4.2. Le besoin d'une jurisprudence claire sur le Cloud Computing
Sans une jurisprudence claire, les utilisateurs
n'auront pas confiance dans cette technologie numérique. Les lois évoluent en fonction des
technologies adoptées par la société comme en démontre le graphique ci-dessous
représentant l’évolution du cadre juridique de l’Union Européenne. On remarque
que les lois apparaissent toujours peu après les évolutions techniques. Le
cadre juridique se plie donc aux évolutions techniques. Il faut s’attendre
prochaine à des lois propres au Cloud Computing.
Figure 14 Evolution
cadre juridique dans l’UE source : Cloud Computing & Law, Patrick Van Eeke 2010
Le manque de sécurité notamment sur la
confidentialité des données est le premier frein énoncé par les potentiels DSI
et les particuliers d’après une enquête du cabinet Portio Research réalisée fin
2009. Même si nous avons démontré que le Cloud Computing était fiable, celui-ci
a besoin d'un encadrement global pour répondre à la tendance vers un marché
unique communautaire.
Un marché qui demande à être surveillée pour
cesser de tomber dans les dérives graves qui peuvent être la revente
d’informations personnelles après avoir été piratées (Kirllos, un hackeur russe
propose à la revente des millions de données de comptes provenant du site
Facebook). De tels déboires pourraient engendrer une perte de confiance des
particuliers pouvant à terme se retirer de la toile ou se cantonner à leurs
habitudes qui sont d'interagir sur des blogs de façon anonyme ou de formuler
des recherches.
Du côté des entreprises, il faut aussi avoir
confiance pour adopter un tel système. Là aussi, le cadre juridique est
primordial. Plus de 99 % des entreprises en France sont des TPE/PME, elles ont
besoin d'être protégées en cas de problème avec les fournisseurs de Cloud car
elles ne pourront pas maîtriser les risques (pertes de données par exemple).
Plusieurs problématiques se posent donc au
niveau législatif. Nous devons d’abord savoir quels services doivent être
garantis par les acteurs de service type Cloud Computing. Puis déterminer quel
est le cadre juridique actuel du Cloud Computing. Dans un contexte d’échanges
de données sur le réseau mondial, il est important de savoir quelles sont les
risques entrepris, les garanties à prendre.
Enfin, on pourra se demander si une législation
à portée mondiale est envisageable.
4.2.1. Quelles problématiques pour les acteurs du Cloud en Europe
Les problématiques du Cloud Computing sont nombreuses. Cependant, les problématiques ne sont pas les mêmes pour tous les acteurs. Les différences sont attestées par le tableau ci-dessous.
|
Acteurs |
Problématiques |
|
Fournisseurs de services Cloud |
Attractivité de l’offre Adaptabilité et scalabilité Responsabilité (Cloud Service Providers / Editeurs) Sécurité / Confidentialité / Intégrité des systèmes et des données |
|
Editeurs de logiciel |
Gestion de la propriété intellectuelle (licence et accès par tiers) Contrôle/auditabilité de l’utilisation des logiciels et modèles de redevances Responsabilité de l’intégrité des chaines de traitements de l’information Interopérabilité |
|
Utilisateur du Cloud |
Disponibilité Niveau de service Réversibilité Risque opérationnel Contrôle du TCO (Coût total de possession) Contrôle de conformité réglementaire Protection des données personnelles |
|
Consommateur |
Protection des données personnelles Réversibilité Aisance des recours juridiques Politique des prix |
Source AFDEL, mai 2010
C’est à travers ces problématiques que doit
s’articuler le cadre juridique du Cloud Computing.
Aujourd’hui des lois couvrent déjà certaines
problématiques telles que la gestion de la propriété intellectuelle et la
protection des données personnelles. Par contre, il y a encore du flou au
niveau de la politique des prix, de la réversibilité, disponibilité,
interopérabilité entre Cloud ainsi que le risque opérationnel… Ces points sont
spécifiés au cas par cas lors de l’établissement d’un contrat de service type
SLA dans ses clauses. Il convient donc au client et au fournisseur de
s’accorder pour parvenir à un échange
équitable.
4.2.2. La sécurité des données : des enjeux complexes pour un Cloud immature
La mise en place de services de
Cloud Computing comporte des risques au regard de la sécurité et de
sécurisation des données. En effet, l’accès aux données et aux applications est
réalisé entre le client et la multiplicité des serveurs distants. Ce risque se
trouve donc amplifié par la mutualisation des serveurs et par la délocalisation
de ceux-ci. La loi Godfrain n'impose pas de
protéger un système, son exploitant doit néanmoins prendre certaines
précautions du fait d'autres réglementations, et notamment du fait de la loi
"Informatique et libertés" du 6 janvier 1978.
En effet, l'article 226-17 du Code pénal réprime le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment d'empêcher qu'elles ne soient communiquées à des tiers non autorisés.
L'accès aux services induit des connexions sécurisées et une authentification des utilisateurs. En effet, la migration vers un service où les données sont hébergées dans le nuage entraîne tous les utilisateurs à devenir des nomades. Il faut veiller donc à la gestion des identifiants et du niveau de responsabilité (accès non autorisé avec fuite des données, perte ou vol d'identifiants, niveau d'habilitation, démission ou licenciement, etc.). D'après le Cloud Security Alliance (CSA)[14] les entreprises utilisatrices doivent être informées que le contrôle d'accès au niveau des applications n'est pas encore mature aujourd'hui. Un autre problème se pose lorsqu’un salarié quitte sa société, il pourra continuer à manipuler les informations de l’entreprise mises en ligne car d’après de nombreux cabinets d’audit, les services de Cloud Computing n’intègrent pas des processus de révocation des habilitations. Le seul moyen pour le fournisseur est alors de garantir la traçabilité des opérations par la consultation d’un historique sur l’accès aux données.
Il existe également un risque de
perte de données à prendre en considération. Il faut évaluer et anticiper dans
le cadre de procédures de sauvegarde adaptées (stockage dans des espaces
privés, en local, en environnement public, etc.). Le fournisseur a pour obligation de mettre
tous les moyens technologiques possibles pour conserver l’intégrité des données
confiées (selon la directive européenne sur la protection des données 95/46[15]).
Cependant, là aussi il y a des interrogations : cette directive n’a pas
pris en compte les développements technologiques ni les nouvelles réalités
mondiales. Le seul moyen qui permettrait d’avoir plus de précisions sur les
moyens technologiques à mettre en œuvre pour sécuriser un environnement Cloud
est
Du côté des fournisseurs, la mise en place de services de Cloud Computing fait naître un certain nombre de risques au regard des données personnelles et des formalités imposées par la CNIL[16]. Ces risques sont aggravés en cas de transfert de données hors de l’Union Européenne (UE), thème qui sera abordé plus loin dans l’étude.
Le fournisseur doit garantir la confidentialité des données à caractère personnelle. Il a l’interdiction de regrouper ou stocker sur des serveurs identiques des fichiers comportant des données de même nature comme par exemple des informations bancaires et financières. Il doit également se maintenir aux finalités prévues avec son client. Un service consistant à fournir le stockage des dossiers médicaux ne pourrait pas utiliser ces informations à d'autres fins.
La législation française offre un arsenal répressif très adapté et éprouvé : sanctions pénales en cas d’accès et de maintien frauduleux dans un système de traitement automatisé de données (STAD), d’entrave ou de faussement du fonctionnement d’un STAD et, d’introduction frauduleuse de données dans un STAD. Le fournisseur peut être impliqué dans le cas où il aurait pu être / est au courant de cet aspect frauduleux.
La réalisation des services de
Cloud Computing étant assurée par un prestataire externe, celle-ci comporte des
risques au regard de la qualité de service obtenue, de la propriété et de
l'intégrité des données et/ou applications confiées, risques qu’il conviendra
donc de prévoir contractuellement.
4.2.3. La rédaction d’un contrat type Cloud Computing pour protéger le consommateur
Pour pallier les risques précédemment évoqués, il conviendra d’un point de vue général de mettre en place, comme dans le cadre de tout projet d’externalisation, une convention de niveau de service, également appelée « SLA » (pour « Service Level Agreement »), permettant au client d’obtenir du prestataire une qualité de service convenue contractuellement. Par ailleurs, la convention pourra également comporter des indications quant aux attentes du client relatives à la réalisation des obligations du prestataire et notamment instaurer un système de malus ou de pénalités.
Dans ces clauses, pour assurer la pérennité des services de Cloud Computing, il est primordial de prévoir un plan de réversibilité assurant le transfert des services vers d’autres prestataires (conditions de déclenchement, coût, récupération des données).
La perte de données doit être prise en compte et il est préconisé de prévoir la réplication de celles-ci sur plusieurs sites distants ou l’obligation de résultat de restauration des données dans des délais contractuels définis. L’accord de Cloud Computing devra aussi stipuler une garantie de paiement d’une indemnité aux personnes physiques concernées par les données personnelles, en cas de traitement illicite ou de perte de ces dernières. Par ailleurs, le contrat doit expliciter l'ensemble des traitements autorisés par l'hébergeur (moyens et finalités). En effet, le fournisseur de services de Cloud Computing est souvent vu comme un sous-traitant, c’est donc le client qui est responsable des traitements.
Le passage en Cloud doit préserver la capacité de l’utilisateur à auditer, consulter et restituer toutes les opérations réalisées (ou du moins les données initiales et celles résultant du traitement) dans des conditions indépendantes du prestataire de Cloud Computing ou de ses infrastructures, applications, outils, procédures (neutralisation des contraintes exogènes).
Le client peut exiger que les données restent localisées sur des serveurs exclusivement situés dans l’UE.
Enfin, le fournisseur de services de Cloud Computing a pour obligation de communiquer à l’utilisateur ses conditions concernant les principales métriques du service de Cloud Computing (parallèle avec les services normés, type TEG), en contrepartie d’un principe d’obligation de moyens sur les services rendus.
Aujourd’hui, le client est seul face au fournisseur de Cloud, c’est à lui de prévoir tous les risques liés à ce paradigme. Les lois existantes qui ont été créées dans le cadre global de l’Internet protègent efficacement en théorie le consommateur mais sont difficiles à mettre en œuvre dans le cadre du Cloud Computing. Comme il y a eu le 27 mai 1999 un amendement sur les fournisseurs d’accès à Internet, il faut s’attendre à la même chose pour les fournisseurs de services de Cloud Computing.