Le Cloud Computing, une notion à encadrer
La Commission européenne va établir dans les prochains mois un cadre juridique pour le Cloud Computing, dont elle souhaite promouvoir le développement en Europe. Sa mise en place soulève de nombreuses problématiques.
Pour mémoire, le Cloud Computing s'entend comme l'externalisation de l'ensemble des ressources numériques de l'entreprise, ressources dès lors disponibles sur une plateforme accessible par un réseau, en l'occurrence Internet. Ce système permet à l'entreprise de s'affranchir de tout investissement préalable dès lors que l'infrastructure mise en place par le fournisseur est totalement autonome et indépendante de celle du client.
Le Cloud computing consiste donc en une nouvelle forme d'informatique à la demande et peut être approchés selon 3 critères : dans un premier temps, il consiste au recours à un prestataire externe spécialisé (ce qui permet au client de ne pas être soumis aux contraintes notamment de gestion et de maintenance). Ensuite, le Cloud Computing fait appel à la notion de location, le client ne disposant que d'un droit d'accès et d'utilisation du système informatique, droit en principe temporaire, valant aussi bien pour un essai type que pour une durée de plusieurs années. Le client n'a donc pas à acquérir les licences d'exploitation des logiciels, licences que le prestataire technique a acquis auprès d'un éditeur. Enfin, le Cloud computing permet à l'entreprise de disposer d'une personnalisation de ses applications, applications mutualisées au profit d'autres entreprises, mais adaptées aux besoins et aux spécificités de chacune.
La Commission européenne va établir dans les prochains mois un cadre juridique pour le Cloud Computing, dont elle souhaite promouvoir le développement en Europe. En effet la mise en place de ce type de services entraine de nombreuses problématiques juridiques. La Vice présidente de la Commission européenne, Neelie Kroes, a déclaré vouloir engager une réflexion construite autour de 3 axes principaux.
La première piste de réflexion concernerait la réglementation du secteur au niveau "par exemple de la protection des données et de la vie privée, des règles claires pour l'allocation de la juridiction, la responsabilité, et la protection des consommateurs". Il faut également envisager les questions liées à la sécurité et à la sécurisation des données de l'entreprise. En effet, l'accès au serveur induit forcément une connexion sécurisée et une authentification de l'entreprise utilisatrice. Il faut en effet se souvenir que le service de Cloud Computing d'Amazon Web Services avait clairement fait l'objet d'une menace extérieure. Les hackers s'étaient donc introduits sans permission et avaient pu installer leurs propres commandes de contrôle de l'infrastructure.
La question de la sécurité des données concerne également l'hypothèse de leur perte. Il faut dès lors envisager un moyen permettant de pallier cette perte. Plusieurs hypothèses ont été proposées, la plus récurrente consistant à prévoir une obligation de réplication des données sur plusieurs périphériques. En ce qui concerne le cas du conflit de juridiction en cas de contentieux lié au Cloud Computing, quelques pistes de réflexion ont été envisagées. Le critère du lien le plus fort avec un pays pourrait être retenu pour déterminer la juridiction compétente, la difficulté résidant encore dans le fait de savoir si les données stockées ou dupliquées se situent dans un État aux règles plus ou moins protectrices pour une entreprise. De cette interrogation ressort une fois de plus la nécessité d'atteindre une certaine harmonie entre les différents acteurs du Cloud Computing.
Le deuxième piste de réflexion résiderait autour des fondamentaux techniques et commerciaux du cloud Computing. L'une des difficultés principales du Cloud Computing réside notamment dans la qualité de service qu'offre le fournisseur de service. En effet, sans garantie de bon fonctionnement du service, l'entreprise cliente est dans une situation de dépendance totale vis-à-vis du fournisseur, l'ensemble de ses ressources numériques, l'infrastructure même de son entreprise étant confié à ce prestataire externe. Dès lors, il s'agirait de définir si le prestataire a une obligation de moyen ou de résultat quant à l'exécution de la prestation tout en sachant que si l'obligation est de résultat, il faudra définir précisément les résultats attendus. En cas de défaillance d'un prestataire, il convient de s'assurer de la pérennité des services et donc d'envisager un plan de réversibilité dont l'objet serait d'assurer un transfert des services à d'autres prestataires. Il est alors nécessaire de déterminer dans quelle mesure la réversibilité s'opère, notamment quant aux facteurs déclencheurs (défaillance du prestataire par exemple) quant aux modalités pratiques. La question de la réversibilité entraine celle de l'interopérabilité ; comme le souligne Marc Mossé en parlant du Cloud Computing (Directeur Juridique et des Affaires publiques Microsoft France), « la quête de l'interopérabilité va de venir de plus en plus vivace ». Il convient alors pour le prestataire de pouvoir proposer un accès facilité aux données même en cas de changement d'interlocuteur et aussi en cas de changement de support. Le Cloud Computing revient aussi à libérer le logiciel afin qu'il suive l'utilisateur, entreprise ou particulier à terme, partout. Il semble que les prestataires externes doivent alors s'entendre avec les éditeurs de logiciel pour favoriser et garantir à l'utilisateur un usage confortable.
Aux vues de l'ensemble de ces questions, il apparaît essentiel que la Commission établisse un socle juridique à ce phénomène, la vice présidente rappelant également qu'il est hors de question de s'en remettre à une auto-régulation des professionnels du secteur.