Me Matthieu Mélin, fondateur du cabinet Astura et spécialiste IP/IT, présente une analyse synthétique du droit positif applicable au cloud computing.
Fondateur du cabinet Astura, Matthieu Mélin intervient principalement dans les domaines du droit de la Propriété Intellectuelle, des Technologies de l’Information, des Données Personnelles et des Contrats Commerciaux. Il enseigne au sein du certificat d’études spécialisées en propriété intellectuelle de l’Université de Montpellier.
Qu’est-ce que le cloud computing ?
Ce sont des services informatiques qui sont fournis à distance par des serveurs liés en réseau et auxquels on peut accéder par Internet.
Quels sont les avantages et les risques associés à l’utilisation d’un cloud ?
Au niveau des avantages, le cloud permet d’abord de faire des économies, car il rend possible une mutualisation de ressources entre plusieurs clients. Là où chacun avait dans son coin ses propres serveurs avec ses propres applications, avec un cloud, il est possible de mutualiser les serveurs chez un fournisseur de service, ce qui entraîne des économies relativement importantes.
Le deuxième avantage, c'est une très grande souplesse d'utilisation. Au lieu d’être confronté à la nécessité de prévoir en interne des ressources informatiques et des serveurs suffisants pour satisfaire les pics d'utilisation (alors que ces ressources ne sont pas utilisées la plupart du temps), avec le cloud computing je vais pouvoir ajuster mon usage à mon besoin réel et par conséquent ajuster également mes ressources et mes dépenses à mon besoin réel.
Le troisième avantage est un avantage en termes de sécurité. Je vais aller regrouper mes applications auprès d'un fournisseur qui lui-même fait face à un certain nombre de contraintes de sécurité et à des attaques régulières. Il doit donc maintenir sa plateforme à l'état de l'art, de manière à sécuriser ses données.
Le cloud permet donc de bénéficier d’un niveau de sécurité plus élevé que lorsque l’on héberge ses applications et ses données en interne.
Néanmoins, toute pièce a son revers et le cloud présente également des inconvénients.
Le premier inconvénient est la sécurité. Comme je l’ai expliqué, le niveau de sécurité des fournisseurs de service cloud est élevé. Néanmoins, ils font l’objet d’attaques beaucoup plus fréquentes de sorte que les risques en termes de sécurité sont accrus.
De plus, les données transitent sur le réseau Internet. Certes, les flux sont cryptés et un certain nombre de mesures de sécurité sont mises en place. Néanmoins, c’est une contrainte en termes de sécurité plus importante qui constitue donc un inconvénient.
Il existe un deuxième inconvénient pour les entreprises en particulier : il s’agit de la perte de contrôle. En effet, lorsque j’héberge en interne, j'ai le contrôle de mon infrastructure informatique, de mes applications et de mes données. En revanche, le recours à un fournisseur cloud implique de confier ce contrôle à un tiers, c’est pourquoi il y a une perte de contrôle.
En lien avec cette perte de contrôle, il y a un risque un peu plus global en termes de souveraineté sur les données. Ce risque est lié au fait qu’un certain nombre d’États veulent pouvoir accéder aux données qui sont hébergées sur les services cloud. Le plus connu d'entre eux est le CLOUD Act américain, mais ce n’est pas le seul. De nombreux pays ont mis en place, soit des législations, soit des pratiques pour leur permettre d'accéder aux données hébergées sur les services cloud.
Le dernier risque est celui de la réversibilité. Lorsqu’on veut récupérer ses données, ses applications et ses services pour les faire migrer vers un autre service ou les réinternaliser, il peut y avoir des difficultés puisqu’il faut récupérer ces données hébergées par un tiers. Il faut remonter une infrastructure informatique ou des services informatiques et faire migrer cela sur l’infrastructure de quelqu’un d’autre qui n’est pas forcément compatible.
LIRE AUSSI >> Transferts de données : quelles protections pour les Européens ?
Que prévoit le RGPD pour se prémunir contre ces risques ?
Le RGPD appréhende en partie les problématiques du cloud. Je dis en partie, car le RGPD (Réglement général pour la protection des données personnelles), comme son nom l'indique, se concentre sur la protection des données personnelles. Il porte sur les problématiques des personnes physiques, et non pas sur les problématiques des entreprises.
Ainsi, le RGPD protège les personnes physiques contre le détournement de leurs données personnelles. Pour cela, il met en place un certain nombre de principes, dont le premier est le principe de transparence : les fournisseurs de cloud et les entreprises qui utilisent ces fournisseurs doivent informer les personnes physiques de l’usage qui va être fait de leurs données personnelles. Avec cette information, peut venir - mais pas toujours - un principe de consentement. Vous le voyez notamment avec les cookies par exemple : il faut maintenant cliquer partout pour dire oui. Est-ce qu’il s’agit d’une véritable protection, on peut en débattre, mais il s’agit de la mise en œuvre du principe de transparence, en lien avec le principe de consentement.
Le deuxième principe est le principe de limitation des traitements : l’idée est que les fournisseurs de services cloud traitent vos données personnelles, mais ce traitement est limité à l'usage qui a fait l’objet d’une information. En vertu de ce principe, on ne peut pas utiliser les données personnelles pour autre chose.
Il y a également un principe de sécurité, en vertu duquel les entreprises doivent sécuriser les traitements de données de manière à éviter les fuites de données, à éviter les atteintes. De plus, en cas de fuites de données ou d’atteintes de données personnelles, il y a une obligation d'information des autorités protection (la CNIL) et dans certains cas des personnes concernées, notamment lorsque les fuites de données présentent un risque : par exemple, un vol de données de carte bancaire qui crée un risque de fraude.
Enfin, il y a un dernier principe encore peu utilisé, mais pour lequel il serait intéressant de voir comment il se portera à l’avenir : il s’agit du principe de portabilité. Il répond au besoin de réversibilité. Lorsque je suis lié avec une entreprise par un contrat, cette entreprise doit me rendre mes données personnelles pour me permettre de les transférer sur un autre service à ma demande. Ce principe de portabilité est bien connu dans le domaine des télécoms : il est possible de transférer sa ligne d'un opérateur à un autre.
L’objectif - et on verra s’il est atteint dans quelques années - est de permettre à tout un chacun de passer d'un service à un autre le plus simplement possible.
Voilà les protections offertes par le RGPD. Elles sont limitées puisqu'elles sont cantonnées à la protection des personnes physiques.
Quelles protections existent pour les entreprises ?
Les entreprises sont indirectement protégées par le RGPD. En effet, son respect impose la mise en place de mesures, notamment en termes de sécurité. Ainsi, lorsqu’une entreprise a recours à un fournisseur de cloud, elle doit vérifier que ce dernier offre des garanties suffisantes de sécurité. Le RGPD impose également aux entreprises d’intégrer un certain nombre de clauses dans leur contrat avec les fournisseurs de cloud.
Les protections propres aux entreprises sont pour l’essentiel contractuelles. C’est dans le contrat négocié avec le fournisseur de cloud que l’entreprise insère ces clauses, dont le contenu dépend de son pouvoir de négociation et de la latitude dont elle dispose.
Les contrats cloud contiennent un certain nombre de protections supplémentaires qui permettent de sécuriser la relation. Ces protections portent sur des questions telles que la disponibilité des données qui sont dans le cloud d'un tiers. Pour que ce tiers les mette à disposition, le contrat contient des clauses de disponibilité qui prévoient des niveaux de service.
Les clauses peuvent prévoir également des protections en termes d’audit, c’est-à-dire la possibilité d’aller vérifier ce qui se passe, ou l'obligation qui est faite au fournisseur de se faire auditer par un tiers afin de vérifier que la sécurité est suffisante et que ses engagements sont bien respectés.
Il faut aussi dans le contrat mettre en place des protections contractuelles en termes de réversibilité, qui sont le pendant du principe du portabilité du RGPD.
Ces clauses ont comme finalité de garder un minimum de contrôle sur ce qui se passe au niveau des services et des données qui sont confiés à ce tiers.
Les protections prévues par le RGPD sont-elles suffisantes ?
Comme on l’a vu, la protection du RGPD est limitée puisqu’elle ne concerne que les données des personnes physiques. Est-ce qu’elle est suffisante ? Il faut donner le temps aux autorités de protection des données personnelles de prendre des mesures et d’essayer de l’appliquer pour voir si le RGPD est suffisant.
Aujourd’hui, les autorités de protection des données personnelles, après avoir laissé une période d’adaptation aux entreprises, ont commencé à entrer plus en voie de répression. On a vu être prononcé un certain nombre de sanctions, en particulier de la part de la CNIL, auprès de certains fournisseurs. Ces affaires concernent surtout des réseaux sociaux, mais également des fournisseurs cloud, comme Google ou Amazon. Pour le moment, elles se concentrent sur l’application de certains principes comme le principe de transparence. L’avenir nous dira si le RGPD leur permet de faire cesser d'autres pratiques des fournisseurs cloud, en particulier sur des usages qui vont un petit peu plus loin que ce qu’on pourrait souhaiter.
Nous verrons également si le RGPD leur permet de s’opposer à ces fameuses législations étrangères qui visent à appréhender des données auprès des fournisseurs cloud. On peut en douter, mais il faut leur laisser le temps d'agir pour voir ce qu'il en sera.
Lorsque le contrat cloud présente des éléments d’extranéité, quelles sont les difficultés qui peuvent surgir ?
Lorsqu’il y a des facteurs d’extranéité, par exemple lorsque le fournisseur est situé à l’étranger ou qu’une partie du service est exécutée à l’étranger, il s’agit d’un contrat international.
Si l’entreprise est française, comme dans n’importe quel contrat international, il faut prévoir des clauses relatives au choix de la loi applicable et de la juridiction compétente.
La particularité des contrats cloud en droit international privé est double : d’une part, les fournisseurs cloud sont très souvent étrangers, c’est pourquoi la loi applicable et les juridictions compétentes sont souvent étrangères. Ainsi, s’il y a des manquements et qu’il est nécessaire de faire respecter certains droits contractuels, les actions en justice sont compliquées. D’autre part, il y a une question liée à la localisation des données : les fournisseurs sont dans le flou concernant la question de savoir si certains États peuvent venir leur enjoindre de communiquer des données : est-ce que le fait d’avoir des serveurs dans un État A permet à cet État d’appréhender les données hébergées sur ces serveurs ? Il y a plusieurs dossiers en cours sur cette question qui n’est pas résolue.
LIRE AUSSI >> Les enjeux géopolitiques du cloud computing
Docteure en droit et diplômée de l'Essec, Eloïse est rédactrice en chef du Blog Predictice.
Appelez au 
