Cloud Computing et localisation - « Ciel, où sont mes données ?! »

Les offres de services informatiques de type cloud computing permettent aux entreprises d’accéder facilement à de grandes capacités délocalisées de traitement et de stockage de données. Ces services externalisés sont très attractifs pour les entreprises, notamment en raison de leur modularité et évolutivité très fortes.

Ils peuvent cependant être assez opaques sur les conditions dans lesquelles ils sont rendus, y compris sur la localisation des centres de traitement de données.

En effet, le cloud computing n'a-t-il pas pu être défini comme "une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients (1)". Les récentes révélations de l'existence du programme PRISM mis en place aux Etats-Unis et permettant l'accès par les autorités américaines aux données stockées dans le cloud ont inquiété pouvoirs publics et citoyens (2).

Pourtant, les entreprises doivent également considérer la localisation des données traitées dans le cloud comme l’un des points essentiels qui doivent être contrôlés lorsqu’elles souhaitent bénéficier de ce type de services pour externaliser le traitement de leurs données. En effet, d’une part, il existe des contraintes règlementaires encadrant l’exportation de données dans le cloud et, d’autre part, la localisation des données peut affecter le cadre légal applicable à leur traitement, y compris pour un éventuel accès à ces données par les autorités gouvernementales.

1. Les contraintes réglementaires sur l'exportation des données

Il existe des contraintes sectorielles et une règlementation en matière de données à caractère personnel qui viennent encadrer le choix de la localisation des sites de traitement et/ou stockage dans les projets de cloud computing.
  • Contraintes sectorielles relatives au lieu de traitement des données
Certaines activités, telles que celles du secteur bancaire et celles du secteur de la santé, font l’objet d’obligations particulières en cas de délocalisation du traitement de données. Il s'agit là d'autant de points de contrôle préalables à la mise en œuvre d'un projet de cloud computing.

Le secteur bancaire est ainsi soumis aux dispositions du règlement n°97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d'investissement. Ce texte impose notamment des contrôles et formalités supplémentaires aux prestataires de services d’investissement qui ont recours à un prestataire situé dans un Etat non membre de la Communauté européenne (3), pour l'externalisation de certains services destinés à des non-professionnels.

L'hébergement de données de santé à caractère personnel sur support informatique est également strictement encadré (4). Cette activité est soumise à l'obtention d'un agrément, délivré en contrepartie de garanties en termes d'intégrité, de sécurité et de confidentialité des données traitées. Le dossier d'agrément doit notamment préciser le lieu où l'hébergement sera effectué, et toute modification de ce lieu devra faire l'objet d'une notification auprès du ministre chargé de la santé.
  • Règlementation des transferts internationaux de données à caractère personnel
En outre, lorsque les données migrées incluent des données à caractère personnel, il est impératif de respecter les principes encadrant les transferts internationaux de ces données si le prestataire de cloud computing est situé hors de l'Union européenne.

En effet, les transferts de données personnelles hors de l'Union européenne requièrent :
* la conclusion d'un contrat de transfert conforme aux clauses contractuelles type adoptées par la Commission européenne, ou la mise en place de règles internes d'entreprise (binding corporate rules), et
* une autorisation préalable par la CNIL, sauf lorsque le transfert est à destination de pays reconnus par la Commission européenne comme assurant un niveau de protection suffisant des données, ou de destinataires situés aux Etats-Unis et ayant adhéré aux principes du Safe Harbor.

2. Effets de la localisation des données sur la loi applicable et la maîtrise des données

L'entreprise qui a respecté les contraintes sectorielles et/ou réglementaires préalables peut envisager une délocalisation du traitement de ses données dans le cloud.

Mais il faut alors rappeler les effets de la localisation du prestataire sur la maîtrise par l’entreprise cliente des données qu’elle lui confie, tant du point de vue du choix de la loi applicable au contrat, que de celui de l’accès par les autorités gouvernementales aux données traitées dans le cloud.

  • Libre choix de la loi applicable aux contrats internationaux de cloud computing

Dans l’Union européenne, dès lors que le contexte de conclusion du contrat de cloud computing ne relève pas intégralement d’un seul pays (ex : entreprise prestataire relevant d’un droit étranger, ou lieu de traitement des données localisé à l’étranger), les parties ont la possibilité de choisir librement la loi qui s’appliquera au contrat de services (5).
La loi ainsi choisie pour le contrat est celle qui déterminera le régime des différents engagements des parties dans le cadre du projet de cloud computing. Il s’agit donc d’un élément essentiel du contrat de services, puisqu’il permet aux parties de déterminer précisément quels sont leurs droits et obligations respectifs pour des points clés de la relation contractuelle tels que le respect des niveaux de service, la sauvegarde et la sécurité des données, le respect des délais ainsi que les obligations de paiement.

  •   L’accès par les autorités publiques étrangères aux données stockées sur le cloud

Cependant, dès lors que le prestataire de services de cloud computing est établi (notamment pour le traitement des données) dans une juridiction autre que celle du client, les dispositions légales impératives de la loi du lieu d’établissement du prestataire seront applicables, et ce quelle que soit la loi applicable choisie par les parties pour régir le contrat.
Il s’agit notamment des règles d’ordre public qui permettent aux autorités publiques étrangères de contraindre le prestataire de cloud computing à communiquer des informations qu’il stocke pour le compte de ses clients. Et bien entendu cela peut faire craindre un risque de divulgation des données de l’entreprise cliente.
Mais si l’on prend l’exemple des données traitées aux Etats-Unis par des prestataires de cloud computing, et contrairement à ce qui est parfois affirmé, l’analyse des mécanismes officiels régissant l’accès par les autorités aux données stockées montre que cet accès est strictement encadré, que ce soit par les cas d’utilisation ou par les règles de procédure applicables.
On peut notamment citer les possibilités d’accès aux données résultant du Patriot Act en cas de terrorisme ou d’espionnage international ; mais ces réquisitions doivent suivre une procédure de contrôle judiciaire systématique a priori (FISA Orders) ou a posteriori (National Security Letters). Par ailleurs, l’Electronic Communications Privacy Act, au champ d’application plus large, prévoit des cas d’accès aux données dans le cadre de toute enquête pénale, mais toujours avec un cadre procédural précis qui dépend de l’information recherchée et de la personne objet de la réquisition.

Par comparaison et pour relativiser le débat sur les risques du stockage d’informations aux États-Unis, il faut rappeler que la loi française prévoit notamment depuis 2003 (6) des possibilités d’accès aux données assez semblables. La loi française prévoit ainsi des cas de réquisition en matière pénale aux fins de mise à disposition d’informations contenues dans les systèmes informatiques ou traitements de données nominatives. Et en réalité des droits d’accès similaires existent en fait dans la plupart des pays où sont implantés les prestataires de services de cloud computing.

Recommandations

La localisation des données traitées dans le cadre de projets de cloud computing est un élément qui doit certainement être vérifié par l’entreprise qui souhaite faire migrer ses données. Cela est nécessaire pour permettre à l’entreprise de s’assurer que toutes les contraintes règlementaires et formalités préalables à cette migration ont bien été anticipées. Cela lui permettra également de s’assurer des cas et procédures selon lesquels la juridiction du prestataire permet un accès aux données stockées.

Mais l’attention portée à la localisation des données traitées par le prestataire de services de cloud computing ne doit pas occulter l’ensemble des autres points que l’entreprise doit analyser en préparant une externalisation vers le cloud : niveaux de services, performances, interopérabilité et disponibilité applicables, conditions de sauvegarde et de sécurisation des données traitées, conditions de réversibilité à l’issue du projet etc.
Seule une analyse préalable de l’ensemble des critères d’une offre de cloud computing peut permettre à une entreprise de mener à bien ce type de projet tout en conservant la maîtrise de ses données dans les meilleures conditions.
 
------------------------
(1) Avis de la commission générale de terminologie et de néologie, JO 6 juin 2010, texte 42;
(2) La CNIL a récemment annoncé la création d'un groupe de travail sur l'accès des autorités publiques étrangères à des données personnelles de citoyens français;
(3) et non partie à l'accord sur l'Espace économique européen;
(4) Code de la santé publique (art. R. 1111 9 et s.);
(5) Art. 3 du règlement CE n°593/2008 du 17 juin 2008 sur la loi applicable aux obligations contractuelles;
(6) Voir notamment la loi n°2003 239 du 18 mars 2003 pour la sécurité intérieure.