PME, ne négligez pas votre contrat de cloud computing !

Défini dans le Journal Officiel comme un « mode de traitement de données d’un client, dont l’exploitation s’effectue par l’Internet, sous la forme de services fournis par un prestataire1 », le cloud computing, en français “l’informatique en nuage”, est souvent présenté comme la dernière révolution technique.

PME, ne négligez pas votre contrat de cloud computing !

La généralisation des terminaux portables (PC, tablettes, smartphones, etc.) a induit une multiplication des capacités de traitement et de stockage de données dites “distantes”, c’est-à-dire stockées sur des disques n’étant pas localisés ou détenus par les propriétaires des données. De nombreux prestataires de services informatiques, hébergeurs ou éditeurs de logiciels, se sont donc convertis à l’informatique “en nuage”, offrant des services de cloud accessibles à distance. On en compte trois types :
– de type SaaS (ou software as a service), qui permet l’accès à un logiciel à distance et à la demande, par exemple via internet, à des utilisateurs finaux, sans que le logiciel et les données ne soit stockés sur leurs ordinateurs; – de type PaaS (ou platform as a service), qui offre un service supplémentaire permettant un déploiement plus facile via une plateforme modulable par le client;
– de type IaaS (ou infrastructure as a service), permettant une prise en main presque complète de l’infrastructure d’hébergement à distance par le client.
Via l’un de ces trois types d’offres, les clients tireront donc un avantage substantiel : une disponibilité accrue du service en tout lieu et à tout moment, mais pas seulement. Le clouding offre ainsi la seule protection efficace contre la perte de donnée en cas de vol des terminaux et permet également la mise en oeuvre d’une facturation des services informatiques à l’usage.

Les risques inhérents. Cette “nuagisation” des données présente également des risques qui ne sont pas anodins. Ces risques, identifiés par la Commission nationale de l’informatique et des libertés (CNIL) tiennent pour la plupart à l’essence-même du nuage, à savoir l’hébergement des données à distance.
– La confidentialité : en cas de traitement de données dans le cloud, le client devra veiller au respect des obligations dites “informatiques et libertés” (déclaration, durée de stockage, etc.). Par exemple, le stockage de certaines données dans un cloud peut exposer le client, sans qu’il le sache, à un risque juridique (par exemple, les données de santé ne peuvent être stockées que par des hébergeurs agréés par le ministère de la santé).
– Le piratage, vol de données et traçabilité des accès : les données étant hébergées à distance, l’offre du prestataire doit impérativement garantir un niveau de protection très élevé contre les intrusions permettant notamment de tracer efficacement les connections au cloud, et peut-être même, si besoin, assurer un cryptage sécurisé de ces données.
– La perte de données et/ ou d’accès à internet : le prestataire doit pouvoir garantir son client contre la perte de ses données, à tout le moins les plus sensibles, par exemple via un système de duplication automatique. Il faut également prévoir le cas de l’indisponibilité du réseau Internet car la perte d’accès à internet privera le client de tout usage du cloud.
– La dépendance et la réversibilité : la souscription à une offre de logiciels à distance crée de fait une dépendance excessive entre le client et son prestataire. Si le prestataire coupe l’accès du client, ce dernier perdra tout accès à ses données et à la solution logicielle dont son activité peut dépendre. Il est donc primordial que cette question de la réversibilité de la solution soit évoquée avant la mise en oeuvre du contrat.

Sécuriser son nuage. L’externalisation de données et le recours à un service d’informatique en nuage donne lieu à la conclusion d’un contrat. Le client devra privilégier les offres négociées sur la base d’un cahier des charges reprenant des besoins identifiés et définis, plutôt que les offres forfaitaires avec contrats-types proposés, parfois en ligne, par les prestataires. Cette négociation est l’occasion de clarifier et de répartir les responsabilités juridiques et financières du client et du prestataire en cas de difficulté. Et les avocats compétents en matière de propriété intellectuelle et nouvelles technologies sont les interlocuteurs naturels pour conseiller les chefs d’entreprise.

1. Vocabulaire de l’informatique et de l’internet, Journal Officiel du 6 juin 2012. 2. Recommandations pour les entreprises qui envisagent de souscrire à des services de cloud computing (www.cnil.fr).