Risques et enjeux juridiques du Cloud

By 28 juillet 2014Article IT

Les risques et les enjeux juridiques du Cloud

 

 Agilité, flexibilité, réduction des coûts, mobilité, productivité… Les avantages du Cloud sont nombreux et offrent de formidables opportunités pour les entreprises. Mais avant de contractualiser une prestation Cloud, il faut se poser les bonnes questions.
En effet, cette transition vers le Cloud peut comporter des risques juridiques en matière de confidentialité et de sécurité des données qu’il est bon de connaître. De même que le prestataire a des obligations réglementaire envers son client.

Ce n’est pas une nouveauté, les problématiques du Cloud ne sont pas différentes des autres contrats informatiques, mais ils sont plus nombreux du fait de la « synergie de technologie » (externalisation du SI, connexion au réseau Internet, etc.).
Il faut donc cadrer les risques en indiquant contractuellement les responsabilités entre le prestataire et le client.

Mais la difficulté réside dans le fait qu’il n’y a pas de cadre légal ou réglementaire propre au Cloud. Il faut se référer à une multitude de dispositions disséminées dans les lois, codes ou textes européens. De plus, il n’existe pas de contrat type du Cloud car il y a une trop grande variété d’appellation Cloud (IaaS, SaaS, PaaS, Cloud privé, public ou hybride).
Enfin, la dernière problématique à prendre en compte est que les leaders du marché du Cloud Computing sont des sociétés américaines. Le cadre légal est différent du marché européen, et bien souvent, pas adapté au système juridique européen (confidentialité des données, conditions particulières, etc.).

C’est pourquoi, il est recommandé pour les entreprises qui souhaitent souscrire à une solution Cloud de privilégier des contrats simples qui ne sont pas soumis à des systèmes juridiques étrangers (hors UE) et d’impliquer un juriste en amont du projet.

Sécurité des données des entreprises clientes dans le Cloud
Bien qu’il n’y ait pas de cadre légal spécifique, il existe des normes sur la sécurité des SI (ISO 27001 et ISO 27000) qui permettent d’évaluer le niveau d’engagement du prestataire. Ce dernier doit s’engager contractuellement sur la sécurité de son infrastructure d’hébergement :

  • Confidentialité et intégrité des données : le prestataire s’engage sur des obligations de moyens en mettant des mesures de sécurité adéquates pour protéger ses datacenters.
  • La disponibilité des données : le prestataire Cloud s’engage sur une obligation de résultat en garantissant des niveaux de services par des SLA appropriées avec des pénalités en cas de non-respect.

Attention, l’entreprise cliente a aussi une responsabilité en matière de sécurité de ses données.
En effet, le client est responsable dans le cas où il migre des données illicites ou défectueuses chez le prestataire. C’est pourquoi, la sécurité des données doit être traitée dans le contrat dans un « esprit de collaboration » entre les deux parties.

Protection des données des entreprises clientes dans le Cloud
La protection des données fait l’objet d’une réglementation contraignante en France. Ces règles strictes s’appliquent uniquement si le ou les datacenters du prestataire Cloud sont localisés dans l’Union Européenne.
Par ailleurs, le responsable des données est toujours l’entreprise cliente (excepté dans le cas des contrats d’adhésion) car le prestataire n’est qu’un sous-traitant au regard de la loi, responsable en tant que « gardien » des données (loi Informatique et Libertés).
Dans le cas d’un prestataire USA, les transferts de données personnelles d’un pays européen vers les USA sont interdits sauf si :

  • Le transfert a été encadré par des clauses spécifiques édictées et autorisées par la CNIL
  • Le prestataire USA a adhéré au Safe Harbor Principles

Ainsi, si l’entreprise cliente opte pour un prestataire USA, il doit veiller à renforcer les obligations de protection de données par les clauses types de la Commission Européenne.

Réversibilité et interopérabilité des données
Il n’existe pas de normes dans ce domaine. Le juriste doit simplement veiller à encadrer les modalités de réversibilité (délais, coûts, effacement des données, etc.).


Clauses sur les assurances

Le prestataire doit indiquer dans le contrat qu’il est assuré pour les risques spécifiques au Cloud. Quant au client, il est souhaitable qu’il souscrive à une assurance compte tenu des risques financiers qu’il encourt pour le vol ou la perte de ses données.