Publications | Fiches point de vue

 

Cloud Computing : aspects juridiques de l'informatique dans les nuages

Déjà lancés par un certain nombre d’entreprises et de prestataires dont Amazon et Google, les services de cloud computing ou « informatique dans les nuages » pourraient bien révolutionner l’informatique des entreprises. Ce concept, apparu récemment et qui permet désormais d’externaliser l’utilisation de la mémoire ainsi que les capacités de calcul d'ordinateurs et de serveurs répartis dans le monde entier, permet en effet aux entreprises de disposer d’une formidable puissance informatique s’adaptant de surcroît à la demande. Mais si le cloud computing présente de nombreux avantages, comme toute nouvelle avancée technologique, celle-ci comporte également un certain nombre de risques dont il convient de se prémunir dans le cadre d’un contrat adapté.

1. Qu’est-ce que le cloud computing et sur quel modèle ce service est-il construit ?

Le cloud computing est un concept récent permettant d’utiliser de la mémoire et des capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier et liés par un réseau tel Internet. Le cloud computing permet ainsi de disposer, à la demande, de capacités de stockage et de puissance informatique sans disposer matériellement de l’infrastructure correspondante.

Dans le cadre des services de cloud computing, l’infrastructure du fournisseur est ainsi totalement autonome et déconnectée de celle du client, ce qui permet à ce dernier de s’affranchir de tout investissement préalable (homme ou machine). L’accès aux données et aux applications peut ainsi se faire à partir de n’importe quel périphérique connecté, le plus souvent au moyen d'un simple navigateur Internet.

Les catégories de cloud computing

Plus précisément, il existe des cloud computing publics qui constituent des services partagés auxquels toute personne peut accéder à l’aide d’une connexion Internet et d’une carte de paiement, sur une base d'utilisation sans abonnement. Ce sont donc des infrastructures virtualisées que se partagent plusieurs utilisateurs. Elles sont facilement accessibles et gérées depuis un portail en self-service.

Les clouds privés (ou d'entreprise) tendent à reprendre le même modèle de distribution des cloud computing publics. Néanmoins, les cloud computing privés sont, à la différence des cloud computing publics, détenus et gérés de manière privée, l’accès pouvant être limité à une seule entreprise ou à une partie de celle-ci. Les cloud computing privés peuvent ainsi apparaître comme plus sûrs en termes de sécurité, de stabilité, de confidentialité et de persistance des données.

Existent également des cloud computing communautaires, voire hybrides.

Le cloud computing constitue donc globalement une nouvelle forme d’informatique à la demande, à géométrie variable, que l’on pourrait classer d’un point de vue juridique, au croisement des services d’externalisation et des services ASP et SaaS.

Les services d’externalisation (ou « outsourcing ») consistent en effet à confier la totalité d’une fonction ou d’un service à un prestataire externe spécialisé, pour une durée pluriannuelle. Il s’agit là de services complets accompagnés d’engagements particulièrement élaborés en termes de niveaux de services. Grâce à de tels contrats, le client peut s’exonérer des contraintes que la gestion et la maintenance d’un système informatique impliquent, et se concentrer sur son « cœur de métier », les prestations réalisées pouvant être très variées (assistance, maintenance, hébergement, etc.).

Les services « ASP » (pour « Application Service Provider »), que l’on peut traduire en français par « FAH » (pour « Fourniture d’Applications Hébergées »), dérivent des contrats d’outsourcing. D’origine américaine, les contrats ASP ont pu voir le jour grâce au développement d’Internet qui a donné la possibilité d’utiliser des applications informatiques à distance. Là est la véritable particularité des contrats ASP. En effet, dans les contrats d’outsourcing « classiques », le client détient directement le droit d’usage sur les logiciels, et transfère les moyens matériels et/ou humains au prestataire. Dans les contrats ASP, le client ne fait que louer un droit d’accès et d’utilisation du système informatique auprès du prestataire, qui lui-même s’est fait concéder le droit d’usage par un éditeur. Le client dispose d’un accès à distance à des applications sur un serveur extérieur, ce qui le dispense d’acquérir lui-même une infrastructure informatique, des licences d’utilisation de progiciels et de faire appel à différents prestataires pour faire fonctionner l’ensemble.

Les services SaaS (pour « Software As A Service ») sont quant à eux des dérivés des contrats ASP dont ils constituent une forme particulière plus aboutie et donc moins standardisée. L’offre SaaS, tout comme celle d’ASP, consiste en effet principalement à externaliser le système informatique du client, auquel celui-ci à accès à distance. La différence est qu’en mode SaaS, le client bénéficie d’une personnalisation des applications, auxquelles il a accès exclusivement par Internet. Ces applications sont offertes de façon mutualisée au profit d’autres entreprises, mais chacune peut en bénéficier sous forme personnalisée et parfaitement adaptée à ses besoins et aux programmes qu’elle utilise déjà.

S’inspirant de ces trois types de services, le cloud computing constitue donc un service mutualisé et virtualisé, dont le coût varie uniquement en fonction de l'utilisation effective, qu’il conviendra d'encadrer spécifiquement sur un plan juridique.

2. Quels sont les avantages du cloud computing ?

Le cloud computing offre la possibilité d’étendre le système d’information d’une entreprise à la simple demande de celle-ci, en fonction de l'utilisation attendue (pics d'activité, pics de fréquentation, etc.).

Les services fournis dans le cadre du cloud computing sont vastes. L'entreprise peut notamment bénéficier d'une capacité de traitement de l'information (sans acquérir des ordinateurs et ressources nécessaires), d'infrastructures informatiques (de type réseaux), de capacités de stockage et d'archivage (sans avoir à se doter de serveurs spécifiques) mais aussi d'applications informatiques, de type CRM ou autres (sans avoir à acquérir les licences correspondantes).

Le cloud computing permet ainsi, sans investissement majeur en termes d’infrastructure et de dépenses en capitaux, de bénéficier d’un service à moindre coût fondé sur la consommation, de type "pay-per-use", et par suite d’optimiser la gestion des coûts d’une entreprise, les dépenses liées au cloud computing devenant des dépenses opérationnelles.

Dès lors, le prix d’un tel service est calculé en fonction de la consommation effective d’une entreprise, tout comme pour l’utilisation du gaz ou de l’électricité. L’entreprise achète en quelque sorte la possibilité d’utiliser de la puissance informatique sur demande, la mutualisation du matériel permettant d’optimiser les coûts par rapport aux services rendus qui seront en outre évolutifs.

Au-delà du service en lui-même, les avantages non négligeables du cloud computing, résident ensuite d’une part dans la simplicité et la rapidité de mise en œuvre dudit service, et d’autre part dans la grande flexibilité liée à l’offre sur demande que celui-ci permet. Le cloud computing peut en effet être utilisé pour tester rapidement un prototype ou pour assurer un service informatique ponctuel sur une courte durée.

Il convient enfin de noter que techniquement, il est possible de mettre n’importe quelle application dans un cloud computing. Néanmoins, les usages principaux des cloud computing concerneront essentiellement le management lié aux nouvelles technologies, la collaboration, les applications personnelles ou d’entreprise, le développement ou le déploiement des applications et enfin les capacités serveurs et de stockage.

3. Quels sont les risques juridiques liés à l'utilisation du cloud computing ?

Sécurité et sécurisation des données :

La mise en place de services de cloud computing comporte des risques au regard de la sécurité et de sécurisation des données. En effet, l’accès aux données et aux applications est réalisé entre le client et la multiplicité des serveurs distants. Ce risque se trouve donc amplifié par la mutualisation des serveurs et par la délocalisation de ceux-ci. L'accès aux services induira donc des connexions sécurisées et une authentification des utilisateurs. Se posera alors le problème de la gestion des identifiants et des responsabilités y relatives (accès non autorisé, perte ou vol d'identifiants, niveau d'habilitation, démission ou licenciement, etc.).

Perte de données :

Pour les mêmes raisons, il existe également un risque de perte de données qu’il conviendra de prendre en considération, d’évaluer et d’anticiper dans le cadre de procédures de sauvegarde adaptées (stockage dans des espaces privés, en local, en environnement public, etc.).

Confidentialité des données :

De même, la mise en place de services de cloud computing comporte également des risques au regard de la confidentialité des données. En effet, au vu du nombre de serveurs et de la délocalisation de ceux-ci, il existe un risque réel de fuite voire d'atteinte à l'intégrité des données.

Continuité de service :

Sur un plan purement pratique, il existe de même des risques au regard de la continuité du service. En effet, si les investissements en machines et en logiciels spécifiques peuvent permettre à une entreprise d’assurer un minimum l’avenir de son infrastructure informatique, le cloud computing peut comporter des risques au niveau de la pérennité du fournisseur de cloud computing, ce qu’il conviendra également d’anticiper et de contractualiser. La liberté induite par le cloud computing ne doit pas en effet aboutir à une dépendance totale de l'entreprise vis-à-vis du fournisseur de ce service.

Qualité de service :

En outre, la réalisation des services de cloud computing étant assurée par un prestataire externe, celle-ci comporte, comme pour tout projet externalisé, des risques au regard de la qualité de service obtenue, et de la propriété et de l'intégrité des données et/ou applications confiées, risques qu’il conviendra donc de prévoir contractuellement.

Outils de mesure d'utilisation des services :

De plus, la mise en place de services de cloud computing peut parfois s’avérer onéreuse. Il existe en effet des risques financiers liés aux outils de contrôle mis en place pour l’évaluation de la consommation des services (et de la facturation correspondante). Il conviendra ainsi d’être particulièrement vigilant au regard des outils de mesure d'utilisation des services (unité de mesure du stockage, de la bande passante, des ressources informatiques utilisées, du nombre d'utilisateurs actifs, etc.) ce afin que la mise en place de service de cloud computing demeure contrôlable et avantageuse pour l’entreprise concernée.

Données personnelles :

Enfin, la mise en place de services de cloud computing fait naître pour l’entreprise qui choisit de mettre en place de tels services, un certain nombre de risques au regard des données personnelles et des formalités imposées par la CNIL. Ces risques sont aggravés en cas de transfert de données hors de l’Union Européenne (UE). La rédaction de contrats de cloud computing devra donc également prendre en considération les problématiques liées aux données personnelles dans le respect des textes en vigueur.

4. Quels sont les précautions juridiques nécessaires à la rédaction d’un contrat de cloud computing côté client ?

Convention de niveau de services / SLA :

Pour pallier les risques précédemment évoqués, il conviendra d’un point de vue général de mettre en place, comme dans le cadre de tout projet d’externalisation, une convention de niveau de service permettant au client d’obtenir du prestataire une qualité de service convenue contractuellement. Cette convention, également appelée « SLA » (pour « Service Level Agreement ») pourra notamment traiter des critères attendus relatifs à la bande passante, tout l’intérêt du cloud computing disparaissant en cas de bande passante de mauvaise qualité. Par ailleurs, le SLA pourra également comporter des indications quant aux attentes du client relativement à la réalisation des obligations du prestataire et notamment instaurer un système de malus ou de pénalités en cas de non respect du SLA.

Plan de réversibilité :

Par ailleurs, pour assurer une pérennité des services de cloud computing, il s'avère primordial de contractualiser un plan de réversibilité permettant d’assurer une transférabilité des services à d’autres prestataires. Au sein de ce plan, il conviendra de prévoir les facteurs déclencheurs de cette réversibilité (carence du prestataire ? libre choix du client après un certain nombre d’années ?), les conditions de cette réversibilité (simple discontinuité du service ? arrêt total du service ?) et enfin le coût de celle-ci.

Perte de données :

Pour pallier la perte de données, il sera préconisé de prévoir la réplication de celles-ci sur plusieurs sites distants ou l’engagement de résultat de restauration des données dans des délais contractuels définis, la réplication des données seule permettant d’assurer le client de la récupération des données.

Intégrité et confidentialité des données

Pour ce qui est de l'intégrité et de la confidentialité des données, il pourra être conseillé de convenir avec le fournisseur que celui-ci accepte contractuellement de se soumettre régulièrement à des audits externes. Par ailleurs, il conviendra de s’assurer de la bonne rédaction de la clause de responsabilité du contrat, et encadrer tout particulièrement la traçabilité, l’accès frauduleux, l'atteinte à l'intégrité, voire la perte de données sensibles. En ce qui concerne plus particulièrement les données sensibles que sont les données personnelles, le client pourra exiger que celles-ci restent localisées sur des serveurs exclusivement situés dans l’UE et prévoir les moyens de contrôle de cette obligation. Le client s’exonérera ainsi d’un ensemble de formalités CNIL liées au transfert de données personnelles en dehors de l’UE.

Outils de mesure :

Enfin, afin que l’utilisation de services de cloud computing demeure financièrement attractive, il conviendra pour ces entreprises d’être particulièrement vigilantes quand au choix des outils de mesure de consommation des services de cloud computing.


En conclusion : Le cloud computing constitue un nouvel modèle d'intégration de services informatiques, utilisables à la demande via Internet, reposant sur l'hébergement et l'accès à distance d'applications et/ou données dans un environnement partagé. Attractif pour les entreprises, le cloud computing reste complexe à maitriser compte tenu de la disparité des fournisseurs de services sous-jacents. Il conviendra par conséquent pour les entreprises de mettre en place de tels outils dans un cadre contractuel adapté. L’encadrement juridique est en effet primordial en particulier en ce qui concerne les avancées technologiques. Dans le même esprit de prévention des risques juridiques, il pourra être conseillé de commencer par mettre en place des services de cloud computing pour les applications les moins sensibles de l’entreprise, en particulier en présence de données personnelles qui constituent des données particulièrement sensibles et à l’utilisation contrôlée.



- Fiche point de vue : novembre 2009 -

© Mascré Heguy Associés - novembre 2009

 

Voir nos autres fiches point de vue consacrées au droit de l'informatique et au droit des nouvelles technologies de l'information

 

 

Mascré Heguy associés

Mascré Heguy Associés

27/29 rue Raffet

75016 PARIS

Tél: (33-1) 42.56.08.80

Fax: (33-1) 42.56.08.82