S’assurer pour couvrir les risques du Cloud

Après avoir présenté le concept de cloud computing, évalué l’impact contractuel de cette pratique, mis l’accent sur la question des données personnelles, de la sécurité ainsi que sur la réversibilité et l’interopérabilité ce sixième atelier de l’Association pour le développement de l’information pour le développement de l’informatique juridique (ADIJ) était notamment consacré aux assurances.

Un blog alimenté par l’ADIJ pour consulter les rapports des ateliers et le programme des prochains ateliers consacrés au Cloud Computing

Parmi les points abordés lors de l’atelier du 28 avril 2011[1], voici ceux que j’ai choisis de présenter.

Quelques coups durs pour l’avenir du Cloud

Sans hacker et même sans Cloud, gérer des données personnelles en toute sécurité est déjà un défi. C’est ce que vient de démontrer l’UNESCO qui exposait depuis plusieurs années  les données personnelles de ceux qui avaient déposé leur candidature auprès de cette organisation des Nations Unies.

Les affaires, très récentes, de Sony, dont les données personnelles de 77 millions de clients avaient été dérobées par des hackers, mais surtout la panne du cloud d’Amazon, même si celle-ci ne serait due qu’à une erreur humaine, risquent de freiner l’engouement pour le Cloud, alors que l’ « informatique dématérialisée » représente un secteur économique en plein développement.

Une obligation : la notification

Notifier les problèmes rencontrés dans la gestion des données personnelles de ses clients est une obligation légale aux Etats-Unis depuis une dizaine d’années. C’est ce qui explique très certainement le nombre et la densité des communiqués détaillés publiés en ce moment par Sony ou Amazon.

La notification sera également imposée en Europe, après la transposition des directives du Paquet Télecom [2] dont la date limite est fixée au 25 mai 2011. En France, c’est par ordonnance (sans passer par le Parlement) que devrait être transposée la directive « vie privée et communications électroniques », la directive européenne du Paquet qui contient cette procédure. Lorsque le texte sera adopté, la notification s’imposera à tous les  opérateurs de télécommunications et aux fournisseurs d’accès à internet (FAI), mais à terme aussi, comme on le pressent déjà, à tous les autres secteurs d’activité. Sous peine de sanction, toute organisation sera amenée à informer les personnes concernées de toute mise en danger de leurs données personnelles. Il leur faudra également informer la CNIL et s’engager à prendre une série de dispositions.

Un marché pour les assurances

La responsabilité pour des dommages immatériels liée à la problématique des données personnelles a créé un marché pour les assurances. La notification obligatoire qui a, en quelque sorte, stimulé ce marché aux Etats-Unis aura le même impact en Europe. Si en cas de fuite ou de perte de données, les sommes exigées pour réparer le préjudice atteignent très rapidement des montants astronomiques, la procédure de notification, impliquant que l’on communique largement sur la question, contribuera immanquablement à en accentuer les effets.

Certes, la notification n’est pas uniquement liée au Cloud mais à l’ensemble des traitements informatiques, même si aucune opération n’a été externalisée. Il n’en reste pas moins que le Cloud exacerbe les craintes, ne serait-ce parce qu’il est difficile de connaître  précisément la localisation des données et leur cheminement, celles-ci étant en perpétuel mouvement autour du monde,  comme on nous l’avait indiqué lors du 1er atelier.

Des produits  d’assurance ad hoc

Le responsable du traitement des données étant jugé responsable des conséquences de la faille informatique, il lui appartient d’obtenir des garanties lui permettant d’indemniser les tiers pour la perte ou  le vol des données dont il avait la garde.

Dans cette situation, le courtier en assurances est appelé à jouer un rôle majeur. Interface entre le client et la société d’assurances, c’est lui qui, en fonction d’un contexte donné, va bâtir un package client, un ensemble de solutions viables, pour lesquelles il faudrait encore beaucoup de créativité, le domaine étant loin d’être borné. Les différents produits  donnant différentes garanties (perte de revenus, perte de données, interruption de services, ..) qui seront  proposés au client varieront selon le type d’activité du client, sa notoriété, ses choix techniques (où la certification pourrait jouer un rôle), ses outils juridiques mis en oeuvre (les garanties contractuelles, …), etc. Outre ses connaissances dans le domaine juridique, il  appartient également au courtier  d’avoir des connaissances techniques et de savoir, par exemple, comme on l’a noté, que les délais pour identifier une faille seraient passés d’un an à 3 semaines.

Mais les  assurances, spécialisées dans certains domaines,  ne  couvrent pas tous les problèmes rencontrés. Par ailleurs, contrairement aux Etats-Unis où une culture de l’assurance contre la fraude existe depuis 10 ans, le marché européen, immature, s’avère trop étroit. C’est ce que Hiscox, société représentée lors de l’atelier et pionnière en Europe, a souligné en ajoutant qu’il faudrait que d’autres sociétés d’assurance opèrent dans cette région du monde, pour mettre en place des systèmes de  coassurance et empiler les capacités.

Si lors d’une interruption de service avec perte d’exploitation, des garanties peuvent être données pour une prise en charge des conséquences financières, mais la couverture n’est pas forcément assurée si les problèmes sont dus à ses propres prestataires.

Des responsabilités à déterminer

Qui doit supporter les risques ?  Chaque utilisateur ou chaque prestataire ?

Si les prestataires sont généralement assurés, on sait aussi que peu d’assureurs maîtrisent le concept de Cloud et que s’il y a un marché pour l’assurance, en Europe comme on l’a constaté (voir § précédent), se pose un problème capacité.

Par ailleurs, en cas de problème, le client ne sait pas vers qui se tourner car la chaîne de la responsabilité  est longue et sinueuse[3], sans doute davantage dans le Cloud que dans d’autres contextes, et il a peu de chance d’avoir gain de cause lorsque  la chaîne est rompue. Le client qui se trouve souvent face des contrats d’adhésion, est démuni.

Ne serait-il pas plus simple, plus efficace aussi (mais aussi plus intéressant, le marché étant plus large que celui des prestataires), de demander à chaque utilisateur de s’assurer ?

Des coûts

Outre les frais liés aux assurances, d’autres frais importants semblent s’imposer. Il convient, en effet, de prévenir les risques, en mettant en place des systèmes de détection et d’identification des failles, mais aussi de mettre en oeuvre des procédures de traitements rapides des « crises ».  C’est à ce prix, notamment, que les assurances accepteront de prendre en charge leurs clients.

Un nouveau marché semble bien se profiler, ouvert à ceux qui proposeront des solutions pour communiquer lors de crises (afin de limiter leur  impact), des  plates-formes de surveillance (de coordonnées bancaires, par exemple) et aux  spécialistes en informatique (chargés d’identifier les failles et de colmater les brèches).

… qui annihilent les avantages du Cloud

Si recourir au Cloud devait présenter des avantages économiques, ce qui avait été largement souligné lors des divers ateliers précédents, ces avantages pourraient ainsi fort bien être neutralisés par les coûts des procédures à mettre en place  pour prévenir les risques et celui des assurances à souscrire.

**********

Parmi les autres thèmes abordés lors de cet atelier

1. Le rapport de la CNIL sur le Cloud Computing avant sa parution à la fin du mois de mai 2011. Nous savons que la synthèse de l’atelier de l’ADIJ du 2 décembre 2010 consacrée  aux données personnelles[4] donne quelques éléments sur les solutions envisagées par la CNIL pour régler la question des responsabilités.  Dans son rapport, la CNIL présentera le Cloud de manière détaillée. Elle mettra l’accent sur les enjeux juridiques de la sécurité et certaines solutions techniques (métadata et stickydata), lui permettant de donner une série de conseils pratiques.

Si la CNIL progresse sur ces sujets, au niveau européen, elle rencontre une résistance au sein du G29, regroupement des « CNIL » des pays européens lorsqu’il s’agit d’assouplir la loi pour l’adapter aux réalités du Cloud. Or, certaines entreprises n’accepteront de se lancer dans le Cloud que lorsqu’elles pourront se conformer à un cadre règlementaire. C’est le cas de certains pays aussi, comme l’Allemagne, particulièrement soucieuse de la sécurité[5].

2. Le point sur le marché du Cloud pour actualiser le rapport de l’Association française des éditeurs de logociels (AFDEL) présenté lors du 1er atelier de l’ADIJ..

3. Une présentation de la société VMWare, créée aux Etats-Unis il y a 10 ans par des chercheurs et du très large panel de solutions proposées en matière de cloud. Cette société, en fort développement, entend « sortir du discours (stérile) de la segmentation » et s’orienter vers l’IT as a service (sans se préoccuper des couches  Iaas, Saas, Paas) » et faire ainsi de la technologie un service.

Illustr. Storm. Artmiss. CC by-nc-nd. Flickr


[1] A compléter par le compte rendu qui sera mis en ligne sur le blog de l’ADIJ.

[2] Date limite qui, comme souvent, pourrait bien ne pas être respectée.

[3] Le cas exposé dans le texte que j’ai utilisé est étranger au Cloud mais le qualificatif de sinueux utilisé dans cet article illustre  opportunément  la question de la rupture de la chaîne contractuelle.

[4] Voir aussi Le Cloud computing : un défi pour les données personnelles ?, Paralipomènes, 6 décembre 2011

[5] En Allemagne, les CIL sont obligatoires et les données des  personnes morales concernées par la  protégeant les données personnelles

[1] A compléter par le compte rendu qui sera mis en ligne sur le blog de l’ADIJ.

–>

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *