A l’occasion de la « cloud week » organisée par l’association Eurocloud France, la question de la confiance dans les solutions cloud computing occupe une grande partie des débats. En effet, le taux de pénétration du cloud en France est plus lent qu’anticipé (1).
Les objectifs ne sont pas encore atteints et beaucoup d’utilisateurs tergiversent avant de faire le grand saut (2).
Des craintes sur la sécurité et la fiabilité technique toujours vives. Techniquement, ces craintes portent d’abord et avant tout sur la sécurité et la fiabilité technique des plateformes. Economiquement, la hantise des DSI est de se trouver confronté à des coûts d’exploitation supérieurs à ceux d’une structure locale en mode « client – serveur », faute d’avoir bien anticipé les impacts en termes de frais d’intégration avec le SI existant, de formation ou de licences complémentaires avec certains éditeurs. Le retour sur investissement peut être alors désastreux. Le maître mot de cette semaine du cloud est donc encore et toujours la recherche de la confiance. Plusieurs solutions juridiques existent pour y parvenir.
Des solutions réglementaires mais surtout contractuelles. Une des pistes sérieuses évoquées lors de ces travaux de la « cloud week » est d’abord réglementaire. Au niveau européen, le projet de règlement sur les données à caractère personnel, de même que le rapprochement entre les agences nationales de sécurité peuvent contribuer à donner confiance aux acteurs du cloud computing. En matière de normalisation, les nouvelles normes ISO dédiées au cloud computing publiées récemment ou en passe de l’être ont fortement contribué à fixer un cadre de discussion homogène entre les différents acteurs du cloud et ainsi à insuffler de la confiance entre eux (3). Cependant, cela ne saurait suffire pour souscrire « en toute confiance » à une offre de type cloud computing. C’est la négociation contractuelle qui doit permettre de poser les conditions d’une bascule et d’un usage satisfaisant de tels services.
Le cahier des charges du candidat au cloud doit avoir été rédigé en fonction de la « cloud strategy » de l’entreprise. En fonction de la criticité des données, les solutions techniques devront être proposées de manière distributive et le contrat doit impérativement le refléter. Les dispositions contractuelles sur la sécurité, les garanties de performance revêtent un caractère crucial, de même que celles sur la réversibilité. Les annexes au contrat et en particulier les annexes techniques et de sécurité doivent également faire l’objet d’un soin particulier. Les travaux de la « cloud week » illustrent que tout projet cloud se pilote à la fois sur les terrains techniques, économiques et juridiques. La confiance avec son prestataire cloud ne peut être qu’un travail rigoureux et adapté sur ces trois volets.
Eric Le Quellenec
Lexing Droit Informatique
(1) Johann Armand, http://www.channelnews.fr/, Actualité du 30-9-2014.
(2) JTIT 158, 6-2015, p.1 et JTIT 111, 4-2011, p. 3.
(3) JTIT n°153, 1-2015 p.1.