Démystifier les aspects juridiques du Cloud computing

Tel était l’objectif de plusieurs réunions d’un  atelier de l’Association pour le développement le développement de l’informatique juridique (ADIJ) qui entendait fournir des « solutions aux risques juridiques et un catalogue des meilleures pratiques contractuelles », en s’appuyant sur les témoignages d’acteurs très divers.

Tout au long d’une année, cet atelier aura posé l’éventail des questions juridiques, sans négliger les aspects business et techniques, intimement liés à ces problématiques.  Après avoir ainsi cerné le concept de cloud computing, évalué l’impact contractuel de cette pratique, mis l’accent sur les données personnelles, la sécurité, la réversibilité et l’interopérabilité ainsi que sur les assurances, ce 3 novembre 2011, plusieurs témoignages ont permis de présenter l’évolution, depuis la première réunion, en septembre 2010, du business, des questions liées aux données personnelles et à la sécurité, ou encore celui de l’encadrement contractuel.

La question des données personnelles, une question prégnante

La CNIL était intervenue à deux reprises dans l’année pour faire part de l’état de ses réflexions à un moment où la Commission européenne révise une directive sur la protection des données personnelles, désormais totalement dépassée.

Mais, pour rassurer leurs clients, les prestataires tendent à leur proposer d’héberger leur données en Europe, voire même en France lorsqu’il s’agit de Cloud privé.  Plus qu’une obligation règlementaire, il s’agit plutôt de rassurer les clients, d’anticiper même leur demande.

Toutefois le Cloud n’est que le révélateur des questions de privacy[1] puisque celles-ci se posaient déjà dans l’outsourcing classique. Faire de la pédagogie face au client, engager le dialogue, expliquer, voilà ce qui s’impose. Mais la privacy, a-t-on rappelé aussi, est une source de business. Compliance[2], gestion des risques, sécurité informatique : il y a souvent malheureusement aussi confusion entre plusieurs notions.

Il convient également de trier les données puisque les données les moins sensibles peuvent parfaitement être hébergées dehors (notion de Cloud hybride), à évaluer les risques aussi, le prestataire le plus proche géographiquement n’étant pas forcément le plus sûr.

Le Cloud, encore un buzzword

Après une phase de réflexion, plusieurs sociétés, qui ne s’étaient pas encore lancées en septembre 2010, font aujourd’hui des offres Cloud. Mais s’il y  a un an, le Cloud public avait le vent en poupe, aujourd’hui le Cloud privé, qui répond davantage aux attentes des  entreprises, gagne du terrain.

En raison, sans doute, de la médiatisation de certaines failles (Amazon, Sony, …), plusieurs entreprises, clientes potentielles, préfèrent attendre avant de se lancer. Mais il s’agirait d’une temporisation et non d’un retour en arrière. On s’interroge sur la nature du problème : « problèmes de jeunesse » ou plus profonds ?

Le Cloud est, note-t-on aussi, un mot ambivalent. Il fait peur, mais il serait hasardeux d’utiliser un autre nom car ce mot fait vendre (il y aurait même du faux Cloud). Mais si le  Cloud est le buzz word du moment, ce ne sera plus le cas d’ici quelques mois. Aujourd’hui déjà, c’est  le mot social qui prend le pas, les réseaux sociaux  figurant dans la stratégie de toutes les entreprises (« on met du collaboratif partout »). Et si le social est fondé sur le Cloud, ce dernier perdra sa magie.

Des déséquilibres sur la chaîne contractuelle

Des contrats ad hoc s’imposent pour encadrer les solutions pour des accès communautaire, le partage de données, le travail en workflow, …. Pour les juristes, cela se traduit par un travail important en amont pour construire les contrats-types, aider les opérationnels à répondre aux questions posées par les clients, les aider aussi à se poser les bonnes questions. Il s’agit ici de négociations pour les contrats de Cloud privé, car en matière de Cloud public, la signature se fait naturellement en ligne, sans négociation.

Mais on note aussi des situations encore floues sur la chaîne contractuelle, entre le client final et le prestataire d’hébergement. Trop souvent encore, les juristes des clients finaux (de grosses sociétés généralement) imposent des responsabilités trop importantes et demandent des garanties trop lourdes, pour couvrir ces risques nouveaux, à de jeunes  start-up, créant ainsi un déséquilibre dans les contrats, au risque, en outre, de voir ainsi des clauses, voire le contrat, annulées.

Le couple contrat / assurance

L’entreprise cliente finale qui dispose de peu d’outils pour se protéger tend effectivement à faire reposer la responsabilité sur le prestataire. Les prestataires devraient informer leurs clients qu’ils peuvent, eux aussi, s’assurer, ce qui permet de construire une chaîne de l’assurabiblité personnelle, et donc un système plus équilibré, et décrisper ainsi  la situation.

Les courtiers en assurance, spécialisés dans le domaine des technologies de l’information, peuvent  absorber ces nouveaux risques médiatisés par les affaires  récentes, médiatisation, qui avec l’obligation de notifier les failles de sécurité, imposée également aux entreprises françaises depuis une ordonnance du 24 août 2011, va prendre inévitablement de l’ampleur.

On note ainsi deux tendances majeures chez les clients prestataires (à dissocier des clients finaux) : le  souci d’être correctement assuré, et des offres des assureurs en IT qui, inspirées des pratiques des assureurs anglo-saxons ayant une longue expérience sur ces questions, ont mûri en un an.

Qu’ajouter, si ce n’est

  • que la sécurité et la protection des données personnelles sont des questions centrales pour le client mais qu’entre frilosité et risques réels, le problème est souvent mal posé.
  • que le Cloud, sujet où technique et juridique sont intriqués, monte en puissance, et que maîtriser les aspects juridiques du Cloud, est une compétence recherchée aujourd’hui,
  • que l’insistance d’un client sur les aspects liés à la sécurité cache souvent un problème opérationnel, fondé davantage sur la difficulté d’exprimer un besoin qu’à des aspects juridiques et contractuels,
  • qu’il importe de bien comprendre les enjeux, en sachant définir les formes de cloud adaptés à des types de données et ne pas oublier que la maîtrise des données est un atout concurrentiel,
  • que l’externalisation ne permet pas de se passer de contrôler et que la gouvernance est nécessaire dès que l’on perd la visibilité sur la qualité des données.

L’atelier Cloud computing est terminé. Pour donner suite : un atelier sur le  thème du Green IT (encore une expression anglo-saxonne) dont la première réunion aura lieu le 10 janvier 2012, et un mardi de l’ADIJ sur les données personnelles et le Cloud computing, le 14 février 2012.

Illustr. Water from Clouds. Kevin Krejci. Flickr CC by

Notes


[1] La Privacy qui protège aux Etats-Unis plusieurs libertés individuelles et publiques est une notion plus large que le concept  de protection des données personnelles. Il conviendrait de ne pas utiliser indifféremment l’un ou l’autre de ces concepts.

[2] D’où ces offres de poste de Compliance officer, sans doute ou, plus classique, de risk manager.

3 comments

  1. […] => Démystifier les aspects juridiques du Cloud computing. 04/11/2011. «Tel était l’objectif de plusieurs réunions d’un atelier de l’Association pour le développement le développement de l’informatique juridique (ADIJ) qui entendait fournir des « solutions aux risques juridiques et un catalogue des meilleures pratiques contractuelles », en s’appuyant sur les témoignages d’acteurs très divers (…).» Source : paralipomenes.net/wordpress/archives/6116 […]

  2. […] Démystifier les aspects juridiques du Cloud computing  Après avoir ainsi cerné le concept de cloud computing, évalué l’impact contractuel de cette pratique, mis l’accent sur les données personnelles, la sécurité, la réversibilité et l’interopérabilité ainsi que sur les assurances, ce 3 novembre 2011, plusieurs témoignages ont permis de présenter l’évolution, depuis la première réunion, en septembre 2010, du business, des questions liées aux données personnelles et à la sécurité, ou encore celui de l’encadrement contractuel… Source: paralipomenes.net […]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *