mercredi 19 mai 2010

Le « cloud computing », quand le droit aussi est dans les nuages

Le Cloud Computing est un sujet d’actualité. Toutes les entreprise s’interrogent aujourd’hui sur cette nouvelle offre de service. Après le SaaS (Software as a Service) et le PaaS (Platforms as a Service), le Cloud Computing (autrement appelée « informatique dans les nuages ») constitue une nouvelle forme d’externalisation.

Le Cloud Computing repose sur une offre de service dynamique et modulable qui elle-même, repose sur le fait que l’information est stockée et accessible dans n’importe quel « point » du nuage et non nécessairement sur un serveur parfaitement identifié par l’entreprise. A la différence des solutions précédentes d’externalisation, le Cloud induit une « dispersion » de l’information.

De fait, le Cloud computing de part cette spécificité, pose aujourd’hui des questions nouvelles à celles des entreprises -nombreuses-, qui s’interrogent sur le fait d’opter pour ce type de service.

La première question qui se pose, est celle de la légalité de l’opération elle-même. Non pas que le Cloud soit illégal en soit mais il n’est pas certain que toutes les données soient « cloudables ». Certaines données font en effet l’objet de protections particulières et il n’est pas certain qu’elles puissent être disséminées et traitées par un tiers, sauf à prendre des précautions particulières. On peut ainsi s’interroger sur le caractère « cloudable » ou non, des données bancaires ou des données de santé, par exemple.

Une fois traitée cette question primordiale, une autre question ne manquera pas de se poser : Quel contrat conclure et avec qui ?

Le contrat cloud de ce point de vue, n’est pas un contrat comme un autre. Certes, il s’agit d’un contrat d’externalisation et en ce sens, il comportera toutes les dispositions relatives à ce type de prestations, mais là encore, la spécificité du cloud computing impose une rédaction adaptée de chacune de ces clauses.

A titre d’exemple, la clause de « sécurité » devra nécessairement être renforcée du fait des risques particuliers liés au fait que la maîtrise technique repose essentiellement sur le prestataire et qu’il conviendra de traiter très spécifiquement les conditions d’accès aux éléments de l’entreprise. Les clauses de « garantie » elles aussi devront être renforcées car dès lors que toute l’entreprise et ses données seront externalisées, la moindre difficulté en terme d’accès aux applications ou aux données sonnera l’arrêt d’activité du client ou un fonctionnement en mode pour le moins dégradé. Une attention particulière devra être portée sur le respect des dispositions de la loi « Informatique et libertés », particulièrement dans les cas, nombreux, où les données seront hébergées sur des plate-formes ou des serveurs hors de l’Union européenne ce qui, sauf exception, nécessite une autorisation de la Cnil.

Les moindres clauses devront être revues, y compris les plus classiques comme celles de la compétence juridictionnelle et de la loi applicable, car le fait que les données soient traitées ici ou là, aux quatre coins du monde, pourraient induire, sans que le client n’en soit conscient, l’application d’un autre droit que celui naturellement applicable à l’entreprise. On peut ainsi imaginer qu'en utilisant des procédures judiciaires d’enquêtes plus souples dans tel ou tel pays, une entreprise puisse accéder aux données confidentielles de son concurrent par le seul fait que l'information soit pluri-localisée.

Le cloud computing est nécessairement une nouvelle offre de service extrêmement intéressante dans un monde d’entreprise agiles ; mais l’agilité doit être maîtrisée et il est indispensable de parfaitement apprécier les avantages, inconvénients et risques de telles opérations.

Source : Blog le Figaro.fr, par Eric Barbry le 19 mai 2010

Aucun commentaire:

Enregistrer un commentaire