Cloud Computing: les précautions juridiques à prendre
Depuis plusieurs années, le phénomène du cloud computing connaît un essor sans précédent. Toutes les grandes firmes numériques de Microsoft en passant par Apple proposent désormais ce service au grand public. Mais qu’en est-il du cloud computing pour une entreprise?
Nombreuses sont aujourd’hui les entreprises qui recourent au cloud computing, qui n’a rien à voir avec le cloud grand public. Le cloud computing permet à une entreprise d’accéder à des ressources informatiques stockées sur internet. Concrètement, l’entreprise va placer dans le nuage des données, des logiciels, sauvegardés non pas sur les ordinateurs de l’entreprise mais sur de gigantesques serveurs situés dans des data centers.
Il y a donc un phénomène d’externalisation. Surtout pour les petites entreprises, le cloud computing présente l’avantage de pouvoir utiliser de nombreuses ressources performantes sans avoir à lancer de lourds investissements qu’elles ne pourraient sans doute pas assumer. Outre cet aspect économique, l’avantage majeur est de pouvoir disposer des ressources à tout moment et à partir de n’importe quel appareil.
Les données étant stockées un peu partout sur la planète, cela ne va pas sans risques pour l’entreprise. Lors de la conclusion du contrat de cloud il faudra veiller à plusieurs points.
Le premier concerne le traitement des données par le prestataire de cloud. Ce dernier devra scrupuleusement se conformer aux dispositions prévues par la loi dite « Informatique et libertés ». Notamment en ce qui concerne la confidentialité des données mais aussi de leur modification voire de leur suppression.
Il conviendra alors pour l’entreprise de s’assurer qu’au moment de la résiliation du contrat, les données lui seront bien restituées et que le prestataire de cloud aura bien supprimé toutes les données de l’entreprise et les éventuelles copies qui auraient pu en être faites.
Le contrat de cloud devra donc envisager la sauvegarde des données (notamment en cas de perte ou de destruction accidentelle des données par le prestataire) ainsi que la restitution des données.
En outre, toute donnée transférée hors Union Européenne devra faire l’objet d’une autorisation de la CNIL, et diverses obligations seront imposées au responsable du traitement des données. Cette autorisation sera donnée par appréciation en fonction des conditions de sécurité maximales qui devront être remplies par le contrat de cloud.
Enfin, il faudra particulièrement veiller à ce que le contrat de cloud comporte une clause mentionnant le droit applicable au contrat et donc de facto, la juridiction compétente pour trancher un éventuel litige dans la formation, l’application ou la résiliation du contrat.
A ce titre, le Patriot Act en vigueur aux Etats-Unis, permet aux autorités américaines d’accéder à toute donnée lorsqu’il y a une présomption d’activité terroriste ou d’espionnage, ce qui est en contradiction avec notamment l’obligation de confidentialité des données.
En résumé, les conflits de lois peuvent apparaître dans l’exécution du contrat de cloud computing si celui-ci n’est pas correctement rédigé. On ne pourra donc que recommander aux entreprises françaises de stocker leurs données dans le cloud situé au sein de l’Union Européenne, ce qui permettra d’éviter des années de batailles judiciaires, dans cet océan qu’est le droit international.
Article initialement rédigé et publié sur Tonus Eco