Cloud Computing réside dans la sécurité au sens large des applications et des données. Dans cet article, on pensera à Google, Amazon ou Microsoft comme fournisseurs de solution de Cloud Computing (PaaS, IaaS ou SaaS). On admettra que ces grands acteurs du Cloud ont chacun une grande expérience de ces problématiques et sont souvent au moins aussi compétents que bon nombre de DSI pour les gérer [1].
Dès lors, un nouveau risque auquel l’entreprise doit faire face en choisissant des solutions sur le Cloud n’est pas technique mais juridique. C’est en partant de ce constat et des nombreuses questions qui en découlent qu’OCTO a interviewé Maitre Benjamin May, Associé chez ARAMIS, pour qu’il nous éclaire sur ces risques.
Dans le cas où le droit français s’applique, le prestataire de Cloud Computing à qui le client confie ses données se trouve « gardien de la chose » (Statut définit dans le Code civil, article 1384). Celui-ci est alors tenu de conserver la chose (par exemple, les données) sans perte, vol ou détérioration et est obligé à restituer celle-ci à la demande du client. On ne s’attachera pas ici à détailler l’ensemble des points clés d’un contrat de service informatique (périmètre du service, continuité du service, SLA, …) [2] mais aux risques juridiques « nouveaux » liés au Cloud Computing, découlant principalement de l’une de ses caractéristiques : l’abstraction sur la localisation des données (quel serveur, quel datacenter, et surtout quel pays ?) [3]. La première difficulté est donc de déterminer le droit s’appliquant aux données et applications sur le Cloud.
En général, le droit applicable et la juridiction compétente dans le cadre de la relation client/fournisseur sont prévus par le contrat [4]. Le choix de ce droit applicable et de la juridiction se fait habituellement soit au lieu d’exécution de celui-ci, soit au lieu de domiciliation d’une des parties [5]. Bien souvent, le client aime évoluer dans son droit naturel, tandis que le prestataire préfère un contrat standard. C’est donc la plupart du temps ce contrat standard qui nous est proposé.
Il est possible de faire face à cette clause comme au reste d’un contrat démesurément à l’avantage du fournisseur dans deux cas principaux : Soit vous êtes suffisamment puissant pour négocier le contrat avec le prestataire, soit vous pouvez être déclaré « consommateur » au sens du droit de la consommation (et utiliser ce levier d’action lors d’une négociation). En effet, dans une relation client/fournisseur, si le contrat cloud est étranger à l’activité professionnelle du client [6], il peut-être qualifié de « consommateur » ou « non-professionnel » (cette dernière notion étant aussi valable pour une personne morale). Il est alors possible de faire annuler certaines clauses abusives. En particulier, selon la jurisprudence de la Cour de Justice de l’Union Européenne [7], la clause qui impose à un consommateur ou non-professionnel de se défendre devant un tribunal hors de son pays peut-être abusive.
Quelle que soit la juridiction retenue, un litige avec le fournisseur peut entrainer une décision judiciaire qu’il faut faire exécuter dans un autre pays. Dans ce cas (et dans d’autres), se pose la question de l’exequatur [8]. Dans l’Union Européenne (UE), le jugement dans un Etat membre acquiert force exécutoire dans un autre Etat membre dès lors que certaines formalités sont accomplies. Hors de l’UE, le pays procédera à l’exequatur et homologuera la décision juridique sous réserve que celle-ci soit conforme à son droit. Cela peut parfois être complexe comme l’illustre l’affaire Yahoo en 2000 : Yahoo Inc. attaqué en France pour avoir hébergé une vente aux enchères d’objets du IIIème Reich a été condamné par le Tribunal de Grande Instance de Paris, mais l’exequatur n’a pas été validée aux Etats-Unis en raison de sa non conformité au premier amendement garantissant la liberté d’expression [9].
En somme, rien n’empêche une partie (au hasard américaine puisque les principaux acteurs du cloud sont américains) de remettre en cause un jugement au regard de sa propre loi.
Une fois le droit applicable et la juridiction compétente définis dans le cadre de la relation client/fournisseur, le régime applicable aux données mises sur le Cloud reste encore à déterminer.
En France, où s’appliquent le droit français et le droit communautaire, il existe des réglementations particulières pour certaines données, à la fois sectorielles (données médicales, données bancaires, …) et transverses (données personnelles, ..).
Exemple de réglementation sectorielle : Les données bancaires qui sont protégées en France par le secret bancaire [10]. Le stockage et le traitement de celles-ci aux Etats-Unis posent donc problème puisqu’il peut y avoir conflit de loi entre le secret bancaire français et le Patriot Act [11] (loi anti-terroriste votée par le Congrès des États-Unis et signée par George W. Bush le 26 octobre 2001 qui dispose - entre autres - que les agences de renseignement et de maintien de l’ordre peuvent récupérer des données personnelles dans le cas de suspicion de terrorisme ou d’espionnage).
Exemple de réglementation transverse : Dans le cadre de la loi Informatique et Libertés (qui s’applique à toutes les données personnelles, notamment aux données des salariés), conserver les données personnelles dans l’UE ne suppose qu’une déclaration à la CNIL, alors que sortir ces données de l’UE oblige à demander une approbation à la CNIL. Pour être plus précis, lorsque vous collectez et traitez des données, vous êtes « Data controller » ou « responsable du traitement ». Vous êtes alors soumis à de nombreuses obligations légales vis-à-vis de la CNIL et de la personne (ex : « informer de la collecte et de sa finalité, … »). Ces données peuvent être transférées à condition que le pays en question assure un niveau de confidentialité adéquat. Ce niveau de confidentialité adéquat n’est pas reconnu (entre autre) pour les Etats-Unis. Cependant, ces derniers ont mis en place les Safe Harbor, solution non législative d’autoréglementation [12]. Ces dispositifs ont été reconnus par la Commission européenne comme ayant un niveau de confidentialité adéquat. Malheureusement, le nombre d’entreprises américaines adhérant aux Safe Harbor reste très limité. En tout état de cause, un transfert de données personnelles vers les Etats Unis, lorsqu’on est « responsable du traitement », est soumis à l’approbation de la CNIL, et non plus à une simple déclaration. Si l’on ne se conforme pas à cette obligation, les risques sont civils et pénaux. On notera toutefois que de nombreuses entreprises ne sont pas en conformité sur ce point [13].
Au-delà des problématiques d’architecture classiques, le Cloud Computing et sa propriété d’abstraction sur la localisation, impose un nouvel et réel enjeu juridique : le recours à des juristes est indispensable et doit être complété par un chantier pour la DSI : Maitriser la donnée, connaitre la criticité de celle-ci et les réglementations qui y sont liées.
La plupart des acteurs du Cloud Computing étant américains, l’adoption du Cloud par les entreprises est réelle aux Etats Unis mais plus complexe en Europe [14]. Certains de ces acteurs, comme Amazon, offrent des garanties sur l’emplacement physique des données (Etats Unis ou Europe). Cela simplifie les aspects juridiques mais laisse la place à des hébergeurs classiques.
Dans nos métiers des SI, vient souvent s’ajouter à la technique un besoin de compréhension métier. Avec le Cloud Computing une difficulté supplémentaire apparait clairement avec l’aspect juridique. Cependant, le Cloud Computing possède des vertus (mutualisation de l’infrastructure, facilité et agilité d’intégration de progiciel en mode SaaS, …) qui méritent d’aller au-delà de ce frein juridique.