Saas, Iaas, Paas, s’il y a derrière ces acronymes de nouveaux modes de commercialisation des services informatiques, voire de nouvelles technologies, il s’agit pour le juriste de formes juridiques connues. L’externalisation est un mode d’organisation du système d’information que les entreprises connaissent et pratiquent depuis des décennies. Du « service bureau », dans les temps anciens, à l’ASP en passant par l’infogérance, confier tout ou partie de son SI à un prestataire de service spécialisé est pratiqué par de nombreuses entreprises et personnes publiques. Aujourd’hui, le « cloud computing » est attendu par tous les acteurs du secteur comme la prochaine mutation technologique majeure. Voici un panorama des questions juridiques à se poser avant d’entrer dans cette nébulosité.
Pour l’entreprise, le cloud computing est la 2nde révolution de la dématérialisation. La 1ère fut le passage de l’écrit papier à l’écrit électronique : l’information a perdu son support de conservation pérenne, simple. Ses conséquences sont encore largement incontrôlées. La 2nde révolution de la dématérialisation est la virtualisation du support de la donnée électronique : l’environnement matériel. C’est ce que promet le cloud computing : une totale souplesse dans son infrastructure en contrepartie d’une « évaporation » de ses données dans le nuage. Ce sont les deux versants du défi juridique auquel les entreprises souhaitant recourir au cloud computing doivent se préparer : garantir la tenue des promesses en matière de flexibilité et gérer la perte de contrôle sur leurs données. Mais d’abord, peut-on tout mettre dans le nuage ?
Peut-on tout mettre dans le nuage ?
Les données produites par ou dans un système d’information peuvent parfois échapper au contrôle de l’entreprise. Des tiers ou les pouvoirs publics ont parfois un droit de regard sur ces données qui peut venir encadrer voir interdire le recours au cloud computing. Prenons d’abord un exemple commun à toutes les entreprises, celui de la facture. C’est le plus souvent par la comptabilité que la dématérialisation est arrivée dans l’entreprise. Lorsqu’une entreprise émet ou reçoit des factures sous forme électronique, conformément au code général des impôts, elle n’a pas la liberté de choix du lieu de stockage de ces factures. En effet, l’article L. 102 C du livre des procédures fiscales prévoit que les assujettis ne peuvent pas stocker les factures transmises par voie électronique dans un pays non lié à la France par une convention prévoyant une assistance mutuelle en matière de fiscalité. Ceci limite concrètement les lieux de stockage à l’Union européenne. Dans la sphère publique, les administrations et collectivités locales doivent également compter avec l’article 20-5 du décret n°79-1037 du 3 décembre 1979 relatif aux archives publiques : lorsqu’elles sont conservées par un prestataire agréé, les archives publiques ne peuvent être conservées que sur le territoire national. Lorsque les archives intermédiaires sont conservées par la personne publique d’origine, celles-ci doivent l’être dans « ses locaux », ce qui implique, bien que cela ne soit pas expressément prévu par le décret, une impossibilité de sortie du territoire. Les archives sous forme électronique sont bien évidemment concernées par ces dispositions puisque, selon l’article L.211-1 du Code du patrimoine, les archives sont l’ensemble des documents produits par les personnes publiques, « quels que soient leur forme et leur support ».
Il ne s’agit ici que d’exemples de réglementations qui viennent interférer avec la liberté pour une entreprise ou une administration de stocker ses données où bon lui semble, et même, en cas de virtualisation des serveurs, dans plusieurs endroits de la planète.
Il faut également compter avec la loi Informatique et Libertés du 6 janvier 1978. Celle-ci impose au responsable d’un traitement informatisé de données à caractère personnel de garantir la confidentialité et la sécurité des données conservées. Il en résulte une interdiction de transférer des données à caractère personnel vers des pays « n’offrant pas un niveau de protection adéquat ». Ces pays sont nombreux. Les Etats-Unis ou les pays émergents, par exemple, n’ont pas été reconnus pas la Commission européenne comme offrant un niveau de protection adéquat. Il en résulte que si une personne souhaite « déverser » une partie de ses données dans un « cloud », elle ne pourra le faire que si elle a l’assurance que les serveurs qui physiquement vont héberger les données sont tous localisés dans des pays offrant un niveau de protection adéquat. Ce peut être concrètement impossible. Le recours au cloud public doit être exclu dans ces hypothèses, sauf à pouvoir passer une convention spécifique avec le fournisseur garantissant un niveau de protection et de sécurité des données adéquat. La Commission européenne a mis à jour récemment les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers qu’il convient d’appliquer. Ces nouvelles clauses types, effectives depuis le 15 mai 2010, ont été adoptées pour « faciliter » l’hébergement de données à l’étranger. Mais les fournisseurs de services de cloud sont loin d’avoir encore intégré cette problématique à leurs offres de services.
Ainsi, en fonction des applicatifs et des données qui sont ame- nées à être mise dans un « cloud », un audit juridique préalable de faisabilité peut s’avérer utile.
Quelles précautions contractuelles ?
Dans toute externalisation informatique, le contrat a une importance cruciale. Lorsqu’une entreprise choisit de confier ses données à un prestataire, cette perte de contrôle doit s’accompagner de garanties juridiques. Ceci est encore plus vrai pour une externalisation dans un « cloud », dans lequel l’entreprise pourra même aller jusqu’à ignorer la localisation physique des machines qui hébergent ses applicatifs et données.
Disponibilité, sécurité, confidentialité, réversibilité. Il conviendra donc de porter une attention particulière aux engagements contractuels que le prestataire est prêt à prendre sur ces points. A cet égard, il faut être conscient des limites des « SLA » auxquels les fournisseurs peuvent s’engager. Ces engagements de niveau de service ou « service level agreement », souvent formulés en taux de disponibilité de la solution, peuvent être difficiles à contrôler. En effet, les offres de type « saas » et autres technologies de cloud computing mutualisé sont basées sur l’utilisation du réseau internet. C’est évidemment l’origine de leur flexibilité mais aussi de leur faiblesse. Si les données d’un utilisateur, hébergées dans le « nuage », deviennent inaccessibles, il sera parfois impossible à ce dernier de prouver que cette indisponibilité a pour origine la plateforme du prestataire et non une rupture de son propre accès internet. Si l’internet s’avère fiable et robuste, et nous en faisons tous le constat quotidien, il faut néanmoins anticiper une rupture de l’accès à la solution hébergée qui peut toujours survenir. Il pourra être prudent d’exclure des solutions de cloud computing les applicatifs et les données pour lesquels une haute disponibilité d’accès est requise.
Il faut également y ajouter des considérations spécifiques aux offres de services de cloud computing. Celles-ci mettent principalement en avant une grande flexibilité : ajout et suppression de serveurs virtuels à la demande, sans contrainte et dans un temps très limité. Ce qui est vrai aujourd’hui le restera-t-il demain ? L’offre de service de cloud computing se développe d’abord à l’initiative d’acteurs du marché disposant structurellement de ressources informatiques inoccupées : Amazon ou Google par exemple. Mais leurs business modèles ne reposent pas sur le service de cloud computing. Qu’en sera-t-il de cette flexibilité lorsque beaucoup plus d’entreprises auront migré vers le cloud computing ? Ici encore, le contrat doit garantir cette flexibilité. Il conviendra également de veiller au modèle de tarification et vérifier l’absence de contrainte liée à la diminution du périmètre des services hébergés dans le cloud et à la réversibilité.
A retenir
Toutes les données présentes sur un système d’information ne peuvent pas nécessairement faire l’objet d’un hébergement à l’étranger. La « sortie » du territoire national de certaines données doit parfois respecter un certain nombre de contraintes juridiques. Il en est ainsi, par exemple, de la loi informatique et libertés du 6 janvier 1978 qui, conformément à la directive du 24 octobre 1995, interdit le transfert de données à caractère personnel vers un pays tiers à l’Union européenne n’offrant pas un niveau de protection adéquate.
Le passage vers une solution de cloud computing doit donc être précédé d’un audit juridique de faisabilité.
Droit applicable
Loi n°78-17 du 6 janvier 1978 ?relative à l’informatique, aux fichiers et aux libertés
L102 C livre des procédures fiscales
Décret n°79-1037 du 3 décembre 1979 relatif aux archives publiques
