Connexion

Le cloud a 20 ans : au-delà de la révolution, un pilier de l’informatique

Par Nicolas Bodin, head of legal de la société Shadow, membre de l’AFJE

À l’heure où le monde a les yeux rivés sur le développement spectaculaire des intelligences artificielles, le cloud entame un nouveau cycle d’évolution. Il n’y a pas si longtemps, de nombreuses entreprises se demandaient encore si le passage au cloud était souhaitable pour leur activité. Pourtant, aujourd’hui on peut l’affirmer, la question n’est plus de savoir s’il faut passer à la technologie du cloud, mais « comment ».

Pour rappel, le cloud computing est une technologie de mutualisation et de décentralisation des ressources informatiques, auxquelles il est possible d’accéder via un protocole normalisé (Internet). En bref, grâce au cloud computing, la ressource informatique est livrée comme un service à travers un réseau, en quantité ajustable. Logiciels complets ou pures ressources de calcul informatique (i.e le « compute »), il existe une multitude de contrats clouds différents (IaaS, SaaS, PaaS, NaaS, DaaS…). Que ce soit dans la vie privée ou la vie professionnelle, on retrouve d’ailleurs ces technologies absolument partout au quotidien. Ce qui conduit à un premier constat : au-delà d’une spécialité, le cloud computing est aujourd’hui une technologie qui doit être appréhendée par tout juriste. Oserait-on même avancer que désormais, les contrats cloud sont les contrats informatiques de référence ? Comment appréhender ces contrats ?

Utiliser le cloud c’est délocaliser ses ressources informatiques et les confier à un tiers, c’est donc ce prisme qui doit aider le juriste à comprendre les enjeux et risques spécifiques et qui doit être au coeur de son analyse. Au-delà de la rédaction stricto sensu, les aspects précontractuels sont clés. Il sera donc intéressant de s’interroger sur la fiabilité du prestataire envisagé. On peut par exemple citer le CISPE (« Cloud Infrastructure Services Providers in Europe ») ; l’adhésion du fournisseur de IaaS à ce code est donc un signal de compliance rassurant. De même, si le juriste n’est pas un technicien, il se doit de comprendre le niveau de services proposé par le prestataire dans son contrat (le « Service Level Agreement »). C’est essentiel en ce sens que ce niveau de service est le reflet de la confiance du prestataire dans son service et de la disponibilité qu’il garantit. Pourtant si le cloud est un moyen, c’est bel et bien la donnée, la fameuse data, qui est la finalité du cloud computing et en assurer la sécurité est primordial.

En théorie, en confiant vos données à des experts, vous diminuez les risques. Ces prestataires traitent un tel volume de données qu’ils sont bien plus à même d’assurer leur sécurité que toute entreprise dont ce n’est pas le métier premier. Néanmoins, le RGPD est plus que jamais d’actualité et des garanties supplémentaires sont nécessaires.

Car il n’est pas secret que le marché du cloud est trusté par les GAFAM et compte tenu des imbrications technologiques existantes, même si votre fournisseur de SaaS est français, il y a de fortes chances pour que son application repose sur un service américain (AWS par exemple). De fait, les transferts de données personnelles en dehors de l’Union Européenne sont presque inévitables. Si ces transferts ne sont pas de facto interdits (il existe par exemple les clauses contractuelles types ou les règles d’entreprise contraignantes pour les groupes d’entreprise), les mécanismes de substitution à un véritable accord bilatéral transatlantique sont inopérants car, dans le cas des États-Unis, la possibilité pour les renseignements d’avoir accès à toutes les données conservées par les entreprises prime très largement sur ces clauses.

Et si un nouveau traité censé mettre en place les réponses aux préoccupations européennes quant auxdites possibilités d’ingérences des renseignements américains est sur le point d’être ratifié en Europe, l’association NOYB (None of Your Business) et Max Schrems ont déjà fait part de leur réserve quant à ce projet. Alors comment être conforme à un cadre réglementaire quand celui-ci se montre incertain ? Il n’existe pas de réponse simple mais il faut se montrer pragmatique et s’inspirer des meilleures pratiques du marché. La mise en place de mécanismes de protection techniques réellement efficients comme le chiffrement sont encore le meilleur moyen de s’assurer de la protection des données. De plus, l’actualité est riche en initiatives européennes et nous pouvons légitimement penser que des véritables alternatives souveraines se mettent en place dans un futur proche. Et avec l’intégration des IA au sein des outils de collaboration, la maîtrise de la data sera, demain, plus critique que jamais.