Cloud et risques juridiques : tout n’est pas rose au royaume du nuage Internet

Par Boris Motylewski
Consultant Orsys
Dirigeant fondateur de Verisafe, cabinet de conseil en sécurité informatique.

Depuis quelques mois, les vents sont favorables au nuage des applications consommées par Internet. De plus en plus de grands comptes, de PME et d’indépendants sont sensibles aux chants (commerciaux) des sirènes Google, Amazon et autres Microsoft. Avant de souscrire un abonnement, ces sociétés procèdent à l’évaluation des avantages techniques, financiers et fonctionnels incarnés par le Cloud Computing. Mais sont-elles sûres d’avoir analysé les risques juridiques inhérents à de tels services ?

Tout d’abord, toute entreprise exerçant sur le sol de l’Union européenne se doit d’appliquer la réglementation relative à la protection des données personnelles. En tant que dirigeant ou entrepreneur, dès lors que vous stockez les noms et les coordonnées de clients ou prospects, vous êtes pénalement responsables de leur utilisation. Au regard de la loi et des autorités de contrôle, telle que la Commission Nationale Informatique et Liberté (CNIL), vous devez tout mettre en œuvre pour empêcher toute fuite, détournement ou utilisation frauduleuse de ces données – le Code pénal a récemment été modifié pour prendre en compte de tels délits.
Par ailleurs, le droit communautaire interdit l’export des données personnelles en dehors de l’Union européenne. Or, le propre du nuage Internet est d’être sans frontières et… nébuleux… Vous ne savez pas, a priori, dans quel(s) pays se trouvent les centres de données qui stockent de telles informations. Pourtant votre responsabilité est engagée. Vous devez donc faire garantir par votre prestataire de services en ligne que ses centres informatiques se trouvent bien en Europe.

Deuxième risque potentiel : la quasi totalité des prestataires de cloud computing est représentée par des entreprises étatsuniennes. Or, la loi USA Patriot Act promulguée après les attentats du 11-septembre donne la possibilité aux différentes agences de sécurité gouvernementales (CIA, NSA, FBI) d’accéder aux données stockées par ces fournisseurs de services en ligne, en interdisant ceux-ci d’informer leurs clients d’une telle opération ! Quand bien même votre entreprise signe un contrat de droit français avec un Amazon, un Microsoft ou un Google, vous prenez potentiellement le risque d’une intrusion dans vos données des services du renseignement made in USA, sous couvert du nuage. Si votre activité est sensible à ce que l’on qualifie pudiquement « d’intelligence économique » (pour ne pas dire espionnage industriel), mieux vaut en être conscient. Et ne comptez pas sur le chiffrement pour vous prémunir, un gouvernement a le droit et les moyens de « casser » les clés utilisées.

Dernier risque potentiel, celui du droit national à appliquer en cas de litige. À nouveau, le fait que le nuage joue à saute-mouton au-dessus des frontières crée une zone de flou. Bien souvent, les applications et les données sont réparties dans des centres de données présents dans différents pays. En France, la CNIL travaille sur le sujet avec ses homologues européennes. Mais qu’en est-il au-delà de l’Europe ? La première étape de ces travaux consistera à définir précisément ce qu’est un prestataire de services en ligne, en vue de clarifier et de renforcer ses responsabilités juridiques. Avant de mettre au clair la question du droit national qui s’applique dans le cas du cloud.

Cette triple zone d’ombre du cloud explique les initiatives prises en France depuis quelques mois, tel que le projet porté par HP / SFR à destination des PME ou encore l’initiative « Andromède » qui regroupe Orange, la Caisse des dépôts et Thalès. Peut-être qu’avec un nuage « fabriqué et hébergé en France » nos entreprises seront prémunies. Mais avant cela, il est essentiel qu’elles soient informées des risques qu’elles encourent.

Formations associées :
Cloud Computing, sécurité
Cloud
 Computing, synthèse
Cloud Computing, solutions techniques
 
____________________________________________
Le blog des experts en informatique  – ORSYS Formation – Le blog informatique – www.orsys.fr


Cette entrée a été publiée dans Cloud computing, Informatique, Internet, avec comme mot(s)-clef(s) , , , , , , , , . Vous pouvez la mettre en favoris avec ce permalien.

Commentaires

5 réponses à Cloud et risques juridiques : tout n’est pas rose au royaume du nuage Internet

  1. Ping : Cloud et risques juridiques : tout n'est pas rose au royaume du ... | Métiers cadres de l'informatique | Scoop.it

  2. Lefort dit :

     » Vous devez donc faire garantir par votre prestataire de services en ligne que ses centres informatiques se trouvent bien en Europe. »

    C’est faux. Il y a des pays Européen dans lesquels il est interdit d’héberger ce genre de données et des pays non-européens comme le canada qui sont couvert par le safe-harbor.

    http://cloud.sfrbusinessteam.fr/blog/304/cloud-donnees-personnelles-que-dit-la-cnil/

  3. Autre risque émergent du Cloud, et impactant potentiellement l’image des entreprises qui y recourent: l’impact sur l’environnement.
    Greenpeace vient d’engager les 1ères actions pour sensibiliser les principaux fournisseurs (http://www.europe1.fr/International/Greenpeace-epingle-les-geants-du-Web-1045997/)
    Avant d’utiliser le Cloud, les entreprises devront donc à la fois se prémunir vis à vis des risques juridiques comme expliqué dans ce billet mais également s’assurer que leur fournisseur s’alimente en énergie propre pour ne pas voir leur image potentiellement ternie.

    • Ozili dit :

      L’impact sur l’environnement… c’est tout de même encore secondaire… Il est important de d’abord régler rapidement ces questions de flou juridique, qui peuvent poser potentiellement de graves problèmes !!!

  4. Cortegianno dit :

    Réponse à Lefort :
    Concernant sa phrase : »C’est faux. Il y a des pays Européen dans lesquels il est interdit d’héberger ce genre de données et des pays non-européens comme le canada qui sont couvert par le safe-harbor. »

    Quand on répond « c’est faux » mieux vaut se renseigner avant.
    Vous dites : « l y a des pays Européen dans lesquels il est interdit d’héberger ce genre de données »
    C’est pas ce que dit la communauté européenne (directive européenne 95/46/ce)
    ni la loi Française (voir le site de la CNIL et de l’ANSSI).

    et quand vous sites « et des pays non-européens comme le canada qui sont couvert par le safe-harbor »
    Etant donné que le safe-harbor est un accord US / CE, si le Canada est couvert par le safe-harbor alors cela veut donc dire que le canada est le 51eme état américain. Pas sur que les canadiens soit au courant de ça.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*