2. Les risques juridiques liés à l'utilisation du cloud computing
Les principaux risques juridiques du cloud computing concernent les données (A). Il convient de s'en prémunir dans des contrats sécurisés (B).
A. La sécurité et la sécurisation des données
L'accès aux données et aux applications est réalisé entre le client et la multiplicité des serveurs distants. Leur mutualisation et la délocalisation de ceux-ci multiplie donc les risques. L'accès aux services induira donc des connexions sécurisées et une authentification des utilisateurs, induisant alors le problème de la gestion des identifiants et celui des responsabilités (accès non autorisé, perte ou vol d'identifiants, etc.).
Pour les mêmes raisons, il existe également un risque de perte de données qu'il conviendra de prendre en considération, d'évaluer et d'anticiper dans le cadre de procédures de sauvegarde adaptées (stockage dans des espaces privés, en local, en environnement public, etc.). De même, il existe également des risques au regard de la confidentialité des données (fuites), vu le nombre de serveurs et la délocalisation de ceux-ci.
De plus, il existe des risques financiers liés aux outils de contrôle servant à évaluer la consommation du cloud computing, et sa facturation. Il conviendra ainsi de définir contractuellement une unité de mesure du stockage, et des ressources informatiques utilisées.
Enfin, la mise en place de services de cloud computing fait naître pour l'entreprise un certain nombre de risques au regard des données personnelles et des formalités imposées par la CNIL. Ces risques sont aggravés en cas de transfert de données hors de l'Union Européenne (UE). La rédaction de contrats de cloud computing devra donc également prendre en considération ces problématiques.Haut du formulaire
B. Les précautions juridiques nécessaires à la rédaction d'un contrat de cloud computing
Pour pallier les risques précédemment évoqués, il conviendra de conclure une convention de niveau de service, ou « SLA » (pour « Service Level Agreement ») qui pourra comporter des indications quant aux attentes du client, au sujet de la réalisation des obligations du prestataire (malus ou pénalités).
Par ailleurs, pour assurer une pérennité des services de cloud computing, il s'avère primordial de contractualiser un plan de réversibilité permettant d'assurer le transfert des services à d'autres prestataires. Il faudra donc prévoir les facteurs déclencheurs de cette réversibilité (carence du prestataire, libre choix du client après un certain nombre d'années), et ses conditions, ainsi que son coût.
En cas de perte de données, il sera préconisé de prévoir la réplication de celles-ci sur plusieurs sites ou l'obligation de résultat de restauration des données dans des délais contractuels définis.
Par ailleurs, le contrat prendra soin de préciser que l'ensemble des traitements ne seront opérés par l'hébergeur que sur instructions et contrôle des utilisateurs, c'est-à-dire sans prise d'initiative sans instructions expresses des utilisateurs considérés comme responsables de traitements.
Enfin, pour ce qui est de l'intégrité et de la confidentialité des données, il pourra être prévu une clause d'audits externes, ainsi qu'une clause de responsabilité dont il faudra s'assurer de la rigueur, pour encadrer tout particulièrement la traçabilité, l'accès frauduleux, l'atteinte à l'intégrité, voire la perte de données sensibles.
En ce qui concerne plus particulièrement les données personnelles, le client pourra exiger que celles-ci restent localisées sur des serveurs exclusivement situés dans l'UE. Le client s'exonérera ainsi d'un ensemble de formalités CNIL liées au transfert de données personnelles en dehors de l'UE.
Le cloud computing reste complexe. C'est pourquoi un cadre contractuel adapté est nécessaire pour prévenir les risques liés à ce service, qui, d'ici 2020, permettra aux entreprises de faire migrer l'essentiel de leurs applications dans les « nuages ».
Murielle Cahen,
Mai 2010
