Quelques clés pour sécuriser votre recours au Cloud Computing

Les projets de Cloud impliquent de prendre en compte un certain nombre d’éléments afin d’optimiser l’utilisation de ces services d’un point de vue opérationnel, et de vous assurer que vous y recourez dans le respect des lois et autres dispositions obligatoires.

La protection des données personnelles, un principe d'autorisation préalable...

Les données à caractère personnel sont en France protégées par la loi relative à l'informatique et aux libertés du 6 janvier 1978 (ci-après la loi "Informatique et Libertés"), telle que modifiée en vue de transposer dans le droit français la directive européenne du 24 octobre 1995 qui constitue aujourd'hui encore le texte de référence européen en matière de protection des données à caractère personnel.

Si l'ensemble des droits et obligations découlant de ces textes s'impose aux intervenants et bénéficiaires des services de cloud, il convient, dans le cadre de notre propos, de s'arrêter sur un des principes fondamentaux de cette réglementation, qui découle de son caractère intra-européen.

De fait, si la directive du 24 octobre 1995 a consacré la liberté de circulation des données à l'intérieur de l'Union Européenne[1], elle a également fixé des règles strictes en matière de transfert de données à caractère personnel en dehors de cet espace.


Un des principes édictés par la loi Informatique et Libertés est donc que des données personnelles ne peuvent être transférées vers un Etat n'appartenant pas à l'Union Européenne - la notion de transfert devant ici être entendue de façon large dans la mesure où un simple "accès" à distance est assimilé à un "transfert" -  que si ledit Etat assure un niveau de protection suffisant de la vie privée et des droits fondamentaux. Or très peu d'Etats peuvent à ce jour revendiquer un tel statut[2].

En France si le transfert se fait vers un autre Etat que l'un de ceux susvisés, une autorisation doit être obtenue auprès de la CNIL préalablement à la mise en œuvre dudit transfert. La demande d'autorisation doit être accompagnée des clauses contractuelles types élaborées entre les entités exportatrice et importatrice, à moins que le transfert ne soit couvert par des BCR (Binding Corporate Rules ou règles internes d'entreprise)[3].

Dans de tels cas, le délai nécessaire pour obtenir une telle autorisation (qui varie de quelques semaines à quelques mois) doit être intégré au planning global du projet. Rappelons dans ce cadre qu'en matière de données personnelles il appartient au responsable du traitement de procéder à ces formalités dont le non respect peut entraîner des sanctions pénales[4].

... Auquel il est possible de déroger

Sont dispensés de la demande d'autorisation susvisée les transferts de données à caractère personnel qui entrent dans l'une des catégories suivantes :
-  transferts à destination d'une entreprise située aux Etats-Unis lorsque l'entreprise destinataire adhère au Safe Harbor[5] ;
-  transferts entrant dans la liste des exceptions de l'article 69 de la loi Informatique et Libertés, lesquelles exceptions doivent être interprétées strictement[6] ;
-  transferts entrant dans le cadre d'une norme simplifiée sous réserve que celle-ci prévoie expressément la possibilité d'un transfert hors de l'Union Européenne.

Une situation pratique particulière - susceptible de s'appliquer aux modèles d'organisation mis en place par les prestataires de services de cloud -  doit par ailleurs être prise en compte dans la réflexion sur la conformité aux obligations découlant de la réglementation Informatique et Libertés. Il s'agit de la situation dans laquelle une société utilisatrice (le "Client") confie des prestations à un prestataire situé dans l'Union Européenne (le "Prestataire A") qui lui même confie la réalisation de certaines prestations à un sous-traitant tiers situé en dehors de l'Union Européenne (le "Prestataire B"). Si dans un tel schéma le Prestataire A doit être qualifié de responsable du traitement[7], il endosse alors les responsabilités afférentes et il lui appartient notamment de procéder aux formalités liées à la protection des données personnelles requises dans son pays d'établissement.

La situation est donc complexe. Or il est rare que le "nuage" reste localisé au niveau national. C'est pourquoi les fournisseurs de services de cloud demandent instamment à disposer d'un cadre international harmonisé et simplifié, ce que pourrait leur apporter la révision de la réglementation en matière de protection des données à caractère personnel, en cours de discussion au niveau européen.

Le contrat de Cloud, des problématiques classiques...

Parmi les divers aspects contractuels qui doivent être pris en compte, certains sont communs à tout projet informatique. En voici quelques exemples :

- l'offre de cloud computing retenue doit permettre à l'utilisateur de se conformer à ses obligations d'audit, internes comme externes. De même les processus de certification dans lesquels l'entreprise s'est engagée ou souhaite s'engager doivent être pris en considération ; ainsi, concernant les paiements par exemple, le recours à un Cloud public risque d'être difficilement compatible avec l'obtention d'une certification de conformité à la norme PCI DSS ;

- les engagements du prestataire de services en matière de qualité et de continuité du service doivent être soigneusement examinés. Bien qu'en la matière les mécanismes de pénalités puissent constituer un levier intéressant, la meilleure garantie de continuité consiste en la vérification des moyens techniques mis en place par le prestataire, notamment les redondances et plans de secours. Ces sécurités pourront soit donner lieu à des tests menés par le client ou un tiers désigné par ce dernier soit être validées dans le cadre de processus mis en place par le prestataire, par exemple par le biais d'une certification SAS 70 de niveau II ;

- les conditions de recours à la sous-traitance, ainsi que les conditions de localisation et transfert des données, en particulier lorsque des données à caractère personnel sont concernées par les traitements externalisés, doivent faire l'objet d'un examen attentif ;

- la clause limitative de responsabilité doit être vérifiée et si la responsabilité assumée par le prestataire ne paraît pas suffisante pour couvrir les risques en cas de défaillance dans le service, la clause négociée et/ou le risque assuré par ailleurs ;

- l'insertion dans le contrat de cloud d'une clause de benchmark peut être très utile pour l'utilisateur, en particulier lorsque le contrat est négocié pour une durée déterminée relativement longue ;

- enfin la question de la loi applicable au contrat ne devra pas être négligée. Cela étant la détermination dans le contrat de la loi applicable aux relations contractuelles ne devra pas faire oublier l'application potentielle des lois de police ou autres dispositions impératives en vigueur dans les pays où les données seront localisées et/ou les services délivrés.

...dont certains aspects justifient une attention particulière.

Tout d'abord une attention particulière doit être portée à tout ce qui concerne la propriété intellectuelle. Dans le cadre d'un service de cloud, les aspects de propriété intellectuelle revêtent une importance particulière non seulement lorsque des développements sont confiés au prestataire mais également lorsque des outils mis à disposition du client par le prestataire sont utilisés, comme par exemple une plate-forme de développement ou des structures de bases de données. S'il est dans ce cadre fait utilisation de technologies standard en libre accès sur le marché ou des technologies sous licence libre, la situation de l'utilisateur est de fait relativement sécurisée. En revanche si les technologies utilisées appartiennent au prestataire de cloud, il convient d'anticiper dés la phase d'analyse des offres et/ou de négociation du contrat les questions liées à la propriété intellectuelle.

De façon générale, les conditions de réversibilité doivent être examinées avec attention. Les conditions dans lesquelles l'utilisateur pourra reprendre la prestation, pour la réinternaliser ou la confier à un tiers, doivent être vérifiées, et le cas échéant négociées, dés la conclusion du contrat de cloud. A défaut d'une telle anticipation, le "retour en arrière" ou le changement de prestataire risque de se révéler un exercice difficile.

Les problèmes de sécurité eux aussi prennent une nouvelle ampleur avec le cloud computing. En effet les services de cloud computing présentent une différence majeure avec les dispositifs traditionnels d'externalisation : ils reposent souvent sur la virtualisation des serveurs et autorisent ainsi la coexistence de données appartenant à plusieurs entreprises sur un même serveur. En outre l'ampleur de la délocalisation des services et des données dans le cadre du cloud est également de nature à justifier qu'une attention particulière soit accordée aux aspects de sécurité. Il est donc fondamental de s'assurer que les mesures de sécurité et d'alertes en cas de sinistre mises en place par le prestataire présentent suffisamment de garanties, ainsi que de contractualiser ces garanties.

En conclusion le cloud computing, s'il ne révolutionne pas les problématiques juridiques qui se posent aux utilisateurs de services informatiques, suppose qu'on leur accorde une importance accrue, et cela dès la phase de conception du projet.



[1] Liberté de circulation des données qui s'étend en fait, en ce qui concerne la protection des données à caractère personnel, à l'Espace Economique Européen (EEE), lequel comprend, en sus des pays faisant partie de l'Union Européenne, l'Islande, le Liechtenstein et la Norvège.

[2] La liste de ces pays est la suivante : Suisse, Argentine, territoires de Guernsey et de Jersey, Isle de Man, Andorre, Israël et sous certaines conditions le Canada et les îles Feroé.

[3] Sur ce sujet voir le guide de la CNIL relatif aux « Transferts de données à caractère personnel vers des pays tiers à l'Union Européenne » accessible sur le site de cette dernière (www.cnil.fr).

[4] L'article 226-16 du Code pénal prévoit que « le fait, y compris par négligence, de procéder ou faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende ».

[5] Pour plus d'informations sur le sujet, vous pouvez consulter le site web du Département du Commerce américain ou le document édité et diffusé par la CNIL relatif au Safe Harbor.

[6] Ces exceptions correspondent d'une part aux cas dans lesquels la personne concernée a consenti expressément au transfert de ses données et d'autre part aux cas dans lesquels le transfert est nécessaire par exemple à la sauvegarde de la vie de cette personne, à la sauvegarde de l'intérêt public ou encore à l'exécution d'un contrat entre le responsable du traitement et l'intéressé.

[7] Le G29 (groupe de travail institué par l'article 29 de la directive 95/46/CE) a adopté le 16 février 2010 une intéressante « opinion » sur les qualifications de responsable de traitement et de sous-traitant.

Autour du même sujet