Après un peu plus de deux ans de travaux, les organismes de normalisation UIT-T et ISO ont approuvé trois nouvelles normes sur le cloud computing (1).
La norme ISO 17788 définit les cinq types d’intervenant sur le marché du cloud computing (auditeurs, partenaires, clients, fournisseurs, intermédiaires), les trois types de services proposés (infrastructure as a service ou « IaaS », platform as a service ou « PaaS » et Software as a Service ou « SaaS »).
La norme ISO 17789 s’attache à définir l’architecture fonctionnelle de référence, c’est-à-dire la façon de construire une plateforme de services cloud computing, dans un souci d’interopérabilité. La norme ISO 27018 fixe les règles de sécurité à appliquer pour les fournisseurs de cloud public afin d’assurer la protection des données personnelles, garantir la transparence et se conformer à leurs obligations réglementaires.
Aucune de ces normes ne présente de caractère obligatoire. Elles ne peuvent en soi être opposables en justice, comme cela a déjà été jugé à l’occasion de la norme NFZ67-147 sur l’établissement de constats internet d’huissier (2).
En l’absence de clause spécifique. Sans référence aux normes précitées dans les contrats du cloud computing, ces normes ne sont pas opposables entre les parties. Certains grands acteurs anglo-saxons du marché du cloud computing, entendent d’ailleurs tout faire pour ne pas s’y soumettre et faire prévaloir leur seul contrat. Une telle attitude ne doit empêcher de pouvoir permettre la comparaison entre les contrats de ces prestataires réfractaires et lesdites normes, lesquelles vont constituer ni plus ni moins que l’état de l’art dans le domaine du cloud computing. Les opérations de benchmark vont ainsi être simplifiées.
En présence d’une clause spécifique. Il est possible par contrat de donner une valeur contraignante aux normes concernées. Tout l’intérêt est alors de pouvoir faire du contrat l’outil opérationnel mettant en œuvre les grands concepts de ces normes internationales. Particulièrement face à des prestataires étrangers avec des contrats soumis à une législation hors Union européenne, ces normes constituent un socle réduisant l’aléa juridique.
Dans le cadre d’une clause d’audit, faire référence à de telles normes permet d’éviter des discussions sur les standards applicables. Nul doute que ces normes devraient lever, certaines des réserves qui pouvaient encore freiner certains projets de migration dans le cloud (3). Même si d’autres normes sont attendues sur les engagements de service, l’interopérabilité et la traçabilité des données, seul le contrat reste l’outil le plus adapté pour encadrer rigoureusement la relation client-prestataire.
Eric Le Quellenec
Lexing Droit Informatique
(1) Elles sont disponibles gratuitement sur www.itu.int/.
(2) CA Paris 27-2-2013 RG n°11/02928.
(3) JTIT n°111 – avril 2011, p. 3.