Avocats-Publishing Avocats en propriété intellectuelle et droit des affaires à Paris et Bruxelles
6, place Saint Sulpice - 75006 Paris >>> Tél. : Tél. : 01 45 44 10 33

Droit et Internet

Le Cloud computing

un nuage d’insécurités juridiques

vendredi 1er novembre 2013

par Thomas Miconnet

Lors d’un colloque intitulé « Internet et libertés publiques » en juin 2000, Madame Elisabeth Guigou affirmait qu’« Internet doit être pour tous un espace de liberté et de sécurité, un terrain d’expression libre mais responsable ».

L’arrivé récente du cloud computing, met à mal cet espace de sécurité que doit représenter l’internet.

Le cloud computing est défini comme « un mode de traitement des données d’un client, dont l’exploitation s’effectue par l’internet, sous la forme de services fournis par un prestataire » (Avis de la Commission générale de terminologie et de néologie, JO 6 juin 2010, texte 42). Cela correspond à « une forme particulière de gérance de l’informatique, dans laquelle l’emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients » (pareil).

Les utilisateurs du cloud computing n’ont plus besoin de serveurs pour stocker leurs données. Cette tache va être confiée à un prestataire technique qui va déplacer les données vers des serveurs via internet.

Ces ressources seront accessibles (logiciels, applications, données….) directement depuis internet, après une identification du prestataire.
On distingue le cloud computing privé du cloud computing public. Dans le premier cloud computing, le client va avoir accès à ses données en libre-service, alors que pour le second, le prestataire va constituer pour le client, un espace dédié et sécurisé pour ses ressources.

Cependant quelque soit sa forme, son utilité reste la même et présente des qualités non-négligeables.

En effet, le cloud computing permet une « mise à jour en continu et automatique des applications » (SORDET ( E) et MILCHIOR ( R.) « le Cloud computing, un objet juridique non identifié ? ») .

Il aide également à réduire les coûts de stockage des données, puisqu’il permet de supprimer une partie des équipements nécessaires au stockage des données et aux frais de maintenances associés à ces équipements. Et pour finir, le Cloud computing permet d’adapter la capacité de stockage en fonction de la demande de l’entreprise.

Cependant ce service informatique dématérialisé présente des risques importants. Dans ce sens, ou l’utilisateur perd le contrôle de ses données, lesquelles pourront migrer vers d’autres pays que le pays d’origine de l’utilisateur.

Il est donc nécessaire de s’intéresser à la question de la protection des données personnelles (I), et à celle de la qualification du prestataire technique (II).

I/ La protection des données personnelles

Le caractère personnel de certaines données nécessite une surveillance toute particulière. La CNIL, dans une recommandation « pour les entreprises qui envisagent de souscrire à des services de Cloud computing », souligne que le « cloud computing soulève un certain nombre de difficultés au regard du respect de la législation relative à la protection des données personnelles ».

Cependant dans certains contrats d’adhésion, la protection et la destination de leurs données est évoquée de manière succincte.

C’est pour cela que la CNIL, dans sa recommandation, précise des attitudes à suivre pour aider les entreprises et plus particulièrement les PME « à effectuer une prise de décision éclairée lorsqu’elles envisagent d’avoir recours à des prestations de service de Cloud computing ».

Elle donne également une liste de clauses contractuelles pouvant être insérer pour permettre d’améliorer la protection du client face au prestataire technique : http://www.cnil.fr/fileadmin/images/la_cnil/actualite/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf

Un autre point important concernant la protection des données mérite d’être soulevé.

Il s’agit de l’externalisation des ressources transmises par le client.

En effet, lorsque les données sont transmises au service de cloud computing, le prestataire peut stocker celles-ci dans un pays autre que celui où le contrat a été conclu.

Par principe, le transfert de données vers un pays non membre de l’Union européenne est prohibé.

Cependant la Commission européenne autorise l’exportation des données vers les pays qui « assurent un niveau de protection adéquate » (article 25-1 de la directive n°95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et article 68, alinéa 1, de la loi du 6 janvier 1978), tel que la Suisse, Israël, l’Argentine.

Elle accepte également le transfert de ces données vers des pays qui offre des « garanties suffisantes au regard de la protection de la vie privée et des droits fondamentaux des personnes » (article 25-1 de la directive n°95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et article 68, alinéa 1, de la loi du 6 janvier 1978).

Le contrat conclu entre le client membre de l’Union européenne et l’intermédiaire technique en charge du cloud computing doit respecter les obligations de la Commission européenne.

Pour faciliter ce travail, la Commission a publiée des clauses types permettant l’extranéité des données en dehors de l’Union européenne (publication le 5 février 2010, 2010/87/UE).

Aujourd’hui, ce sont les entreprises américaines qui ont le monopole du cloud computing. Cependant l’externalisation des données personnelles aux Etats-Unis pose un problème de confidentialité. En effet, en vertu du « Patriot Act », le gouvernement américain, est habilité à accéder à toute donnée stockée sur son territoire en cas d’urgence, ou s’il juge que cela est « nécessaire pour assurer la sécurité nationale » (POIDEVIN (B.) et ARBUSA (A.) « les enjeux contractuels du Cloud computing » communication commerce electrique, n°2, février 2011.

II/ La qualification du prestataire du cloud computing

Il faut s’intéresser au responsable du traitement des données.

C’est-à-dire la personne qui aura la charge d’effectuer toutes les démarches légales, règlementaires s’agissant de la circulation des données personnelles.
L’article 3 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi du 6 août 2004 dispose que « le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou règlementaires relatives à ce traitement, la personne, l’autorité public, le service ou l’organisme qui détermine ses finalités et ses moyens », et non celui qui effectue le traitement.

En outre, dans un contrat de Cloud computing, il revient donc au client d’être responsable du traitement des données, et non à l’intermédiaire technique.

Monsieur CORDIER Gaëtan et Madame DANILUNAS Marija, avocats chez Devey et Leboeuf, qualifient ce prestataire comme « un sous-traitant des données agissant conformément aux instructions d’un responsable du traitement des données ». (CORDIER G. et DANILUNAS M. « le Cloud computing et le traitement des données personnelles : approche franco-britannique », communication commerce électronique, n°12, décembre 2009).

Cette qualification est confirmée par l’autorité belge de la protection des données. En effet dans une décision Swift du 9 décembre 2008, l’autorité a relevé qu’une société qui assurait le transfert de fonds internationaux (la société Swift) était considérée comme sous-traitant les données personnelles fournies par les établissements financiers, qualifiés quant à eux de responsables de ces données.

Cette qualité accordée au prestataire technique fournissant le service de Cloud computing accorde à celui-ci une quasi-irresponsabilité des données qu’il héberge. Il bénéficie d’une position avantageuse par rapport au cocontractant client. Et ce déséquilibre se retrouve dans les obligations contractuelles conclues entre les parties.

Pour conclure, en l’absence de toutes lois ou règlements permettant d’encadrer le cloud computing, un soin tout particulier doit être apporté à la rédaction du contrat conclu entre le client et le prestataire technique. Cet accord impose les volontés et les obligations de chaque partie en adéquation avec les recommandations fournis par la CNIL, améliorant ainsi la sécurité des données personnelles du client.

C’est cet outil contractuel, qui permettra au client de se prémunir face à « l’envol de ses données dans le nuage » (POIDEVIN (B.) et ARBUSA (A.) « Les enjeux contractuels du cloud computing », communication commerce électronique, n°2, février 2011).

Cependant, dans la plupart des contrats de cloud computing, il s’agit de contrat d’adhésion. Contrat qui impose sur la tête des clients des obligations importantes et lourdes de conséquences. Le client doit prendre conscience de ces risques et ne plus confier la signature du contrat au service de la Direction Technique et Informatique de l’entreprise, comme cela est souvent le cas, peu compétente d’un point de vue juridique.

Suivre la vie du site RSS 2.0 | | Plan du site
Avocats paris - Droit d'auteur, droit des marques et de la création d'entreprise
Avocats paris - Droits d'auteur, droit des marques, droit à l'Image et vie privée