Les dernières tendances du Cloud Computing Le contrat : une problamétique centrale du Cloud Computing

Un atelier qui s'est tenu l'après-midi a été l'occasion de détailler quelques bonnes pratiques entourant le contrat signé entre clients et prestataires de service de Cloud Computing. A cette occasion Olivier Iteanu est notamment revenu sur les règles régissant les données à caractère personnel traitées par le biais des plates-formes d'applications hébergées.

 

de gauche à droite : marc mossé (microsoft), david morvan (risc group), olivier
De gauche à droite : Marc Mossé (Microsoft), David Morvan (Risc Group), Olivier Lesobre (ex-responsable du service des sanctions de la Cnil) et Olivier Iteanu (Iteanu Avocats). Intervenants: © JDN Solutions

L'avocat a notamment évoqué les obligations des personnes responsables du traitement de ces données, en général leur propriétaire (c'est-à-dire le client des services de Cloud et de SaaS).

"Le cadre juridique général interdit toute exportation de ses données en dehors de l'Union Européenne", a notamment indiqué l'avocat. Mais comme tout cadre juridique général, celui-ci a ses exceptions. 


La question des données à caractère personnel stockées sur des Cloud en dehors de l'UE

Les données personnelles sont exportables dans les pays que la Commission Européenne considère comme suffisamment sûrs, tel le Canada ou encore la Suisse, mais aussi aux Etats-Unis à condition que les société en charge de l'hébergement soient inscrites au programme Safe Harbour du Commerce américain. "Des sociétés comme Amazon, Microsoft ou encore Facebook sont dans ce cas", précise Olivier Iteanu.

En cas de plainte, un responsable de traitement risque d'être poursuivi au pénal

Autre solution : il est également possible de migrer des données à caractère personnel à l'étranger à condition de signer un contrat type conçu par l'Union Européenne, par lequel le prestataire prend certains engagements de sécurité.

"En cas de plainte, un responsable de traitement risque d'être poursuivi au pénal, et se voir infligé une amende de plusieurs dizaines de millions d'euros, et de la prison", prévient Olivier Iteanu.

Une urgence : la conception d'un cadre de normalisation


Un transfert de ces données en dehors des frontière de l'UE devra aussi faire l'objet d'une déclaration à la Cnil. "Les règles sont assez strictes", explique Olivier Lesobre, ex-responsable du service des sanctions de la Cnil. "La finalité et le lieu du transfert doivent être précisés, ainsi que les moyens de protection des données mis en place notamment en termes de chiffrement et de traçabilité."

Pour Marc Mossé, responsable juridique de Microsoft France, la mise en place de normes de sécurité est urgente sur le terrain du Cloud. "Il est important que les acteurs du Cloud travaillent sur un cadre de normalisation de la sécurité des données en vue de favoriser la transparence, et ainsi rassurer les prospects et les clients sur ces questions juridiques." Une grille commune qui permettrait de décrire les processus de protection, de traçabilité, d'accès, mais aussi d'audit.

SaaS / Applications métiers