Contraintes juridiques et légales du cloud
Introduction
Nul ne peut ignorer que la loi s’applique aussi au monde numérique. Ce dernier a d’ailleurs nécessité une pléthore de nouvelles réglementations et lois afin de protéger les individus et les entreprises. Cependant, les lois ne servent pas qu’à réglementer et à limiter ce que les individus et les entreprises peuvent faire dans le cloud ; elles contribuent également à rendre les processus plus fluides et à encourager une agilité accrue dans le domaine du numérique.
Dans de nombreux pays, certains ont réalisé qu’il est plus avantageux d’exploiter le potentiel du numérique plutôt que de s’y opposer. Comme toute technologie, elle doit être régulée, sous peine de laisser la porte ouverte à tous les abus. Si l’Europe et les États-Unis ont un cadre juridique bien établi, il n’en est pas toujours de même des pays dits émergents. La situation s’améliore dans certains endroits, mais se détériore dans d’autres, laissant des vides juridiques abyssaux. Et dans la plupart des pays, le cadre juridique est au pire inexistant, au mieux en devenir, et donc incomplet, au moment de l’écriture de ce livre.
Il est donc primordial de considérer le cloud avec un prisme juridique et législatif. Nous allons...
Souveraineté des données
La souveraineté ne laisse place à aucune ambigüité. En droit, elle se définit comme la détention de l’autorité suprême. Dans le cadre du cloud, la souveraineté désigne donc le pouvoir absolu sur nos données et nos applications.
Que la chose soit entendue dès le départ : utiliser le cloud, c’est perdre un peu de notre pouvoir et de notre autorité pour, en contrepartie, gagner en souplesse ainsi qu’en performance, et accéder à des services innovants ou financièrement et technologiquement impossibles à obtenir localement.
Imaginons que vous décidez d’externaliser votre application de gestion de la relation client (CRM). Application et données sont alors stockées sur les serveurs de votre prestataire de services. Vous confiez donc à ce dernier la gestion du matériel, des sauvegardes, de l’accès, etc. Il est clair que vous abandonnez une partie de votre pouvoir en contrepartie d’une meilleure qualité de service, par exemple, ou d’un accès universel et rapide.
Quelques mois après, votre organisation se retrouve impliquée dans un scandale financier, et les autorités judiciaires exigent l’accès aux données clients enregistrées dans la base de données de votre système de gestion de la relation client (CRM). Si le prestataire est situé dans le même pays que votre établissement principal, il va probablement fournir l’accès à vos données. Qu’en est-il si ces données sont conservées dans un autre pays ? Le parquet n’a plus sa souveraineté. Il va donc lui falloir passer par une procédure internationale plus complexe, longue et coûteuse.
Il y a cependant de fortes chances qu’il parvienne à ses fins, à moins de se trouver face à un État dans lequel le droit est flou, sans jurisprudence.
Prenons à présent le problème dans l’autre sens. Le parquet de l’autre pays lance une procédure contre votre entreprise. Si vos données sont situées dans le pays où se trouve votre principal établissement, c’est quasiment le cas de figure précédent...
Responsabilité des fournisseurs de cloud
Qu’en est-il de la responsabilité du préjudice causé en cas de fuite de données ? Quid de la responsabilité du prestataire de services ou de son client direct ? En d’autres termes, si vos données stockées chez un prestataire de services cloud par un de vos fournisseurs (par exemple, votre banque ou votre assureur) sont piratées et que cela vous porte préjudice (par exemple, une somme d’argent est détournée de votre compte), qui porte la responsabilité de vous rembourser ?
Imaginons un prestataire de services cloud hébergeant, non pas une centaine de sites marchands, mais plusieurs centaines de milliers, dont quelques milliers génèrent plusieurs millions de dollars de recettes par mois. Ce prestataire peut-il rembourser l’ensemble des pertes de revenus de ses clients en cas de défaillances, fortuites ou non ? La réponse est probablement non, à moins de le mettre en faillite automatiquement. De ce fait, l’ensemble de la profession va limiter ses responsabilités. Avant d’entrer dans les détails, prenons le problème dans l’autre sens et imaginons que les quelques milliers de boutiques en ligne sont hébergées chacune sur des infrastructures dont sont propriétaires les sociétés qui les exploitent. Si leurs sites internet étaient interrompus en raison d’une panne, vers qui se tourneraient-ils ? Le fabricant du matériel, le développeur du logiciel, ou le fournisseur de services réseau responsable de la mise en œuvre du site ? Bien que cela puisse être théoriquement possible, il est très probable que cela n’arrive pas, étant donné que le fabricant, le dévelopeur ou le prestataire réseau aura probablement inclus une clause limitant sa responsabilité dans ses conditions de service.
Regardons la réponse de certains de ces prestataires :
-
Microsoft : « Sous réserve des dispositions relatives aux Exclusions, aux Exceptions et à l’Applicabilité prévues aux paragraphes e, f et g, la responsabilité de chaque partie envers l’autre partie pour chaque Produit ou Service Professionnel fourni dans le cadre...
Confidentialité et protection des données
Protéger nos données semble normal. Votre banque vous demande, par exemple, de ne pas stocker votre carte de crédit et son code. Les données de vos clients ne doivent pas être accessibles à tous, y compris au sein de votre entreprise. La confidentialité joue un rôle important dans la protection des données, mais ce n’est pas la seule raison qui pousse à les protéger.
La protection des données est régie dans de nombreux pays - bien que beaucoup ne soient pas encore concernés - par un cadre juridique local. Citons le RGPD en Europe, avec des transpositions nationales, comme la loi Informatique et Libertés en France, ou le Data Protection Act en Grande-Bretagne. Les États-Unis sont un cas à part, dans la mesure où ils ont une approche sectorielle. À ce titre, ils garantissent la protection des données personnelles au travers du United States Privacy Act, du Safe Harbor Act et du Health Insurance Portability and Accountability Act, mais ils garantissent au gouvernement un accès en cas de menaces à la sécurité nationale grâce au PATRIOT Act (Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act). Le sujet est sensible, car les acteurs majeurs du domaine sont nord-américains.
Les cadres légaux de protection des données sont en place pour respecter les principes d’équité, de proportionnalité, d’information, de traitement et de sécurité.
Ces principes jouent un rôle essentiel pour assurer la confiance et l’intégrité dans le traitement des informations personnelles.
Équité : ce principe garantit que le traitement des données est réalisé de manière juste et transparente. Cela signifie que les individus sont informés de la manière dont leurs données sont collectées et utilisées, et que les données ne sont pas traitées d’une manière qu’ils trouveraient déraisonnable ou inattendue.
Proportionnalité : la collecte et l’utilisation des données doivent être limitées à ce qui est strictement nécessaire pour atteindre l’objectif déclaré. Cela...
Conformité et sécurité
La conformité et la gouvernance sont devenues des sujets de première importance pour les entreprises. C’est souvent la conformité qui retarde la décision de migration vers des services cloud. Il convient en effet de garantir le respect des obligations réglementaires par l’entreprise, de satisfaire aux exigences de souveraineté et de sécurité des données et de mettre en place les contrôles nécessaires à la gestion des services et des données. Il est donc primordial non seulement de traiter ces questions, mais de le faire par des processus et des procédures claires et accessibles. Nous vous proposons ici dix aspects à examiner et à mettre en œuvre pour maintenir une relative sérénité après souscription à des services cloud :
-
La réglementation applicable et l’analyse d’impact relative à la protection des données (AIPD) : le respect du RGPD est impératif, tout comme le respect d’autres lois locales pertinentes telles que l’HIPAA aux États-Unis, le PoPI Act en Afrique du Sud ou le DPA à l’île Maurice, si votre situation entre dans le cadre de ces législations. Si la collecte des données que vous faites pour vos besoins professionnels est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes concernées, il vous faudra alors faire une analyse d’impact relative à la protection des données. Consultez le site de la CNIL (https://www.cnil.fr/fr/RGPD-analyse-impact-protection-des-donnees-aipd) qui propose l’outil logiciel PIA (Privacy Impact Assessment, https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil) pour plus de détails sur cet exercice qui peut s’avérer obligatoire.
-
Sélection du fournisseur : ce thème a été évoqué au chapitre Bonnes pratiques pour l’utilisation du cloud. On évalue souvent le fournisseur par rapport à la solution technique, il convient aussi de l’évaluer sur son respect des réglementations auxquelles votre organisation est soumise.
-
Contrats de niveau de service (SLA) : les SLA sont généralement...
Propriété intellectuelle
Comme indiqué précédemment, un consensus se dégage sur la nécessité de laisser aux clients l’intégrale propriété des données stockées, il fut un temps où ce n’était pas le cas. Il y a encore quelques années, Google s’arrogeait les droits sur les données stockées sur ses services, s’autorisant à créer des œuvres à partir des données en question et à en revendiquer les droits de propriété. Cette époque est heureusement révolue, comme l’indique cet article extrait des termes de services de Google :
« Except as expressly set forth in this Agreement, this Agreement does not grant either party any rights, implied or otherwise, to the other’s content or any of the other’s intellectual property. As between the parties, Customer owns all Intellectual Property Rights in Customer Data and the Application or Project (if applicable), and Google owns all Intellectual Property Rights in the Services and Software. »
Ce qui se traduit en français par :
« Excepté comme indiqué dans cet accord, ce dernier n’accorde à aucune partie aucun droit, suggéré ou direct, sur le contenu ou la propriété intellectuelle de l’autre partie. Entre...
Contrat de service
En démarrant l’utilisation de services cloud, vous avez, implicitement ou explicitement, accepté les conditions des services en ligne que le prestataire rend généralement disponibles sur son site, ou à défaut qu’il met à votre disposition par tout autre moyen. Dans les sections précédentes de ce chapitre, nous avons vu des extraits de conditions de services en ligne de quelques fournisseurs.
Un aspect pouvant compliquer la relation entre le client et le fournisseur de services concerne la juridiction. Voici quelques exemples :
-
Microsoft. Dans le contrat client Microsoft est précisé ceci (https://www.microsoft.com/licensing/docs/customeragreement) : « Si Microsoft intente une action, le tribunal compétent sera le tribunal du pays ou de l’État où le Client a son siège social. » À l’inverse : « Si le Client intente une action en justice contre Microsoft ou l’un des Affiliés Microsoft situé à l’extérieur de l’Europe, cette action sera portée devant les tribunaux d’État ou fédéraux siégeant dans le comté de King (King County), État de Washington, États-Unis. Si le Client intente une action contre Microsoft ou l’un des Affiliés Microsoft situé en Europe, sans qu’une action soit également intentée contre Microsoft ou un Affilié Microsoft situé à l’extérieur de l’Europe, les tribunaux compétents seront ceux de la République d’Irlande. »
Pour tout client situé hors des frontières de l’Union européenne et stockant ses données sur le sol européen, l’importateur de données est Microsoft Ireland Operations Limited, et le droit communautaire (donc le RGPD) s’applique.
-
Amazon Web Services. Le contrat client AWS stipule que c’est désormais la loi du pays dans lequel l’entité AWS est située qui s’applique. Ainsi, pour AWS EMEA (Europe, Moyen-Orient, Afrique), c’est le droit du Grand-Duché du Luxembourg qui s’applique, donc à la fois le RGPD et la loi sur la protection des données du Grand-Duché...
Conclusion
Le droit est une science en elle-même, régie par des règles, une jurisprudence et des lois. Le contrat conclu entre un client et un prestataire de services ne peut pas couvrir 100 % des cas, mais doit permettre de bénéficier de services professionnels profitables pour les deux parties.
Dans ce chapitre, nous avons vu que l’abandon d’une partie de notre souveraineté se faisait au bénéfice d’un service de qualité à un coût infiniment inférieur à ce qu’il serait s’il fallait gérer l’intégralité des services nous-mêmes. C’est un subtil équilibre.
De même, en matière de protection, de sécurité et de confidentialité des données, les services cloud sont généralement supérieurs à ce qu’un client pourrait s’offrir. On a donc dans la majorité des pays des cadres juridiques qui protègent les données à caractère personnel, à la fois des clients et des prestataires, et qui en limitent l’accès.
Enfin, nous avons constaté que le droit applicable peut vite devenir un véritable casse-tête et qu’il y a fort à parier que, dans les années à venir, les États collaboreront plus entre eux afin de définir des cadres juridiques adéquats...