difficultés juridiques existantes. La plus grande préoccupation concerne la localisation des données. En effet, des datacenter, c’est-à-dire des sites physique sur lesquels se trouvent regroupés les données sont situés partout dans le monde et donc cela pose le problème de la loi applicable aux données. En 2011, il y avait dans le monde entier 2087 centres de traitement de données. Les acteurs les plus importants sont Amazon Web Services avec 800 millions de dollars de chiffre d’affaire en 2012, Microsoft Window Azure, Rackspace, Verizon , IBM, HP et enfin Google.


Pourquoi utilise-t-on le cloud computing ?

  • Un accès simple et mobile ;

  • Des services offerts qui sont puissants et accessibles à tous, même aux petites entreprises ;

  • Un coût à la demande et par conséquent, une réduction des dépenses informatiques : l’utilisateur ne paie que ce qu’il utilise.

La sauvegarde d’énormes quantités de données en ligne devient de plus en plus importante, notamment pour les entreprises. Il convient dans un deuxième temps de voir les obstacles possibles à ce stockage de données.

Les inconvénients sont de plusieurs ordres,

Il existe un risque pour la sécurité des données : le hacking. Cela affecte notamment les entreprises qui détiennent des données sensibles ou confidentielles tels que les secrets d’affaire, secrets industriels, données bancaires ou de santé. Par exemple pour les données de santé la question des techniciens qui s’occupent du maintien du cloud peut-être évoquée.

Outre le hacking, il y a un problème de confidentialité des données, notamment pour celles placées sous le joug des Etats-Unis. Le principal texte qui pose le plus de difficultés est le Patriot Act de 2001. Cet acte donne aux autorités publiques américaines un pouvoir de surveillance. Il est à noter que ce souci ne se retrouve pas qu’aux Etats-Unis. Depuis le 11 septembre 2001, la surveillance des réseaux, notamment sur internet s’est accrue partout dans le monde.

L’utilisateur est dépendant des changements de conditions d’utilisation du service. Il se retrouve en présence de contrat d’adhésion avec une marge de négociation très faible, voire inexistante. Lorsqu’une entreprise s’engage avec le service cloud computing d’Amazon, en cas de changement dans les conditions d’utilisation, elle n’aura d’autre solution que d’accepter ou de renoncer aux services. Toutefois ce genre de situation est très répandu, notamment pour les particuliers concernant les contrats de téléphonie mobile ou de fournisseurs internet. Il est important de choisir avec attention son prestataire.

Des interrogations peuvent aussi survenir concernant la disponibilité des données.

Enfin se pose la question de la migration. Quelles sont les modalités pour partir vers un autre hébergeur ? Quelles sont les garanties concernant l’effacement des données ? Comment vérifier qu’aucune n’a été conservée en copie ?

Que prévoit l’Union européenne ? La proposition de règlement du 25 janvier 2012 devrait étendre l’application du droit européen. Actuellement, le droit européen s’applique dès que le responsable du traitement est établi dans l’Union européenne. La volonté de la Commission européenne serait d’étendre l’application du droit européen dans les cas où le responsable est établi en dehors de l’Union européenne mais qu’il recueille des données à caractère personnel d’individus situés dans l’Union européenne.

Aujourd’hui lors d’un flux transfrontalier de données, c’est-à-dire lorsque des données de nature personnelles quittent l’Union européenne, on regarde si le niveau de protection est adéquat dans le nouveau pays. Il faut toutefois noter qu’un niveau de protection adéquat ne signifie pas équivalent. Les Etats-Unis, ne sont par exemple pas considérés comme ayant ce niveau de protection. Une dérogation est prévue à l’obligation de vérifier ce niveau, lorsque le flux transfrontalier est nécessaire dans l’intérêt légitime du responsable. Se pose la question de la définition « d’intérêts légitimes ».

Lorsque l’on évoque les Etats-Unis et la protection de données, les français crient au scandale. Est-ce réellement justifié ? A mon avis, il existe une différence majeure entre la conception française et la conception américaine. L’organisation qui protège les données à caractère personnel en France est la CNIL : Commission nationale de l’information et des libertés ; tandis qu’aux Etats-Unis, c’est la FTCA : Federal Trade Commission. Tout de suite l’opposition se dessine, d’un côté on parle de liberté, tandis que de l’autre on parle de commerce. Depuis 2001, grâce au Patriot Act, les autorités peuvent obtenir l’accès aux données qui résident ou transitent par les USA. Ce texte a créé beaucoup de polémiques mais il faut rappeler que le dispositif existait bien avant notamment avec « The Foreign Intelligence Surveillance Act » de 1978. Le control des données a existé historiquement avant que n’existât le Patriot Act. Il faut aussi noter qu’il y a aux Etats-Unis un texte protégeant les secrets d’affaire : ‘Uniform Trade Secret Act’. Les informations doivent être maintenues secrètes pour bénéficier de cette protection. Il se pose la question de savoir si les données conservées dans le cloud sont considérées comme restant confidentielles.

Au niveau technique le cloud computing est un instrument d’une grande utilité, il offre une flexibilité incroyable, il évite les frais d’investissement au niveau informatique, il accroit la mobilité des employés, évite l’envoi d’email, un fichier sur le cloud peut facilement être partagé, chacun peut apporter des modifications, enfin cela permet indéniablement une plus grande efficacité. Néanmoins, cette prouesse technique devenue accessible à tous et à moindre coût, pose de réels problèmes au niveau juridique. Ceux-ci ne devraient pas être occultés car la protection des droits et libertés représentent des enjeux réels et cruciaux dans notre société.

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud

Contrats cloud les clés pour sortir du nuage