Samedi 05 Octobre 2013
Les risques juridiques du Cloud Computing

Les risques juridiques du Cloud Computing - Là haut dans les Nuages

Cabinet Caprioli & Associés

Publication : TiPi, Printemps 2011.

Le Cloud computing, l’Informatique en Nuages… Quelle poésie dans le nom donné pour cette forme « nouvelle » d’externalisation informatique ! Il s’agit de l’utilisation de serveurs informatiques répartis dans le monde entier et liés à un réseau (comme l’internet)[1]. Les utilisateurs ne sont plus propriétaires que des données qui y sont hébergées et non des applications ou de l’architecture qui permet leur utilisation ou leur hébergement.

Les nuages renvoient immanquablement à un sentiment de liberté, d’évasion, c’est sans doute pourquoi Google a recouru à cette image en août 2006 lorsqu’il a présenté ce nouveau modèle d’architecture technique[2]... Oui, mais un nuage est sans forme et surtout, il peut être synonyme d’orages, voire de pluies toxiques. Ainsi, une application phare du Cloud computing, Gmail, le service de courrier électronique de Google, a été en panne par deux fois ces dernières années. La première panne remonte au mois de février 2009, suivie d'une autre en mai où plusieurs services phares (Google Search, Google News, Google Docs, Google Talk, Picasaweb) de Google ont été fortement perturbés.

Les nuages noirs s’amoncellent progressivement sur ce que l’on peut considérer comme une approche marketing d’externalisation informatique. Il est vrai que l’avantage majeur du Cloud computing consiste pour les utilisateurs à pouvoir accéder de manière évolutive à de nombreux services en ligne (service de stockage de données, de traitement de texte, voire des applications de sécurité…) sans avoir à gérer l’infrastructure informatique, ce qui induit bien évidemment des économies budgétaires conséquentes. Cette solution semble donc idéale en cette période de rigueur pour les entreprises.

D’autant que l’engouement au profit du Nuage provient en général des services opérationnels, souscrivant parfois directement les services du Nuage en contournant à cette occasion DSI, RSSI, Direction des achats, Direction juridique ou encore Direction de la conformité.

Oui, mais voilà : la solution idéale n’existe pas et le Cloud computing qui ne serait pas parfaitement encadré juridiquement fait peser de nombreux risques juridiques, ayant trait notamment à la disponibilité (I), à la conformité légale (II), à la confidentialité (III) ou encore à la sécurité des données confiées au Nuage (IV). Au caractère évanescent, poétique du Nuage, le juriste rappelle les bénéfices immédiats d’une approche juridique ciselée pour faire appel à ce Nuage en toute sérénité/sécurité comme dirait Baudelaire « pour que le ciel ne soit pas bas et lourd ».

I. La disponibilité des données

Le client doit avant tout déterminer le périmètre des données qu’il souhaite confier à un prestataire, afin que celui-ci puisse avoir la possibilité de préserver les données les plus sensibles en interne, de sorte qu’elles soient toujours disponibles.

Le client doit également pouvoir y accéder rapidement en cas de demande formulée par un administrateur technique ou un salarié habilités à cette fin. A ce titre, la gestion des droits d’accès constitue un élément important qu’aucun client ne doit (ni ne peut) négliger.

Dans cette hypothèse, le prestataire doit s’engager sur la qualité et les performances de son « Nuage », le plus souvent par le biais d’une convention de niveaux de services (Service Level Agreement ou SLA). Elle permet de veiller au respect, par le prestataire et ses éventuels sous-traitants, des niveaux de services associés aux architectures techniques ainsi qu’aux solutions applicatives. Il s’agira de déterminer les indicateurs (souvent évolutifs) eu égard aux résultats escomptés par le client. Une clause de pénalité – point souvent difficile lors des négociations – viendra sanctionner tout manquement à ces indicateurs[3]. Le SLA peut également inclure d’autres référentiels de qualité et de sécurité liés à l’externalisation du ou des systèmes d’information (mise en place de tests et jeux d’essais, clause de recette, audits internes ou externes, politique de sécurité).

Cette disponibilité n’est pas seulement exigible lorsque les relations avec le prestataire du Nuage sont au beau fixe, mais également :

- si le prestataire met la clé sous la porte de façon brusque (tous les prestataires n’ont pas l’assise financière de Google) ;

- si le prestataire décide d’arrêter cette activité à très court terme (d’où l’importance des clauses ad hoc dans le contrat assurant une certaine pérennité) ;

- s’il est racheté par un concurrent et que le client ne souhaite pas continuer avec ce dernier (tous les clients ne veulent pas forcément traiter avec Google) ;

- si la prestation proposée ne correspond pas au niveau de qualité attendue ;

- ou encore si des fautes ont été commises par le prestataire.

Bref, les conditions pour mettre un terme à la relation contractuelle avec le prestataire sont nombreuses et le client ne doit pas se trouver pieds et poings liés avec ce dernier, au risque de voir ses services bloqués parfois pendant de longs mois. La clause de réversibilité constitue à cet effet une solution pertinente.

Cette clause devra préciser l’ensemble des modalités pratiques de fonctionnement du système d’information pendant la durée de la phase de réversibilité. Il s’agira de définir les garanties apportées par le prestataire pour assurer la continuité du service sans remise en cause des niveaux de services attendus. Il est évident que les données hébergées sur le système d’information devront faire l’objet d’un soin particulier. Tous ces éléments figureront dans le plan de réversibilité que les parties auront pris soin de négocier au moment de la signature du contrat d’externalisation. Au vu du caractère planétaire, disparate et « opaque » de certains Nuages, il est à noter ici que les parties ne pourront faire l’économie d’identifier tous les serveurs utilisés pour héberger les données du client, la traçabilité de chaque donnée du client restant un élément essentiel de sécurité tant technique que juridique (sur quel serveur est la donnée ? Qui peut y accéder ? Selon quels droits ?), comme rappelé ci-après.

II. La conformité légale

Rappelons qu’en cas de non respect des règles impératives encadrant les données stockées dans le Nuage, le client pourra être reconnu responsable non seulement vis-à-vis de son droit local mais, le cas échant, vis-à-vis de la législation du lieu où se situe le serveur informatique. De plus, certains secteurs ou certains type de données nécessitent des mesures particulières (par exemple, le secteur bancaire est soumis à une réglementation très exigeante en matière de contrôle interne, le Règlement CRBF 97-02, les factures électroniques sont soumises à des règles strictes de conservation, etc.) en cas d’externalisation de données, qui imposent notamment une exigence de visibilité parfaite du lieu de stockage réel des données.

Le cas le plus symptomatique de cette réalité est celui de l’hébergement de données du client dans le Nuage, à sa demande et alors que ce sont des données à caractère personnel, qui peuvent être, par exemple, relatives à

ses salariés, à ses clients ou prospects, ainsi qu’à ses fournisseurs. Or, le responsable du traitement – à savoir le client – doit, conformément à l’article 34 de la loi Informatique et Libertés, « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. ». Lorsqu’il délègue la gestion des traitements au prestataire, le client doit s’assurer que celui-ci dispose des « garanties suffisantes » en matière des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer. Une « garantie suffisante » pourrait être de s’assurer de la situation financière de son prestataire. Surtout, la délégation de la gestion ne signifie en rien la délégation de la responsabilité : le client reste responsable, y compris pénalement du respect des obligations légales par le prestataire, conformément à l’article 35 de la loi Informatique et Libertés.

Cet article prévoit également que le contrat d’externalisation entre le client et son prestataire devra être passé par écrit et comporter les obligations du prestataire en terme de protection de la sécurité et de la confidentialité des données à caractère personnel et des mesures techniques y afférentes.

Le client devra donc faire attention au choix de son prestataire. En effet, ce dernier aura intérêt à être installé dans un pays qui dispose de règles de droit en matière de protection des données à caractère personnel au moins aussi protectrices que celles en vigueur dans l’Union européenne. Si la protection des données n’est pas suffisamment assurée par le pays du prestataire, le transfert n’est pas possible, sauf à ce que le prestataire fournisse des garanties suffisantes en matière de sécurité.

En outre, les données à caractère personnel qui seraient traitées hors de l’Union européenne ou d’un pays à régime de protection « adéquat » imposent nécessairement le respect de formalités CNIL particulières (clauses spécifiques, autorisation de la CNIL, etc.)

III. La confidentialité

Par définition, de multiples données issues de clients différents peuvent partager le même Nuage. Il faut donc s’assurer de leur confidentialité et de l’étanchéité des données, notamment en application des réglementations mentionnées ci-dessus.

Le prestataire doit donc prendre les mesures adéquates pour assurer le chiffrement des données d’un client, leur isolement technique mais aussi le choix des personnels (superviseurs, administrateurs…) qui pourraient accéder aux données. Les conditions d’embauche peuvent constituer un facteur important de sécurité : l’élément humain ne doit pas être négligé car il constitue fréquemment une faille dans les organisations les mieux huilées.

Une clause de confidentialité doit être détaillée dans son champ d’application matériel (personnes qui doivent respecter cette obligation, contenu de l’obligation), temporel et devrait être complétée d’une clause pénale (ou clause de dommages-intérêts en faveur du client), sanctionnant en sus tout manquement constaté par le prestataire ou son personnel.

IV. La sécurité des données

Toutes les mesures décrites ci-dessus concourent à la sécurité des données externalisées par le client. Toutefois, il appartient aux entreprises de reprendre la main sur la problématique du Nuage et d’exiger des prestataires, avant de leur confier les données de l’entreprise, le respect de certaines normes techniques telles que les normes ISO/CEI 27001 et ISO 27005, fixant les méthodes et pratiques en matière de système de management de la sécurité de l’information (SMSI).

En outre, certaines briques de Cloud Computing peuvent reposer sur des modules de logiciels libres (ex : Open Cloud Consortium créé au printemps 2008). Il appartient donc aux entreprises d’identifier les effets juridiques des licences de tels modules (Quelle licence est utilisée ? Est-elle contaminante pour le SI interne de l’entreprise ?...) et de déterminer les conséquences de cette utilisation pour la sécurité juridique de l’entreprise. Le prestataire doit également être autorisé à effectuer des audits et des tests d’intrusion sur les serveurs du prestataire pour s’assurer du niveau de sécurité global de ce dernier.

Un client doit avoir confiance dans le prestataire à qui il va confier ses données. Au plan juridique, le Nuage se doit d’être transparent.

Un Nuage qui pourrait faire le beau temps ;

Que c’est charmant !

[1] Selon le CIGREF, « Le cloud computing permet de consommer et d’acheter des services IT Dans le monde à travers un réseau. Il s’articule autour de quatre critères clés :

· La mutualisation des ressources ;

· Le paiement à l’usage ;

· La modularité ;

· La standardisation des fonctions proposées ».

(CIGREF, Impact du Cloud computing sur la fonction SI et son écosystème, octobre 2010, disponible sur le site www.cigref.fr). Cette définition est à rapprocher de celle fournie par l’ENISA (p. 14) in Benefits, risks and recommendations for information security, novembre 2009, www. enisa.europa.eu.

[2] D. Guinier, L'informatique dématérialisée en nuages - Ontologie et sécurité du Cloud Computing ; Expertises 2010 ; n° 351 ; p 335 et s.

[3] Voir La QoS, un concept central pour la gestion de la sécurité des SI, Pascal Agosti, décembre 2008, http://www.globalsecuritymag.fr/Pascal-Agosti-Cabinet-Caprioli,20081223,6729.html


  • Ajouté : 05-10-2013
  • Modifié : 25-11-2013
  • Visiteurs : 9 263