Avocats-Publishing Avocats en propriété intellectuelle et droit des affaires à Paris et Bruxelles
6, place Saint Sulpice - 75006 Paris >>> Tél. : Tél. : 01 45 44 10 33

Droit et Internet

Le Cloud à la française

intervention du 1er décembre 2012 au 38ème salon européen de l’avocat et du droit

mardi 18 décembre 2012

par Anne Pigeon-Bormans, Avocat au Barreau de Paris

Selon la définition officielle, (journal officiel du 6 juin 2010, Vocabulaire de l’informatique et de l’internet) on désigne par « service d’informatique en nuage » ou « cloud computing » :

Le « mode de traitement des données d’un client, dont l’exploitation s’effectue par l’internet, sous la forme de services fournis par un prestataire. » ou « une forme particulière de gérance de l’informatique dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients »

Concrètement, toutes les opérations habituellement réalisées via des serveurs locaux ou directement sur le poste de l’utilisateur sont externalisées sur des serveurs en ligne.

Ainsi Apple permet avec son service iCloud de stocker toutes sortes de contenus en ligne.

Microsoft propose ses offices Webapps qui permettent d’utiliser Word ou Excel sans disposer de ces logiciels sur son ordinateur.

Il y a également désormais le Cloud pro d’Orange business qui donne la possibilité de louer les logiciels plutôt que de les acheter, de stocker ses données professionnelles sur un espace confidentiel sécurisé par Orange ce qui permet de s’affranchir d’un disque dur ou d’un achat de serveur.
L’accès à l’ensemble de ces services se fait par internet, et non plus exclusivement via un poste utilisateur.

I - LES INQUIETUDES LIEES AU CLOUD

On prête à Steve Wozniak, co-fondateur d’Apple, les propos suivants : « Avec le nuage, rien ne nous appartient ».

Dans un autre registre, Bruce WILLIS s’est distingué sur le sujet et, malgré un démenti, il est apparu qu’il avait soulevé un débat fort intéressant pour les juristes.

En effet, le journal britannique à sensation The Sun "avait indiqué que l’acteur américain souhaitait intenter un procès contre Apple concernant les conditions d’utilisation d’Itunes qui l’empêcherait de léguer ses morceaux à ses enfants. Si la femme de Bruce WILLIS a publié un démenti sur son compte twitter, le problème reste toutefois posé. À votre mort qu’advient-il de l’ensemble des fichiers musicaux de votre bibliothèque de livres numériques légalement achetés souvent pour un prix proche de celui du support physique ? Les conditions d’utilisation d’Itunes sont assez claires : vous acceptez que les produits Itunes ne vous soient concédés que sous forme de licence. Cette licence étant accordée à une personne, elle ne peut être transférée à une autre. Au décès du titulaire, le contenu est alors perdu ».

Même son de cloche chez Amazon.

Selon les conditions d’utilisations de son Kindle le consommateur n’acquiert aucun droit de propriété sur le contenu du fait de son téléchargement de sorte que les oeuvres achetées légalement ne peuvent ni se prêter du fait du caractère immatériel, mais pas non plus se transmettre à une quelconque descendance !

Quant au juriste, il est confronté à deux types de problématiques : les données personnelles et la sécurité :

Le juriste se pose, en effet, nécessairement, la question de savoir « où sont stockées les données personnelles traitées par le client ? ».

« L’informatique en nuage implique une décentralisation et les données peuvent alors circuler dans le monde entier de serveur en serveur sans que le client de l’opérateur informatique en ait connaissance ».

Par principe, le transfert de données personnelles vers un pays extérieur à l’Union Européenne est prohibé par une directive européenne 95-46.

Or les services informatiques en nuage sont très souvent proposés par des entreprises américaines, et la législation applicable aux Etats-Unis n’est pas reconnue comme assurant une protection adéquate.

La deuxième question concerne la sécurité des données, laquelle devrait également faire l’objet d’une clause contractuelle spécifique.

L’article 34 de la loi du 6 janvier 1978 oblige en effet le responsable du traitement à prendre toutes précautions utiles au regard de la nature des données et des risques présentés par le traitement pour préserver la sécurité des données, empêcher qu’elles soient déformées, endommagées ou que des tiers y aient accès.

La difficulté ici tient au fait que bien souvent il pourra être fait appel à un sous-traitant.

Là encore, l’épouvantail est américain, en effet, si le service informatique est fourni par un opérateur américain, le Patriot Act voté après les attentats du 11 septembre, donne la possibilité au gouvernement, dans le cadre d’une enquête anti-terroriste, de consulter toutes les données stockées sur les serveurs d’une entreprise.

Cette prérogative lui est attribuée même si les informations se trouvent hors du territoire américain et ses transmissions s’opèrent à l’insu des personnes dont les données sont ainsi interceptées.

Pour toutes ces raisons, la France a engagé des investissements au niveau de l’Etat pour créer une offre de Cloud français.

II – LE CLOUD A LA FRANÇAISE

A) Le projet andromede : cloud watt et numergie

La genèse du projet de Cloud à la française, baptisée dans un premier temps Andromède, remonte à 2009. Il a été initié par le gouvernement de FILLON dans le cadre du grand emprunt.

François FILLON avait en effet déclaré à l’époque : « Il faut absolument être capable de développer une alternative française et européenne dans le domaine du Cloud Computing. Il s’agit en effet de préserver la souveraineté des entreprises françaises en assurant leur hébergement sur le territoire national dans des infrastructures établies en France. L’enjeu est également économique. Le marché du Cloud Computing est en pleine expansion. »

Le gouvernement actuel a repris cette politique en la justifiant par les possibilités de création d’emplois non négligeables dans le secteur.

De nombreuses offres sont en effet déjà proposées par des groupes américains comme le groupe Amazon, Google, Microsoft, IBM, mais on l’a vu plus haut, la difficulté avec ces groupes américains, ils sont soumis au Patriot Act qui oblige les hébergeurs de données américains à fournir aux autorités américaines, si elles le demandent, les informations stockées dans leurs serveurs.

Le projet Andromède a finalement débouché en cette fin d’année 2012, sur la création de deux nouvelles sociétés soutenues par l’Etat à hauteur de 150 M€ au total.

Numergie, soutenue par SFR et Bull et Cloud Watt, issue de l’association d’Orange et de Thalès. Tous deux ont reçu le soutien de l’Etat, la Caisse des Dépôts ayant injecté 75 M€ dans chaque structure.

Ces entités auront pour avantage de respecter les futures normes européennes sur le sujet et les recommandations de la CNIL.

Toutefois la politique du gouvernement encourageant et finançant les grands groupes est critiquée par des sociétés privées nettement plus petites qui essayent de se développer sur ce terrain, sans aides publiques, et qui dénoncent une situation anticoncurrentielle.

B) Les solutions juridiques et techniques

Les pistes européennes :

L’Union européenne va soumettre au vote en 2013, une proposition de règlement sur la protection des données personnelles qui vise, notamment, le régime de responsabilité des prestataires de Cloud Computing.
Toutes les entreprises visées auraient seulement deux ans pour se mettre en conformité avec le texte une fois voté et risquerait des amendes jusqu’à 1 M€ ou 2 % de leur chiffre d’affaires mondial en cas de manquement à leurs nouvelles obligations.

Quelles seraient-elles ?

- Le droit à l’oubli : les internautes pourraient demander l’effacement de leurs données à partir du moment où il n’existe pas de motif légitime pour les conserver (recherches historiques, scientifiques, santé publique etc.). L’entreprise concernée, par exemple Facebook, se devrait d’informer les tiers qui traitent les mêmes données, de cette demande de suppression, afin d’effacer tout lien vers ces données ou les copies ou reproductions qui en auront été faites.

- Le consentement préalable obligatoire : en opt in, c’est-à-dire que l’utilisateur doit donner expressément son consentement et non décocher une case pour interdire d’utiliser ses données ce qui n’est pas sans poser des problèmes, notamment pour les annuaires !

- L’information sur la sécurité : La proposition de règlement précise que les feuilles de sécurité doivent être notifiées par le prestataire dans les 24 heures après en avoir pris connaissance auprès de la CNIL, mais aussi auprès de la personne dont les données ont été affectées.

- Le droit à la portabilité des données : Il s’agit de permettre au consommateur de demander sous un format structuré et compréhensible une copie de toutes les données.

En France, Les recommandations de la CNIL :

La CNIL a pris de nombreuses recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud Computing et notamment fait une liste des clauses qui devraient être présentes dans un contrat de Cloud Computing digne de ce nom.

Les recommandations :

- Identifier les données et les traitements qui passeront dans le cloud ; 
 - définir ses propres exigences de sécurité technique et juridique ;
- conduire une analyse des risques afin d’identifier les mesures de sécurités essentielles, revoir la politique de sécurité interne ;
- identifier le cloud pertinent pour le traitement envisagé ;
- choisir un prestataire présentant des garanties suffisantes.

Techniquement, Microsoft a déjà pris des mesures permettant le stockage des données, dans le pays du client, de son service informatique en nuage. Cela ne fait pas disparaitre pour autant la menace que représente la mise en œuvre du Patriot Act.

Enfin, on a vu que la France avait décidé d’investir de manière importante dans le cloud à la française garantissant ainsi l’hébergement des données sur le territoire français.

La notion de « privacy by design » :

Les Canadiens ont développé une réflexion autour de la notion de ce que l’on appelle « privacy by design » qui se traduit par « une prise en compte de la vie privée dès la conception ».

On retrouve une manifestation de ce concept de « privacy by design » dans la directive européenne n°95-46 CE :

« La protection des droits ou liberté des personnes concernées à l’égard du traitement de données à caractère personnels exige que les mesures techniques et l’organisation appropriées soient prises tant au moment de la conception qu’à celui de la mise en œuvre du traitement. »

En France, la notion de « privacy by design » a été reprise par les députés Patrick BLOCHE et Patrice VERCHÈRE dans un rapport datant de 2011, consacré aux droits de l’individu dans la révolution numérique.
Pour les députés français, il faut que les autorités administratives nationales et européennes en charge de la protection des données personnelles, des réseaux et des communications électroniques travaillent de concert avec les acteurs de l’industrie numérique.

CONCLUSION

Pourquoi le cloud est-il si important ? Pourquoi est-ce si important de recourir à un cloud français et/ou européen ?

Il s’agit d’un secteur en forte croissance, lieu d’un foisonnement de start-ups innovantes, qui traverse tous les secteurs de l’économie.

Grâce au cloud les entreprises petites ou moyennes ont accès à des logiciels et à une puissance informatique auparavant réservée aux grandes entreprises.

L’épouvantail américain et la peur du patriot act est-il justifié ?

On sait avec l’affaire du général Petraeus que le FBI a, avec ses propres moyens techniques, retrouvé l’identité de l’auteur des courriels anonymes adressés à l’une des protagonistes sans avoir besoin de recourir au Patriot act. Dans un second temps, il a transmis ses réquisitions, officiellement, à Google qui lui a remis les informations relatives au compte gmail du corbeau.

Google, depuis 6 ans, publie un rapport intitulé « Transparency report de Google » relatif à la surveillance des Etats.

Il apparaît que la surveillance des Etats est en hausse et que la France intervient à la 4ème place des Etats recourant à la surveillance auprès de Google, juste après les Etats-Unis, l’Inde et le Brésil.

L’examen de l’offre de Cloud Pro d’Orange business, confirme les craintes : nul ne peut dire à la lecture des conditions contractuelles de cette offre où se trouvent les serveurs utilisés par Orange…

Mieux, on trouve cette disposition savoureuse :

« Article 8 – Modes et conseils d’utilisation du service : Il appartient au client de prendre toutes les mesures appropriées pour protéger ses données, …de mettre en place des systèmes de sauvegarde de ses propres données et de procéder aux sauvegardes régulières de ces dernières »…

S’il est recommandé de sauvegarder ses données de manière tout à fait traditionnelle, par l’opérateur, ce qui va donc changer véritablement, dans l’immédiat, avec le cloud, c’est la mobilité qu’il permet et l’accès dématérialisé – via internet - aux données d’une entreprise.

Pour ce qui concerne la sécurité, on l’aura compris, pour l’instant, rien n’est garanti, que le cloud soit américain ou bien français...

P.-S.

Sources Bibliographiques :

- Article du 4 septembre 2012 du Point intitulé « avec le numérique, rien ne vous appartient ou comment une fausse information d’un journal anglais met en lumière le vrai problème du droit de propriété des musiques et livres électroniques » par Vincent Coquaz ;

- Article du Point du 8 août 2012 intitulé « Cloud Computing : à quand la transparence ? » par Marc Le Plongeon ;

- Article de Madame Carine BERNAULT, Maître de conférence à Nantes : « Informatique en nuage et données personnelles : Quand l’informatique est dans les nuages, les données personnelles s’envolent » RLDI 201278 ;

- Article du Figaro du 5 septembre 2012 intitulé : « La solution avec le Cloud à la française émerge avec SFR et Bull », par Marc Cherki ;

- Article de ZDNet.fr : « Cloud Computing : Flore Pellerin justifie la politique du gouvernement ».

- Article des Echos du 7 septembre 2012 : « Le Cloud Computing prend un nouveau virage en France », par Romain Gueugnon ;

- Article de l’Expansion du 11 octobre 2012 : "Vie privée sur internet : le projet de Bruxelles qui fait peur aux Entreprises", par Raphaëlle Karayan ;

- Article de Maitres Blandine POIDEVIN et Audrey ARBUSA, Avocats : "Les enjeux contractuels du Cloud computing" in Communication commerce électronique n°2 Février 2011, alerte 12, Lexisnexis ;

- Article de Maîtres Emmanuel SORDET et Richard MILCHIOR, Avocats : "Le Cloud computing, un objet juridique non identifié", in Communication Commerce électronique n°11, novembre 2011, étude 20, Lexisnexis ;

- Article de Maître Aurélie Dantzikian Franchon, Avocat : Quelque recommandations pour les entreprises qui envisagent de souscrire à des services de cloud comptine, Village de la justice, 23 novembre 2012 ;

- Article du Monde du 8 novembre 2012, "Le cloud à la française sous le feu des critiques, par Guénaël Pepin ;

- Article de Zdnet du 14 novembre 2012 :"La France, 4è pays du monde à demander à Google des renseignements sur ses internautes"

- Article du Monde du 14 novembre 2012 de Corine Lesnes "Jill Kelley "une mondaine désoeuvrée" au coeur du scandale" ;

- Article des échos du 16 novembre 2012 "Plaidoyer pour un cloud comptine made in France", par Henry-Michel Rozemblum.

- Les recommandations de la cnil.

Suivre la vie du site RSS 2.0 | | Plan du site
Avocats paris - Droit d'auteur, droit des marques et de la création d'entreprise
Avocats paris - Droits d'auteur, droit des marques, droit à l'Image et vie privée