Now Reading
5 problématiques qui agitent le Cloud – Législation (2)
0

5 problématiques qui agitent le Cloud – Législation (2)

by Laurent Hercé14 mars 2014

5-problematiques-Cloud_legislationDepuis quelques années déjà, j’observe avec attention l’inexorable avancée du phénomène Cloud computing. L’une de mes attributions étant de faire une veille médiatique constante sur ce sujet je constate que les articles et réflexion se concentrent autour de 5 grandes problématiques :

  • sécurité
  • souveraineté
  • législation
  • impact sur l’organisation
  • Big Data

Après avoir traité précédemment de la sécurité et de la souveraineté, je vais aujourd’hui aborder l’aspect de la législation du Cloud computing.

La première partie de cet article est lisible ici.

3 – Législation (partie 2)

Juridiction et localisation

Le Cloud est, quasiment par nature, délocalisé. Le terme quasiment est important, car de fait, les entreprises s’orientent de plus en plus souvent vers des solutions Cloud dont elles veulent garder une certaine maitrise. Ce qui les conduit à des solutions du type Cloud privé où Cloud hybride. Les puristes affirmeront même que l’on s’éloigne alors du Cloud « pur et dur ». Mais quel que soit le type de solution Cloud choisi, il y a 2 aspects pour lesquels la localisation et la juridiction restent prépondérantes : l’entreprise avec laquelle vous contractez, et l’emplacement où seront « stockées » vos données (et/ou applications).

En effet, dans les 2 cas, la juridiction qui prévaut n’est malheureusement pas celle du lieu d’utilisation (votre entreprise ou son environnement géographique), mais celle du siège de l’entreprise avec qui vous avez contracté, voire celle du pays où sont situés les serveurs qui hébergent vos données.

Avec les conséquences suivantes : d’une part, la législation de votre pays ou zone géographique ne vous protège pas automatiquement, d’autre part vous n’êtes pas forcément conscient des risques encourus. Il vous faut d’abord déterminer quelle législation est applicable à votre contrat et à vos données.

Attention aussi : s’il vous est assez facile de vérifier la localisation de l’entreprise avec laquelle vous contractez, c’est un peu plus compliqué pour les serveurs. Or, peu importe ce qui figure sur votre contrat : s’il existe une occurrence de vos données sur des serveurs à l’extérieur de la zone européenne, rien n’interdit à un éventuel gouvernement disposant des moyen juridiques ad-hoc (telles les fameuses loi « anti-terrorisme » américaines), de s’intéresser aux données présentes sur son territoire. D’où l’intérêt de porter un minimum d’attention à cette localisation.

Bien entendu, il est inutile d’alimenter une quelconque paranoïa : la plupart des activités, et donc 99,99% des données, n’ont aucun intérêt pour le gouvernement américain ou pour un autre. Mais, encore une fois, nous ne traitons pas ici de l’aspect « sécurité », mais de la législation.

Applicabilité des jugements et des décisions

Vous avez la chance d’avoir un contrat clair ? Vous êtes certains de la législation qui s’applique à votre contrat ? Donc vous pensez être à l’abri des écueils juridiques du Cloud… Pas si sûr.

En effet, s’il est important de pouvoir entamer une éventuelle action en justice, et d’obtenir gain de cause sous la forme d’un jugement favorable, cela pourrait bien ne vous être d’aucun utilité : Il vous faut obtenir l’exécution et l’application du jugement et des réparations.

Or, comme l’indique encore une fois Olivier ITEANU (4) : « … si le Tribunal fait injonction au prestataire de restituer les données hébergées ou s’il le condamne à des dommages et intérêts pour réparer votre préjudice, le jugement en l’état ne servira pas à exécuter la décision. Pour rendre efficace ce jugement, il faudra en passer par une nouvelle procédure judiciaire dans le pays d’établissement de votre prestataire. Cette seconde procédure judiciaire est appelée procédure d’exequatur. »

D’ailleurs, au delà même de l’exécution du jugement, un autre problème se pose, à ne pas négliger. C’est le coût nécessaire à l’application de ce jugement. Etes vous prêts à expédier une armada d’avocats et d’huissiers à l’étranger ? Pouvez-vous financièrement l’assumer ? Et quid des délais nécessaires à l’établissement de votre bonne foi ?

Les bonnes pratiques qui font toute la différence

A ce stade, vous pouvez avoir peur et vous féliciter d’avoir conservé votre vieux serveurs au second étage de vos bureaux, derrière une porte blindée. Ce serait dommage.

Ainsi que le faisait remarquer récemment un expert en Business Intelligence, il ne sert à rien de craindre les risques liés au Cloud Computing, si par ailleurs vos mots de passe sont encore inscrits sur un post-it collé sur votre moniteur, et que vous avez laissé le double des clés (y compris celui de la fameuse salle des serveurs) à la femme de ménage.

Le Cloud computing, et les solutions SaaS qui lui sont liées, apportent un tel surcroit de compétitivité et de souplesse qu’il serait hasardeux de s’en désintéresser. Les obstacles, tels que ceux cités plus haut, ne sont finalement que des piquets balisant une piste sur laquelle nous avons tout loisir de slalomer. Comment ?

L’exemple d’IBM est assez intéressant. Certes, il fait partie des leaders mondiaux du Cloud computing. Mais bon nombre de ses datacenters sont implantés sur le territoire européen et français. Donc parfaitement localisables, et même visitables. Par ailleurs, IBM s’appuie sur un réseau serré de partenaires, qui proposent ses ressources de façon beaucoup plus conviviales. C’est à dire avec la proximité, la présence commerciale et la connaissance de votre contexte géographique et métier.

De la même façon, de nombreux prestataires Cloud, français, ont choisi de construire leur propre Datacenter.

Il devient dès lors parfaitement envisageable de maitriser cette problématique juridique. D’une part en choisissant des solutions ou des hébergements dépendants à 100% de la législation française. D’autre part en étudiant point par point, et en modifiant la cas échéant, les contrats qui vous lient à vos prestataires. Contrats qui seront à coup sûr en français, et qui devraient s’avérer beaucoup plus clairs et proches de votre contexte d’utilisation.

 

à lire pour aller plus loin sur ce sujet :

(1) Que celui qui a lu le contrat client Amazon Web Service se lève

(2) Bring Your Own Device : quels sont les droits de l’employeur ?

(3) Comment les Etats-Unis légitiment la cybersurveillance mondiale (loi FISAA)

(4) Contrat Cloud computing avec un prestataire étranger

(5) Cloud computing et risques juridiques

(6) Cloud computing : la CNIL pose les bases de la conformité technico – juridique

(7) Cloud computing et protection des données personnelles

(8) Protection des données : quel rôle pour le fournisseur Cloud ?

(9) Assurabilité du Cloud computing

(10) Du Big à l’Open Data : aperçu des enjeux juridiques

(11) SaaS et législation européenne : ce qu’il faut savoir

 

{lang: 'fr'}
About The Author
Laurent Hercé
Laurent Hercé
Laurent Hercé est consultant associé pour Marketor / SaaS Guru. Il intervient dans les domaines du Cloud computing, du SaaS et des Ressources Humaines, et publie régulièrement des articles sur ces thèmes.

Vous souhaitez réagir sur cet article ?