Les contrats informatiques ou l’outil de protection du cloud computing

Yael Cohen-hadriaYaël Cohen-Hadria
Avocat Associé
YCH-Avocats
Animatrice de la formation EFE « Maîtriser la conformité informatique et libertés » qui aura lieu les 9 et 10 juillet 2015Sujet d’actualité, le Cloud Computing est au cœur des discussions de nombreuses entreprises qui y ont recours ou qui y réfléchissent. On observe d’ailleurs qu’il suscite plus de cent-trente-quatre millions de résultats lors d’une recherche Google.

Reste que si les solutions de Cloud Computing sont très attractives, les entreprises ne doivent pas négliger les risques juridico-économiques qu’elles prennent en abandonnant un accès à leurs données à un prestataire de Cloud Computing. En effet, on observe que de nombreuses inquiétudes planent sur le Cloud Computing que ce soit en termes de sécurité des données ou même de performance. Par exemple, l’ « European Network and Information Security Agency » a décelé pas moins de 24 risques liés au Cloud Computing, qu’ils soient d’ordre technique, légal ou de gouvernance.
En avant-première de la journée sur les Contrats Informatiques qui a lieu le 2 juillet prochain, il vous est ici proposé de lister certains des points clés à contrôler en cas de signature de contrats informatiques, en prenant l’exemple des contrats de Cloud Computing.

Rappel terminologique
La sémantique du Cloud : Le Cloud Computing a été défini au journal officiel en 2010 (JORF n°0129 page 10453) comme le « Mode de traitement des données d’un client, dont l’exploitation s’effectue par Internet, sous la forme de services fournis par un prestataire. ».
De son côté, la CNIL (Commission Nationale Informatique et libertés) le définit le 25 juin 2012 comme « le déport vers « le nuage Internet » * de données et d’applications qui auparavant étaient situées sur les serveurs et ordinateurs des sociétés, des organisations ou des particuliers. Le modèle économique associé s’apparente à la location de ressources informatiques avec une facturation en fonction de la consommation ».
Les technologies en Cloud : Atout fort, le Cloud Computing permet donc aux entreprises de disposer d’un moyen économique pour gérer leurs systèmes d’information. Les services proposés sont souvent « à la carte ». On compte notamment le SaaS (Software as a Service – pour les prestations d’accès à des logiciels en ligne), le IaaS (Infrastructure as a Service – pour les prestations d’hébergement d’infrastructures) et le PaaS (Plateforme as a Service – pour les prestations de fourniture de plateformes de développement). Ils se déclinent en quatre principaux modèles, le Cloud privé, public, communautaire et hybride. Ces catégories se différencient par leur mode d’adhésion, les conditions d’hébergement, leur prix, le degré de protection et le degré de maîtrise qu’ils laissent à leur client sur la gestion des données.

Les risques juridiques du Cloud Computing
Risques liés au transfert des données hors Union Européenne
Les choses se compliquent ici. En effet, dépassé par une pratique internationalement répandue, le droit français, et notamment la loi Informatique et libertés, peine à s’appliquer et dans le cas où la loi française est bien déterminée comme applicable (article 5 de la loi Informatique et libertés), il convient de préciser que les données traitées à partir de la France, dans le cadre du Cloud Computing traversent, dans la plupart des cas, les frontières non seulement de la France mais également de l’Europe. Or, la réalisation de flux transfrontières non conformes à la loi vous expose à des sanctions lourdes qui sont de 300 000 euros d’amende et de 5 ans d’emprisonnement (Articles 226-16, 226-16A et 226-22-1 du Code pénal).
Afin d’encadrer ces flux transfrontières de données et ainsi de protéger les entreprises clientes de prestataires de Cloud Computing, depuis le 1er janvier 2013, les prestataires effectuant de nombreux transferts internationaux de données pour le compte de leurs clients peuvent adopter des BCR dites « sous-traitants ».

Les risques liés à la sécurité des données dans le Cloud Computing
Comme dans tout système d’information, des failles de sécurité peuvent toucher le Cloud. Dans ce cas, le client qui a confié ses données reste le responsable de traitement (articles 34 et 35 de la loi Informatique et libertés). Ce dernier doit donc notamment vérifier (1) l’étendue des garanties de sécurité et de confidentialité attendue ; (2) les catégories de données transférées et leur sécurisation (cryptage, anonymisation…). Plus les données transférées sur le Cloud sont sensibles plus les obligations pesant sur le prestataire doivent être renforcées ; (3) la politique d’habilitation des accès aux données ; (4) la mise en place de ces mesures au moyen d’une clause d’audit de sécurité.
A noter : Pour le Cloud privé, les risques sont moindres, toutefois, les accès doivent être correctement délimités et individualisés afin d’empêcher la consultation non autorisée de données par des salariés de l’entreprise cliente. Pour le Cloud public, le risque est bien plus élevé, puisqu’il repose à la fois sur la multitude de clients et sur la multitude de serveurs. A ce titre, la CNIL affirme que certaines normes de sécurité existantes (ISO 27001, SAS70 ou ISAE3402…) peuvent servir de baromètre quant à la sécurité dont peut faire preuve le prestataire.

Les risques liés à la réversibilité
La difficulté de ses grandes entreprises est qu’elles proposent des contrats d’adhésion qui ont parfois besoin d’être aménagés pour correspondre parfaitement aux besoins du client. Malheureusement, pour les PME, la négociation n’est pas toujours envisageable.
Pour préparer la réversibilité, les informations techniques et informatiques (format, normes, outils…) sont donc essentielles puisqu’elles conditionnent la continuité de l’activité de l’entreprise cliente. Afin de vérifier le résultat d’une réversibilité, cette dernière peut demander à ce que des tests de restitution soient contractuellement prévus.

Laisser un commentaire